• 發布單位:TWCERT/CC
• 更新日期:2022-10-11
• 點閱次數:130

資安廠商趨勢科技近日發表研究報告，指出有一個稱為「Water Labbu」的駭侵團體，在多個用來詐騙加密貨幣的詐騙網站中植入 JavaScript 惡意程式碼，竊走近 32 萬美元等值的不法加密貨幣詐騙所得。

在趨勢科技的報告中指出，Water Labbu 成功在至少 45 個用來詐騙加密貨幣資產的詐騙網站中，搶先詐騙者把誤入詐騙網站受害者加密錢包中的加密貨幣竊走。

在 2022 年 7 月時，美國聯邦調查局曾發出資安警訊，表示有一波去中心化金融應用程式的詐騙攻擊正在大規模進行中；詐騙者偽裝成各種加密貨幣流動性挖礦伺服器，以高額利率和假冒知名流動性挖礦池，誘騙用戶質押自己擁有的加密貨幣，再將這些質押的加密貨幣竊走。

據趨勢科技的報告指出，Water Labbu 在這些假冒的去中心化應用程式網站中植入的 JavaScript，能夠搶在詐騙網站之前，先行偵測受害者的加密貨幣錢包中是否存有 0.005 枚以太幣或 22,000 枚 USDT 穩定幣的高額加密貨幣，若有即以多種方法，將錢包內的加密貨幣轉帳至 Water Labbu 控制的錢包位址內。

趨勢科技說，該公司資安團隊發現 9 名遭到這種雙重詐騙手法的受害者，被竊的加密貨幣總額等值高達 316,728 美元。

雖然這是一起「黑吃黑」事件，但受害者仍然蒙受鉅額加密貨幣損失；提醒加密貨幣投資人，絕對不要受到不合理高利率的誘惑，任意在社群媒體或論壇中點按不明人士提供的投資管道相關連結，以免受到詐騙或遭駭侵攻擊。