近期藝人、網紅們和幣圈資深玩家的虛擬貨幣錢包被盜,裡面的NFT或虛擬貨幣被轉走的案件頻傳,動輒損失幾千萬,擔心自己成為下一個受害者?趕快跟著防詐達人了解MetaMask小狐狸錢包是什麼?它如何運作?以及詐騙集團是用什麼手法把你的錢包騙到手的?看完這個MetaMask懶人包再也不擔心錢包被盜
MetaMask小狐狸錢包是什麼?
進入區塊鏈的世界,無論你是要買賣NFT、接收別人送你的NFT、買賣虛擬貨幣,甚至只是想玩個GameFi(Play-to-Earn)邊玩邊賺錢的小遊戲,都要先創建一個加密貨幣錢包,而這個錢包通常的呈現方式不是一張卡片、一個實體皮夾,而是一個地址。
區塊鏈是一個分散式的帳本,擁有加密貨幣資產的意思就是在某個分散帳本中記載了「幾個以太幣(ETH)存入某個地址中」,而錢包就是讓你用來管理這個地址的媒介
MetaMask是一款用瀏覽器就可以使用的加密貨幣錢包服務,除了可以在MetaMask裏新增虛擬貨幣或是換幣(swap),還可以透過瀏覽器外掛,與許多的去中心化交易所、質押平台、GamiFi遊戲聯動並且進行交易,因此使MetaMask成為目前最早普及的開源軟體加密貨幣錢包,也是最受歡迎的以太坊錢包之一。
另外MetaMask還有中文版,因此讓中文的用戶也能輕鬆進入這個世界。
在功能性上來說,MetaMask大致上有以下幾個功能:
- 儲存、交易加密貨幣:可以透過它「存入」與「發送」加密貨幣。例如:將交易所錢包內的某個加密貨幣轉到 MetaMask 錢包、或是將 MetaMask 錢包內的加密貨幣轉給朋友。
- 與其他區塊鏈應用程式互動:用戶可以和區塊鏈上的金融應用程式或是遊戲互動。例如:用幣安智能鏈的PancakeSwap兌換不同加密貨幣、借貸、流動性挖礦等。或是用MetaMask錢包遊戲裡購買道具、將玩遊戲賺取的獎金存入MetaMask錢包。
- 蒐藏 NFT:交易NFT時是直接將NFT發送到你的錢包地址中,MetaMask App 版目前也支援查看 NFT 的功能,你可以在手機上欣賞自己擁有的NFT數位蒐藏品。
Metamask小狐狸錢包的安全機制
在一開始註冊MetaMask小狐狸錢包時,會被要求要創立一組密碼,以及會被MetaMask直接分派一組助憶詞/助記詞,這兩個除了是登入的依據,也是保護MetaMask錢包的重要工具,這兩個分別是什麼??
密碼
當你已經在某個裝置或是某個網頁登入過你的MetaMask錢包,之後每次打開你都會被要求輸入密碼,這是因為有些人的電腦或是手機可能不是只有自己在用,為了以防別人有你的電腦/手機就可以輕易動用你的資產這樣的事發生,每次打開MetaMask都還是需要輸入密碼,以確定現在是你本人在使用這個電腦
那釣魚網站會不會偷這組密碼盜用你的MetaMask錢包?
基本上不會,因為他們如果要在自己的裝置上登入你的錢包,他還是需要用到你的助記詞才能完成第一次登入。
助憶詞/助記詞
當你設定好密碼之後,你就會收到一組12個單字的助憶詞,這是你從任何裝置第一次登入都需要用到的單字,他既是第一次登入的帳號也是密碼,只要有這組助憶詞,你不管身在何處,是誰都可以獲取你的Metamask加密貨幣錢包
所以也是最多MetaMask釣魚最常開門見山跟受害者要的東西
在MetaMask網站上也直接向用戶警告:絕對不要洩漏您的助憶詞,任何人只要得知您的助憶詞代表他可以竊取您所有的以太幣和代幣。
MetaMask常見詐騙手法
注意!如果你的MetaMask被盜,那你裡面的資產(包含加密貨幣和NFT)都有可能被全數拿走,因此對於詐騙集團來說這真的是他們莫大的商機,以下就像大家介紹幾款常見的詐騙集團手法,當你遇到下列情境時,你可能就是遇到MetaMask詐騙了!
假冒Metamask釣魚簡訊/釣魚郵件
昨日(2022/5/30)在臉書的
Bitcoin比特幣中文社團中有民眾Po自己收到的一則MetaMask簡訊,在簡訊裡要求民眾開通簡訊驗證系統否則你的Metamask錢包將會被停用:
We inform you that your wallet will be suspended if you do not active the SMS authentication system
並在最後附上一個URL,示意民眾透過這裡登入開通簡訊驗證:hxxps://login-metamask[.]io/
事實上這是最常見的釣魚起手式,也就是透過簡訊或郵件假冒官方,並用
“警告”或是
“送好康”的方式誘導民眾點擊指定連結進入釣魚網站,類似的釣魚簡訊在
今年2月也曾出現過
另外在國外也有許多民眾是收到假冒MetaMask的釣魚郵件,但跟簡訊手法以及話術大同小異,只是換了一個傳播媒介
上面這一些釣魚簡訊和郵件其實就是要引導你到詐騙集團做好的網站,騙取你的MetaMask錢包助記詞
怎麼識破假冒MetaMask釣魚簡訊/釣魚郵件:
如果你不擅長辨識網址,也不知道原本的網址是什麼,那我建議你們可以自己主動搜尋官網,在官網上試圖尋找他要你執行的動作,例如開通驗證。不要直接透過簡訊的連結進入。
近期這一波MetaMask釣魚簡訊攻擊所使用的詐騙URL:
- login-metamask[.]io
- allusers-metamask[.]io/activationotp/mywallet[.]php
假冒MetaMask釣魚網站
下方這兩個網站只有一個是真正的MetaMask官網,你看得出來是哪個嗎?
