7100萬美金的幣轉錯帳戶！他和駭客激情對線竟把錢要回來了？

最近，區塊鏈安全公司Cyvers披露一起加密貨幣詐騙案。受害者糊塗之間，自己給騙子轉帳7100萬美元（約23億元新台幣），其中的騙術更是簡單到讓人無言⋯⋯


（相關報導）

肇事的駭客所使用的騙術被稱為「地址詐騙」或「網路釣魚」，透過仿冒WBTC（一種以太坊網路上的跟比特幣掛鉤的ERC20代幣）錢包地址行騙。他們專盯一些錢包裡餘額比較多的有錢用戶，模仿他們真實的以太坊錢包地址，仿製一個假的錢包地址。以太坊錢包地址是一串長長的字符，最長可達42位，假地址的前、後幾位數字跟真地址相同，只有中間不一樣。

就例如，最近這位受害用戶的真實錢包位址為：0xd9A1b0B1…cB2853a91。駭客仿製的假錢包位址為：0xd9A1C378…244853a91。兩個帳號開頭都是「0xd9A1」，結尾都是「853a91」，很有迷惑性。隨後，駭客會用假地址給受害用戶一些小額轉帳，讓假地址出現在他的轉帳記錄中。等受害用戶下次想往自己的真實地址轉帳時，可能會從轉帳紀錄直接複製錢包地址，這是很多人都有的習慣。這時萬一受害用戶沒仔細核對地址，比如只檢查前幾位或後幾位數字，很可能發現不了這個地址是假的，就這麼稀里糊塗轉帳給駭客。這種騙術並不高明，駭客們賭的就是使用者是否細心。


（加密貨幣詐騙）

5月3日，這位受害用戶就是因為一時疏忽，把1155個WBTC幣轉帳到駭客的假地址，損失高達7,100萬美元。受害用戶發現被騙後，一直在留言給駭客溝通，希望對方知趣把錢退回來。「你贏了兄弟。自己留下10%，把90%退回來。然後我們都把這件事忘了吧。你我都明白，700萬美金足以讓你生活得更好，但7000萬會讓你睡不好。 」


（受害用戶留言）

看了這則留言，騙錢的駭客還很猖獗。

「你可以把（錢包裡）剩下的160萬Dai幣轉給我。6800萬美元加上160萬美元是多少來著？我會好好使用的。」


（駭客留言）

「把你剩下的Dai幣轉到這個地址，我會決定是否退還90%。如果你不這樣做，你將不會再收到我的消息，我也不會再回覆。我知道你看見我的上一條訊息了。」


（駭客留言）

第一回合雙方互不退讓，接下來受害用戶連著傳了三封訊息給駭客。

「第二條也是最後一則訊息。你我都知道沒辦法把這筆錢全部洗白。你會被追蹤的。你我也都明白'睡個好覺'這個詞跟你的道德和倫理無關。 」


（受害用戶留言）

「儘管如此，我們還是鄭重承諾給你10%。把90%退回來吧。在世界標準時間2024年5月6日上午10點之前，你還有24小時的時間做出一個會改變你生活的決定，無論是何種決定。 」


（受害用戶留言）

「之後就沒有回頭路了。PS：我們還沒在推特上發任何內容。 」


（受害用戶留言）

受害用戶又是好言相勸，又是曉之以利害，這下子騙錢的駭客終於被說服。駭客大概是怕事情鬧大無法收場，萬一有人查到他的真實身分就完了，於是決定服軟。駭客給受害用戶留言說：「請留下你的Telegram帳號，我會跟你聯絡。」


（駭客留言）

從週四開始，駭客已經陸續給受害用戶退款…


（加密貨幣交易）

根據安全應用De.Fi的研究人員統計，2023年加密貨幣用戶因被詐騙、受到Rug Pulls攻擊（類似捲錢跑路）和駭客攻擊損失近20億美元。金額雖然龐大，但已經比前一年下降了，大約是2022年損失金額的一半…