假錢包 App 與釣魚網站的真相與攻擊路徑拆解

假錢包 App 與釣魚網站的真相與攻擊路徑拆解

歡迎造訪官網【駭客脈動中心】 www.hackpulse.net

技術諮詢請聯絡Telegram:@HackPulse_Central

為什麼這種詐騙最危險？

在加密貨幣世界中，「私鑰即資產」，任何能竊取私鑰或助記詞的方式，都能直接奪取你的加密資產。其中，假錢包應用與釣魚網站，是最常見、成功率最高的詐騙方式之一，並且通常對新手極具殺傷力。

詐騙者如何部署假錢包？

1. 仿製正版錢包應用界面與功能
    詐騙者會完整複製如 MetaMask、Trust Wallet 等常用錢包的使用者介面，甚至包括冷錢包連接流程。許多假 App 僅需幾個開源元件就能快速打造。

2. 透過廣告與搜尋引擎佈局導流
    詐騙者會在 Google Ads、Telegram、YouTube 貼文中購買關鍵字廣告，讓使用者在搜尋「MetaMask 安裝」或「錢包教學」時，誤點入假的 App 商店頁面或 APK 安裝檔。

3. 建立偽官方網站與釣魚頁面
    這些網站名稱會極度相似（如 metamask-wallet[.]net、walletconnect-support[.]org），模仿真實網址。當用戶進入這些網站並點選「恢復錢包」、「登入」時，會跳出一個表單要求輸入 12 組助記詞。

4. 立即上傳資料並自動轉移資產
    當用戶輸入助記詞或私鑰後，資料會透過前端 script 即時送出至後端伺服器，詐騙者會自動批量導入至 Web3 環境中，並立即執行資產轉帳至中繼錢包，防止被受害人發現後撤回。

真實案例：假 MetaMask 網站致千萬 USDT 失竊

在 2023 年底，有用戶在 Google 上搜尋「MetaMask 登入」，點入名為 metamask-online[.]com 的釣魚網站。該網站首頁幾乎與官方一模一樣，並彈出「導入錢包」頁面。該名用戶輸入助記詞後，幾分鐘內錢包中的 76,000 USDT、多顆 NFT 及 MATIC 資產瞬間轉出。

後續透過鏈上追蹤發現，該網站背後錢包已收集數百筆資產，總價值超過 1100 萬美元，並在短時間內經 Tornado Cash 混幣器進行洗錢。

技術細節：前端資料竊取與合約批量轉帳

1.釣魚網站通常使用以下技術收集資料：

• JavaScript 內嵌偵測輸入框 (onChange) 並即時 POST 至 API

• iframe 嵌入官方頁面，僅修改部分元件誤導用戶操作

• 使用 Google Fonts、Cloudflare 等提高可信度

2.後端自動化搶錢流程：

• 當有使用者提交助記詞後，後端自動連接該地址

• 以 Web3.js 撰寫腳本檢查資產種類與餘額

• 自動送出一筆 gas-optimal 的轉帳交易至駭客主錢包

• 若地址有多種代幣，使用 transferFrom()、safeTransferFrom() 依序批量轉移

如何辨識與防範？

• 絕不透過搜尋引擎點擊錢包安裝網站，僅從官網或官方社群取得連結

• 不下載 APK 安裝包，使用 Google Play 或 App Store 並查驗開發者名稱

• 輸入助記詞的網頁極可能是詐騙陷阱，正常情況下只有在本地錢包中輸入

• 可使用 VirusTotal 掃描可疑網站是否被標記為釣魚頁面

在區塊鏈世界中，一次輸入錯誤就可能導致資產永久損失。了解假錢包與釣魚網站的整個詐騙流程，是每個加密用戶必修的基礎課。

如果你是開發者，更應了解這些技術如何被濫用，以設計更安全的應用與防護機制。