加密货币被盗的主要原因：私钥泄露成第二季最常见问题

私钥泄漏

根据慢雾在周二（2日）发布的报告，受害者私钥泄漏的主因包括将私钥/助记词储存在如 Google 文件等各种云端储存服务中。该报告还警告说，透过微信（WeChat）等通讯软体发送助记词等敏感资讯也会带来风险，尽管这些平台采用如端对端加密等安全措施。慢雾团队写道：

「这些看似提高了讯息安全的行为实际上都极大地增加了讯息被窃取的风险。骇客经常利用「凭证填充」（Credential Stuffing）手法，尝试透过网路上发现的已泄漏帐号凭证资料库来登入这些云端储存服务。如果成功，他们能轻易找到并窃取与加密货币相关的资讯。」

慢雾还指出攻击者也会采用其他诈欺手法来诱骗钱包用户的助记词，例如冒充客服人员、透过 Discord 等平台发送钓鱼连结。慢雾提醒说，在任何情况下都不应把私钥或助记词透露给任何人。

假钱包 App

此外，下载到假装成热门加密货币钱包 App 的假钱包也被指出是私钥泄漏的主要原因之一，这些应用程式主要存在于第三方应用程式商店中。慢雾表示，团队曾经发现在第三方应用商店 APKCombo 上提供的 imToken 钱包的某一版本是一个不存在的版本，「且是目前市面上假 imToken 钱包最多的一个版本」。此外，甚至有一个罕见的案例是，用户因下载到假的 Twitter 应用而导致私钥或助记词被窃取。

根据《crypto.news》报导，这类假应用程式并不是只会出现在第三方应用商店中，上周，一个假冒的 Phantom 钱包绕过了苹果（Apple）应用商店的安全措施，从任何将私钥导入该应用的人那里盗取加密资产。据报导，这个假 App 已从应用商店中被移除。

网路钓鱼

慢雾指出了加密货币用户被盗的其他原因还包括社交媒体平台上的钓鱼连结和骗局，遭遇钓鱼攻击的主因是点击到诈骗集团发布在知名加密货币专案帐号下的钓鱼连结评论，若用户接著进行授权和签名，就有可能导致资产损失。

该报告指出，这些假帐号的个人资料或推文内容往往与真正的官方帐号相似，诈骗集团甚至会采用推广工具来提升假帐号的互动和追踪人数，以此提高帐号的可信度。慢雾建议用户采取人员安全意识防御和技术手段防御等策略来加以防范，包括借助各种软硬体工具来确保资产和讯息安全，如钓鱼风险阻断插件 Scam Sniffer。

相关文章：《花小钱钓大鱼，慢雾揭秘 1155 WBTC 钓鱼事件》

貔貅盘骗局

在诈骗方面，慢雾指出最常见的手法是「貔貅盘」，其收到的第二季被盗表单所提到的大部分貔貅币发生在 BNB 智慧链（BSC）上。诈骗集团通常会诱骗受害者购买只能买不能卖的貔貅币，并透过拉盘制造快速升值的假象，以诱使受害者加大投资。慢雾还指出，许多市场参与者在当今迷因（Meme）风盛行的同时追逐这波「土狗热」，「却无意中步入貔貅盘的陷阱，购买后再也无法将其出售」。

慢雾团队建议用户在进行交易前，应先对代币进行检查和确认，包括使用像 MistTrack 或 GoPlus 的安全检测工具来查看代币相关地址的风险情况、在区块浏览器上检查智能合约代码是否经审计和验证、阅读相关评论、查阅项目方背景以及提高自我防范意识。

资料来源：慢雾（SlowMist）、crypto.news