黑客事件层出不穷 链上防骇的基础建设在哪里

区块链自2009年挖出第一颗比特币起，至2023年初为止，去中心化金融DeFi的市值最高曾达到1990亿美金（2021年11月）。

这样庞大的金融市场，自然会成为黑客下手的目标，早至2014年Mt. Gox交易所被骇而下线，到近期的NFT被骇，链上钱包被网络钓鱼、诈骗或黑客攻击的事件至今仍层出不穷。

根据DeFiLlama链上数据分析显示，截至2023年1月为止，去中心化金融DeFi上被骇的总金额高达59.4亿美金，其中又以2021、2022近两年最为大宗频繁。

骇客用来攻击的手法多样，从复杂的智能合约攻击或网络钓鱼攻击，到常见的诱导用户同意钱包的授权，因此，也提高了用户使用区块链的难度与风险。

客户端常见的钱包授权诈骗

一般来说，常见的诈骗手法会引导用户同意钱包的授权，在授权的页面上，许多人可能看不懂、或是不会真的仔细察看授权的细节，就在同意授权后，造成以下几种的可能：

1. 授权给对方钱包的私钥或助记词，造成黑客可以读取钱包的所有权

通常在私钥或助记词外流的情况下，黑客便拥有了整个钱包的读取权，也就是说，黑客可以自由地将资产转走，即便用户没有进行任何的交易，钱包里的资产都会被转走。 在这种情况下，不论怎么取消授权，可说是用户完全丧失保有这个钱包权限的可能性。

在这种情况之下，通常会建议新创一个钱包，并且尽快将资产转移到新的钱包里去。

2. 授权时不小心给诈骗集团签署了无限授权

通常在 Swap 的交易上，为了避免每次交易的频繁授权，在第一次进行交易的时候，就会请求用户签署平台对某指定代币的无限授权，一般来说，如果是正常的交易平台，还不会有太大的问题; 但是如果黑客入侵了交易平台网站，或是用户一开始便签署给诈骗集团无限的授权，在这种情况下，黑客便可以无限地转出用户钱包里被授权的代币。

一般来说，如果碰到这样的情况还想使用原钱包的话，先可以通过取消授权的工具来解除授权再观察看看，常见的解除授权工具有 Revoke 与 Debank。

3. 授权时同意转出的资产为钱包中的最大值

有些诈骗网站在页面上跟用户说价格为 5U，但是在授权的内容中，却是要用户授权全部的资产，这时候如果用户同意授权的话，就会被对方转走钱包中所有的币。

通常在授权中，可以查看内容里的 Permission，看看显示是不是 Max Amount，或是查看转出的 Amount 是不是网页显示的价格。

这种情况的授权诈骗大多为一次性的授权，并不会无限地转出用户里的代币，但是如果碰到这种状况还想要使用原本的钱包的话，建议也先透过以上的取消授权工具解除授权后再观察看看。

链上防骇的基础建设在哪里？

诈骗集团就是利用了用户对于授权文字叙述的不熟悉与复杂性而有机可趁，目前许多的链上钱包都在此做一些努力，例如Solana链的Phantom钱包便建置了诈骗及网络钓鱼的地址列表，如果用户进行交易的对象是列表中的地址，便会对用户发出警示。

引用数据 ：诈骗空投回收再利用！ Phantom钱包推出「NFT销毁功能」，销毁后获得SOL

至于许多用户使用的MetaMask小狐狸钱包，有些项目正在发展浏览器的扩充功能做为防骇，例如 Pocket Universe 便可以在 Google Chrome、Brave、Edge 和 Firefox 安装扩充功能。

一旦安装了扩充功能，在用户要签署授权之前，它会协助检查交易的安全问题，并自动跳出显示这笔授权的安全性：如果是安全的授权就会是绿色; 如果是危险的交易就会跳出红色的 WARNING 警示，并告诉用户这笔交易进行的后果。

除了 Pocket Universe 之外，还有其他项目也在防骇的基础建设上做努力，例如 Revoke、Blowfish Protect 或台湾的趋势科技也都发展链上防骇的产品，致力于提供防诈骗的服务。

虽然如此链上防诈的基础建设也持续的发展，但是链上的诈骗手法花样众多、也不时地推陈出新，用户在使用链上钱包进行交易时，自己还是必须要小心，要有更多资安风险意识才是。

感谢阅读，喜欢的朋友可以点个赞关注哦，我们下期再见！在加密行业你想抓住下一波牛市机会你得有一个优质圈子，大家就能抱团取暖，保持洞察力

郑重声明：本文版权归原作者所有，转载文章仅为传播信息之目的，不构成任何投资建议，如有侵权行为，请第一时间联络我们修改或删除，多谢。