NFT詐騙/周杰倫千萬元NFT消失 因一條釣魚網址中招
(中央社記者吳家豪、江明晏台北27日電)名人被駭事件層出不窮,以往多半是臉書、粉專被盜帳號,如今駭客轉向「非同質化代幣」(Non-Fungible Token,NFT)詐騙,連天王周杰倫的「無聊猿」NFT都被偷走,損失高達新台幣千萬元,上當原因竟只從一條釣魚網址開始。
元宇宙經濟來臨,市值屢創天價的NFT藝術品吸引大眾爭相投資。駭客看準「人」才是最大的安全漏洞,透過「社交工程陷阱」(利用人性弱點進行簡單的溝通與欺騙)找上受害者,衍生出新的投資騙局。等你一旦點擊假連結進入幾可亂真的NFT釣魚網站,再不小心按下交易按鈕後,才會發現受騙上當,包括藝人周杰倫、劉畊宏、紀培慧、余文樂都曾慘遭NFT詐騙。
周杰倫NFT被騙始末 錢包授權太大意
台灣藝人周杰倫今年4月1日當天在Instagram上發文,表示自己編號3738無聊猿NFT被網路釣魚偷走,起初還以為是愚人節玩笑,「結果一去查看,真的沒了」。
「無聊猿」是無聊猿遊艇俱樂部(BAYC)推出的1萬隻各有獨特表情的猿猴NFT作品,今年1月地板價正式突破100枚以太幣(約新台幣780萬元),隨後在交易平台上多次高價轉手,陸續以133以太幣、155以太幣成交,一度成為喊上天價的NFT收藏品。
這隻被稱為「NFT之王」的猴子價格不菲,自然成為駭客鎖定目標。但駭客究竟如何取得周杰倫NFT權限,趨勢科技調查發現,起初駭客入侵無聊猿官方論壇Discord並放上釣魚網址,周杰倫的帳號持有者看到網址後前往釣魚網站,以為在鑄造新的NFT,所以核准了錢包交易。
隨後駭客藉由周杰倫帳號持有者的核准,取得周杰倫的無聊猿NFT權限,駭客再將NFT轉到自己帳號並賣出,共得手169以太幣,並將以太幣匯入混幣器來躲避追蹤,消失在數位世界之中。
這場騙局正是利用民眾不熟悉NFT投資平台的特性,打造幾可亂真的假網站,一旦受害者連結錢包、按下授權交易,詐騙集團只需幾秒就能移走錢包裡所有項目。
NFT詐騙連結屢試不爽 災情持續擴大
在周杰倫NFT被駭之前,藝人劉畊宏暨「Phanta Bear」(幻想熊)NFT發行人今年2月初也曾發布聲明指出,社群平台2度被駭客入侵,共有58人誤點詐騙連結,導致財產損失14.14乙太幣。
另外,因電影「九降風」打開知名度的演員紀培慧今年3月忘了關閉Discord私訊功能,收到一堆私訊,誤將詐騙訊息看成認證社團的公告內容,點下連結進入精美的NFT釣魚網站,花費0.12以太幣買下屬於自己的NFT,才發現這種NFT根本不存在。事後她以自身慘痛經驗發文,奉勸新手別犯同樣錯誤。
港星余文樂所推出的ZombieClub NFT曾創下多項交易紀錄,交易量超過新台幣10億元;他今年5月也自爆曾被NFT詐騙,只能「怪自己不小心」,但並未多談細節。
資安專家研究發現,釣魚網站有時和真正網址只差一個英文字母,美術設計又和官網完全一樣,受害者即使用放大鏡檢視都不容易察覺差異,才會造成這麼多名人上當。
NFT新手必修 別輕信網路連結、錢包授權看仔細
趨勢科技提醒,NFT新手該知道幾件防盜注意事項。首先,不要直接用Google關鍵字尋找NFT網站,有些詐騙網站會買廣告,讓自己的網址連結出現在搜尋頁面的置頂位置。使用者應該盡量藉由可信任的第三方網址連到NFT網站或Discord論壇,例如全球最大NFT交易平台OpenSea就會放上項目的相關網址。
值得注意的是,NFT的項目方通常會在Discord開啟Official-links頻道放上官網連結,不要輕易相信出現在這個頻道以外的連結。
趨勢科技呼籲,錢包授權時務必再三確認;鑄造NFT時,對象應該是智能合約而非個人錢包,可以去Etherscan等地址查詢網站,辨別交易對象是否為智能合約。
此外,使用者應該切記,勿隨意簽署setApprovalForAll(將自己持有的某系列NFT全部授權給某個地址)授權給任何不認識的錢包,否則對方會得到權限並可能轉走你的NFT。如果簽署授權時,錢包顯示sending eth而沒有其他API(應用程式介面)名稱,代表只是傳送以太幣給對方,並非在鑄造NFT。
「詐騙危害了整個NFT產業」,趨勢科技全球消費市場開發暨行銷協理劉彥伯認為,目前各國在管制NFT的作為上,大部分以刑事局、調查局為主,都是出現具體犯罪事實時才依法可管。但由於台灣警方目前對新型態的NFT、區塊鏈、加密貨幣詐騙,都還是非常陌生,建議應實施相關教育訓練。
除此之外,他舉例,科技部可以發展「訊息科技」,畢竟包含NFT在內的新一輪金融詐騙手法,大都是透過訊息,「如果科技能夠讀得懂這些話,做到訊息過濾、分類,甚至示警的AI語意分析技術,應能發揮預防角色」,在打擊NFT詐騙上,打造更積極的「犯罪預防」作為。