釣魚網站就是這樣,會將自己偽裝成品牌官網,有些可能只是用了一樣的Logo,而有些則是做的跟官網機乎一模一樣,讓你乍看之下難辨真偽,就安心的在釣魚網站上做了那些洩漏個資和帳號,甚至把錢轉出去的舉動
而上面釣魚簡訊所夾帶的連結也是將你帶往釣魚網站,如下圖:
在這個釣魚網站裡,一樣像簡訊裡要求用戶透過下方按鈕進行簡訊驗證程序
並且在點擊按鈕後馬上要求民眾輸入助記詞,還記得嗎?我們前面剛說過,這組是千萬不能隨便給出去,卻是詐騙集團最主要想拿到的東西
在這裡我曾經嘗試隨便打幾個字,發現完全沒有輸入錯誤的警告,而且無論我按幾次“Next”按鈕都沒有反應,但其實你輸入完助記詞按下Next的瞬間,是把這12個單字傳給了詐騙集團,下一秒你可能就發現你的MetaMask錢包怎麼空了
怎麼識破假冒MetaMask釣魚網站:
- 網站有很多錯字
- 介面設計不良,例如前面釣魚網站的警告頁面,紅色按鈕背後其實有一行字,只是被按鈕擋住了
- 按鈕無法點擊,包含點了沒反應,或是帶到錯誤頁面
下圖反藍的”Features”就是小編嘗試點擊,但卻沒有跑出任何下拉選單
MetaMask釣魚網站下方雖然有很多關聯頁面的按鈕,但我不管點擊哪一個,都會進入到”Not Found“的頁面
空投詐騙1——騙取錢包私鑰
2019年時,Telegram上曾經有很多空投OMG代幣的詐騙,騙子稱錢包中有 ETH 和 OMG 的用戶,可以按照錢包餘額中 ETH 1:32、OMG 1:0.3 的比例領取 OMG 免費空投
進到OMG Airdrop連結裡面,除了要你輸入自己的錢包地址之外,他還要你輸入自己的私鑰,也就是助記詞
注意!!任何正常的空投,甚至是鑄造都不會要你在網站中輸入自己的助記詞,只要看到有網站跟你要助記詞都要小心
還有前陣子無聊猿的IG被駭客入侵,詐騙集團直接用無聊猿的官方IG發布了一個假的空投OthersideMeta元宇宙土地連結,當時也有許多民眾誤信而進入網站連結錢包,結果造成多隻無聊猿跟變異猿被轉走的悲劇
如何辨識騙取錢包私鑰的空投詐騙
你可以多多上網搜尋資料,確定這是正在發生的事,並且透過官方的社群帳號去找官方活動連結,說不定你還可以因此看到有人說自己被詐騙了!
如果你什麼都找不到,那很有可能是詐騙;若是他給的網址跟官方給的不一樣,那絕對是詐騙!
另外不管是不是官方網站找到的空投網站,都“不要給助記詞”,助記詞就是你錢包的帳號+密碼,除非你真的要在MetaMask網站登入MetaMask,否則不會有任何其他時候會需要給助記詞
空投詐騙2——授權合約動用錢包資金
2021年時,有很多幣圈投資客意外發現自己的區塊鏈錢包多了一堆叫做Zepe的代幣,當時的Zepe官網稱這個代幣無法直接在去中心化交易平台賣出,但是可以在官網透過他提供的swap功能將Zepe換成BNB
並在換幣的過程中需要連結錢包
確實,換幣勢必要提領你錢包中的代幣來換成你要的代幣,但是你如果在惡意的網站連結錢包,等於是授權這個網站隨意地動用你錢包裡的資產
而這個Zepe就是透過看似天上飛下來一大筆錢的空投,吸引你進入他們的網站連結錢包,事實上當你連接錢包後,你不只不會拿到你預計兌換的代幣,反而是錢包裡的其他代幣無預警被轉走
如何辨識授權合約的假空投詐騙
天底下沒有白吃的午餐!突然掉下一筆空投不見得是好事,建議還是先多查查看網路上有沒有關於這件事情的討論
就像你的銀行帳戶如果突然多一筆錢,你不該是馬上拿來花,而是應該向銀行示警一樣,你不知道這筆錢的來歷,更不知道你會不會因此遇上麻煩
使用防詐達人,一網打盡MetaMask詐騙
如果你還是很擔心自己判斷錯誤,現在向大家推薦
防詐達人,這是一個免費的聊天機器人,你可以透過Line加入
防詐達人,只需要把你覺得有疑問的網站連結傳送到聊天室,叮咚!馬上可以得到檢查結果,只要是不安全網站就會馬上告訴你
其他你可能有興趣的文章:
全方位防詐騙工具包: