https://udn.com/news/story/121591/5930339
90萬積蓄全沒了！他玩虛擬貨幣慘遭駭客入侵 「兩疏失」血本無歸
2021-12-01 17:36 聯合新聞網 / 綜合報導
近兩年來比特幣價格水漲船高，不少民眾想靠虛擬貨幣翻身，卻容易忽視了其背後包括匿
名性、跨國性等衍生出的高風險。一名25歲網友在臉書分享自身慘痛經驗，表示接觸虛擬
貨幣近一年，日前卻遭駭客入侵，市值達90萬的積蓄一夕全沒了，也提出自己在投資上的
疏失，以此警示所有投資人。
原PO在臉書社團「爆料公社二社」發文表示，自己日前在使用 MetaMask 錢包（俗稱「小
狐狸錢包」，為儲存虛擬貨幣的線上錢包）遭駭客入侵，由於加密貨幣是浮動的，詳細金
額難以估計，恐造成70至90萬元的損失。
原PO表示，自己平時非常警惕，不隨意進入釣魚網站、電腦定期掃毒等，但某天卻發現錢
包中的加密貨幣遭駭客轉為他種虛擬貨幣、以不同網站分兩筆匯出。原PO事後反省認為犯
了兩疏失：一、把所有錢都統一放在一個籃子（意指錢包）；二、沒有使用硬錢包（冷錢
包）儲存虛擬貨幣，也發現國外早有許多網友發生過同樣案例。
然而託管貨幣的線上錢包僅需12個英文字母即可登入，在 MetaMask 登入及轉帳也不會留
下任何IP，因此原PO可能求助無門，找回這筆積蓄的機率極低。
根據《維基百科》介紹，隨虛擬貨幣蓬勃發展，因應不同的使用情況也發展出不同類型的
錢包，常見可分為「熱錢包」（線上錢包）及「冷錢包」（離線錢包）兩種類。熱錢包可
將虛擬資產儲存於瀏覽器、手機APP上，雖然方便性高、容易操作，安全性卻較低；冷錢
包則需藉由類似USB的硬體設備儲存虛擬資產，只有進行交易時才會連網，大大增加了其
安全性，但較不方便操作，且硬體本身價格也不低。
評論：
蝦皮一堆賣冷錢包的有沒有危險性阿...

意思是狐狸錢包有資安漏洞？

應該是被鍵盤側錄吧

天知道是不是某天連上釣魚網站自己沒注意

搞半天 交易所錢包最安全 還有2FA

交易所最大風險就是倒閉，但是會一群人陪你一起

他這個是自己上了釣魚網站 按了approve才被領光的

我也都這樣用而已，確認權限前都要看一下

財產分coinbase ftx 幣安 max 幣託 五家存放 總不會全爆炸

雞蛋不要放在同一個籃子 交易所硬體錢包各放一些

大幣長HOLD 分幾家交易所放+1 小幣才用狐狸

怕.jpg

主要是他沒用冷錢包啊

再approve啊

出金/轉移都要OTP或驗證碼(auth/email) 請問怎麼盜的

樓上這是metamask

去年小狐狸有山寨的google插件

懂了..結果放交易所還真的比較安全= = 分散放前幾大的

我自己是放幣的官方錢包裡==

買coolwallet 來放應該安全吧？

90又不是什麼大錢

用離線錢包真的要知道自己在幹嘛 要不然很容易被盜 中木馬

買冷錢包 你怎麼知道廠商有沒有備份你的隨機亂數

樓上是被害妄想？

我是覺得 操作錢包 可以選一台乾淨的電腦 只單純操作幣然後別亂點網站...蠻多人錢包中釣魚網站被木馬駭的常用工具網站直接官網存起來 要用直接點用搜尋的 可能前幾個有機會跳出假的 網址要再三確認==

真要安全還是自己寫冷錢包吧 存USB用樹莓派離線簽

我現在是比較想知道交易所錢包的風險XD

90也算是很有感的金額吧 還是會痛的放交易所搞不好都比錢包安全 當然不比冷錢包啦

擔心交易所就儘量用前幾大的交易所吧相對安全，倒了也有人陪 XD

備份亂數urrr 會怕自己擲骰子阿==

冷錢包也有客戶名單流出 引導到木馬網站的前例 非妄想最安全還是用錢包生成工具 拔掉網路頭關掉wifi 完成後直接摧毀作業系統

全球最大交易所版上都不推ZZZzzz 人家還成為華人首富

用冷錢包產生的註記詞可以在加一個自己設的passphrase 可以設特殊字元 就算硬體有備份也猜不到你自己設的passphrase

都不安全，分散風險才是對的，反正創錢包又不用錢

用冷錢包，電腦、手機中毒、駭客入侵，也沒關係，只要你SOP作好，就沒事。這就是為何要買冷錢包~~~

去中心化代表自己要有保護資產的能力

什麼12個英文字母，英文單字啦！助記詞稍微研究一下有90萬還不研究冷錢包，這個是沒有風險管控意識

自己寫冷錢包怎麼知道compiler有沒有被埋後門，建議要操作錢包的時候用紙筆把簽名算出來再key到電腦廣播出去

2fa 還會有風險嗎 連手機都被盜？

2FA假如用Email和簡訊的話都有被盜的可能用Google Autheticator又回到私鑰不要外流https://tinyurl.com/yckrayje交易所最大的風險還是倒閉與封帳，封提款用DeFi本來就要有比用CeFi更高的資安意識因為用DeFi就算用硬體錢包結果亂授權合約還是一樣被盜基本上只要錢包地址被授權智能合約就不能再視為冷錢包

原本用MEW最近也買了兩個冷錢包不放交易所錢包 之前幣寶真的傻眼

簽過合約就可能外露私鑰了嗎？

私鑰不可能外露，簽合約只有可能把權限全給了別人

了解了，硬體錢包永遠不要玩Defi，幸好我都是分開放硬體錢包是拿來HODL一輩子的

智能合約的複雜性非一般人可以驗證的甚至很多通過審計的智能合約也是被駭所以我認為相信智能合約授權跟丟CeFi風險性差不多

智能合約風險更高吧，開發者隨時都能跑路，找都找不到

你認為交易所就找得到？幣安的總部到現在還沒人找到ㄝhttps://tinyurl.com/yckrcwy8應該不會兩個月就蓋好總部了吧

請問像Ledger這種硬件錢包玩Defi還是有可能被駭嗎?

至於那個幣寶，繼續丟給日本人裝死中無論用哪一種錢包，要看清楚智能合約授權的類型並不會因為你用硬體錢包授權就無效了，那誰要用

了解，授權要看清楚才可以按，謝謝大大

就算是用硬體錢包，授權到釣魚網站的智能合約照樣有效很常見的就是釣魚亂空頭token，然後導到釣魚網站

defi網站要注意域名 別被釣了 不然就從defillama找項目在加到我的最愛

昨天看過他的錢包地址，他明明就授權一些奇怪的東西....還說他沒亂碰

自己人偷的吧

至少知道CZ是誰，defi一堆開發者連臉長啥樣都看不到連打官司的機會都沒有

DeFi的確很多匿名開發者，隨便亂丟只會被rug pull

邏輯怪怪，定期掃毒感覺重視資安，卻沒有想到要用冷錢包？

不管看了多少被偷的案列 最後看到的結果幾乎都是自己亂授權 熱冷硬體都一樣被偷光光

因電信業者的SMS 2FA被駭，電信業者沒被告、要賠償嗎?

貪心亂授權，天天想要暴富 只能說活該

用熱錢包感覺不如放幣安

就看你覺得幣安倒閉跟電腦壞掉誰的發生機率高了

我就買點幣安幣放幣安就好