假錢包 App 與釣魚網站的真相與攻擊路徑拆解
7*24H專業客服
為什麼這種詐騙最危險?
在加密貨幣世界中,「私鑰即資產」,任何能竊取私鑰或助記詞的方式,都能直接奪取你的加密資產。其中,假錢包應用與釣魚網站,是最常見、成功率最高的詐騙方式之一,並且通常對新手極具殺傷力。
詐騙者如何部署假錢包?
1.仿製正版錢包應用界面與功能 詐騙者會完整複製如 MetaMask、Trust Wallet 等常用錢包的使用者介面,甚至包括冷錢包連接流程。許多假 App 僅需幾個開源元件就能快速打造。
2.透過廣告與搜尋引擎佈局導流 詐騙者會在 Google Ads、Telegram、YouTube 貼文中購買關鍵字廣告,讓使用者在搜尋「MetaMask 安裝」或「錢包教學」時,誤點入假的 App 商店頁面或 APK 安裝檔。
3.建立偽官方網站與釣魚頁面 這些網站名稱會極度相似(如 metamask-wallet[.]net、walletconnect-support[.]org),模仿真實網址。當用戶進入這些網站並點選「恢復錢包」、「登入」時,會跳出一個表單要求輸入 12 組助記詞。
4.立即上傳資料並自動轉移資產 當用戶輸入助記詞或私鑰後,資料會透過前端 script 即時送出至後端伺服器,詐騙者會自動批量導入至 Web3 環境中,並立即執行資產轉帳至中繼錢包,防止被受害人發現後撤回。
真實案例:假 MetaMask 網站致千萬 USDT 失竊
在 2023 年底,有用戶在 Google 上搜尋「MetaMask 登入」,點入名為 metamask-online[.]com 的釣魚網站。該網站首頁幾乎與官方一模一樣,並彈出「導入錢包」頁面。該名用戶輸入助記詞後,幾分鐘內錢包中的 76,000 USDT、多顆 NFT 及 MATIC 資產瞬間轉出。
後續透過鏈上追蹤發現,該網站背後錢包已收集數百筆資產,總價值超過 1100 萬美元,並在短時間內經 Tornado Cash 混幣器進行洗錢。
技術細節:前端資料竊取與合約批量轉帳
1.釣魚網站通常使用以下技術收集資料: JavaScript 內嵌偵測輸入框 (onChange) 並即時 POST 至 API iframe 嵌入官方頁面,僅修改部分元件誤導用戶操作 使用 Google Fonts、Cloudflare 等提高可信度
2.後端自動化搶錢流程: 當有使用者提交助記詞後,後端自動連接該地址 以 Web3.js 撰寫腳本檢查資產種類與餘額 自動送出一筆 gas-optimal 的轉帳交易至駭客主錢包 若地址有多種代幣,使用 transferFrom()、safeTransferFrom() 依序批量轉移
如何辨識與防範?
.絕不透過搜尋引擎點擊錢包安裝網站,僅從官網或官方社群取得連結
.不下載 APK 安裝包,使用 Google Play 或 App Store 並查驗開發者名稱
.輸入助記詞的網頁極可能是詐騙陷阱,正常情況下只有在本地錢包中輸入
.可使用 VirusTotal 掃描可疑網站是否被標記為釣魚頁面
在區塊鏈世界中,一次輸入錯誤就可能導致資產永久損失。了解假錢包與釣魚網站的整個詐騙流程,是每個加密用戶必修的基礎課。如果你是開發者,更應了解這些技術如何被濫用,以設計更安全的應用與防護機制。