露出私鑰龍頭各起盜竊加密貨幣第三季度/2025

來自SlowMist的資產追蹤平台MistTrack的最新分析顯示，私鑰(private key)仍然是導致加密貨幣盜竊最常見的原因。

根據報告，在7月至9月期間，有317起關於被盜資產的報告，其中超過3.73百萬美元已成功凍結或追回，涉及10起案件。

私鑰 — 用戶的核心弱點

報告強調，絕大多數加密貨幣盜竊並不是來自復雜的技術攻擊，而是由於登入信息泄露或設備被入侵。

目前一種流行的欺詐手段是銷售假冷錢包——這些設備預裝了種子短語或被篡改了硬件以記錄恢復信息，使得詐騙者能夠在受害者充值後立即竊取資產。

慢霧建議用戶：

• 僅從官方分銷商購買硬體錢包。
• 在設備上直接生成種子短語。
• 在進行大額交易之前，先小額轉帳測試。
• 徹底檢查設備，不使用現有的恢復卡

此外，SlowMist 警告了網絡釣魚和社會工程學 (social engineering) 詐騙形式的增加。一種新的攻擊形式，稱爲 EIP-7702 deleGate 釣魚，允許黑客將受害者的錢包與自動提取資金的合約關聯。當用戶以爲自己在正常操作時，實際上已經將資產的控制權交給了騙子。

SlowMist的分析顯示，"雖然舊但有效"的欺詐手段仍佔有較高比例。一些騙子假冒LinkedIn上的僱主，在數周內建立與求職者的信任，然後誘使他們安裝"攝像頭驅動程序"或惡意軟件。

在一種情況下，黑客甚至將惡意代碼與Chrome擴展結合在Zoom通話中，使受害者損失超過1300萬美元。

常見的欺詐手法仍在繼續

一些虛假的谷歌廣告模仿MistTrack和Aave等DeFi平台的界面，通過隱祕權限請求造成超過120萬美元的損失。此外，騙子還佔用了空置的Discord連結以欺騙社區。

另一種手段是將惡意軟件僞裝成驗證碼檢查，誘使用戶復制竊取錢包數據、瀏覽器cookie和私鑰的代碼。

SlowMist認爲，大多數Web3攻擊並不是來自復雜的技術，而是由於用戶急於行動且缺乏驗證。

因此，放慢一步，仔細檢查信息來源，避免快速操作是保護自己在Web3不斷變化環境中最有效的方法。

孔明