為什麼我的錢包會被盜?

現實世界的被盜

在現實世界中,要盜走別人的錢財其中一個選項便是偷走別人的錢包;裡頭存放著現金(法定貨幣),交易使用上一般人也不會去檢查鈔票上的序號是不是你本人的,於是乎當你錢包掉了,等同於不肖份子可以拿你的錢財去做任何交易而不會受到限制。

網路世界的被盜

而在網路的普及下,大部分人逐漸地將大部分的法定貨幣轉移到各家銀行帳戶之中,你可以透過卡片(信用卡、提款卡)或是帳號密碼來取回、使用現金。這時,不肖份子的算盤則要往虛擬的事物打去,如騙你自己執行一筆交易(轉帳、領錢出來到指定地點)或是盜刷(偷走信用卡刷小額)甚至是盜用你的網銀帳號密碼。在這個階段,除了要確保自己的錢包沒有亂丟以外,還得開始防範自己的帳號密碼是否有被外流的風險。

Web3 世界的被盜

進入到 Web3 的世界,被盜用的方式其實和網路世界的大同小異

詐騙:騙你自己執行一筆交易

轉帳到指定地址(帳戶)

這種的詐騙在 Web3 比較難發生,一來是大多數擁有虛擬貨幣錢包的人並非不會使用網路的人,故這種最低級的詐騙是較難騙到他人錢財的。

釣魚網站

反倒是釣魚網站的災情就嚴重上許多,對方會做一個假的網站上頭給予各種利益,來誤導你點擊「確認」按鈕來進行一筆交易。這件事在 Web3 的世界之所以更為常見的原因如下

一般人不會認真看簽章內容

區塊鏈上的交易明細和網銀的交易明細有著截然不同的格式,甚至對方可以透過非單純轉帳(transfer)的方式來取得你的虛擬貨幣,如取得授權(setApproval)等。

一般人不會看智能合約內容

更用心一些的不肖份子會部署一份智能合約(以下簡稱合約),包裝轉移的名目讓你以為你要得到利益,但實際上是轉走你的錢財。這個就有點像是簽署了一份贈與協議書,但實際上是你個人的賣身契。

因貪心而大幅降低了警戒心

多數被詐騙的都是一時貪心,隨著釣魚網站上的時間倒數逐漸逼近所營造的 FOMO(Fear Of Missing Out),深怕自己上不了車也忽略了所有細節。

盜用:把你的註記詞 / 私鑰偷走

這邊就要開始循序漸進地來解釋,為什麼私鑰被盜走會造成你的虛擬貨幣損失。

錢包地址是如何來的?

這邊我們拿以太坊當作例子:

註記詞(Mnemonic)-> 私鑰(private keys)

通常在建立錢包的時候,我們都會得到一組註記詞(12、24 個有順序的單字),而這組註記詞透過加密的方式,可以產生出無限多組私鑰(private keys),不過這個排序都是固定的,所以大多數的錢包應用程式都是顯示第一組私鑰。

私鑰(private key)-> 公鑰(public key)

我們選定一組 private key 後,透過橢圓曲線加密後可以得到一組公鑰。

公鑰(public key)- hash -> 地址(address)

接著拿公鑰進行 hash(Keccak-256)並取結果的最後 20 位當作以太坊地址。

交易是怎麼來的?

以簡單來說,便是你把打算做的事照格式寫好後,使用 private key 進行簽署會得到一個 signature,而在驗證交易是否成立時,會照以下步驟檢查:

  1. 拿 signature 還原訊息
  2. 若成功的話,可以得到一組 address
  3. 比對 address 是否相同

所以只要拿得到你的註記詞 = 拿得到私鑰 = 拿得到公鑰 = 拿得到地址 = 可以進行交易。

那如何防範註記詞外流?

基本上的操作就和你怎麼防範網路銀行的帳號密碼洩漏一樣,沒事別亂點奇怪的網站按奇怪的按鈕,並且把註記詞放在你自己信任的地方;有些人會信任 Apple / Google 便放在雲端備份、有些人信任家裡的保險櫃,便手寫下來放進保險櫃⋯等,儲存的方式有很多種,下面來提供幾種比較特別的儲存方式。

冷錢包

所謂的冷錢包即是一台平時不連上網的機器,來大幅降低因為錯誤操作上而外流的可能性,同時大部分的冷錢包都備有加密晶片,意味著哪天裝置被幹走後也難以破解拿到裡頭的資料。不過若冷錢包裡頭的註記詞或是私鑰外流的話,仍然是會被進行盜取的動作。

冷錢包只能避免你在裡頭的註記詞不會從它這邊外流出去,並無法阻止同一組註記詞或是私鑰在鏈上進行交易!

優點

避免不必要的交易操作,並且不連網來避開所有被駭的風險。

缺點

冷錢包在和 DApp(Decentralized application)之間的互動體驗就差上許多,畢竟冷錢包在上網或是和其開發的應用程式傳輸上,大多數都是以藍牙連線,而也提高了連接的門檻和降低效率。

中心化錢包

而中心化錢包其實就和銀行有點像,業者會提供一組帳號密碼登入並透過 KYC(Know your customer)的方式來驗證你是否為該用戶。

優點

由中心化的保存註記詞,就不會發生忘記註記詞而無法使用虛擬資產的問題,甚至 CYBAVO 有提供一定程度的理賠機制,並強調他們的資安是經得起考驗的。

缺點

無法自由地使用你的地址去做其他合約互動,多數的中心化錢包會防範這件事的發生;不過這個就是一體兩面,方便和安全之間,自己要有所拿捏。而都是中心化掌控你的註記詞,也就是說對方掌有你整個帳戶的權限,跑路的交易所即是類似的概念。

comments powered by Disqus