從 Cloudflare 報告看幣圈爆倉：狂熱與詐騙交織的危險遊戲

幣圈再度陷入風暴！短短數日間，加密貨幣市場連環爆倉，單日清算金額超過 190 億美元，比特幣一度跌破 11 萬美元大關，主流幣如 Ethereum、Solana 也接連重挫。市場情緒從「衝上月球」瞬間轉為「自由落體」，許多投資人資產幾乎在一夜之間化為烏有。

Cloudflare 近日發布的研究報告《Bitcoin to the moon: Trump endorsing, scammers exploiting》揭露了更深層的現象：在這場狂熱與恐慌交織的市場裡，不僅價格劇烈震盪，詐騙與資安攻擊也正同步蔓延。從假投資平台、名人背書詐騙，到 Discord、X（原 Twitter）上偽裝專案帳號的釣魚陷阱，駭客與詐團正在乘著投資者「害怕錯過」（FOMO）的心理，設下更精密的圈套。

這場爆倉潮背後的成因，遠不止市場波動那麼簡單。高槓桿操作讓風險被無限放大，美中貿易緊張與監管政策不確定性更讓信心瞬間崩塌。這是一場典型的「高風險市場骨牌效應」——當貪婪與恐懼輪番上場，任何缺乏風險控管的系統都可能在瞬間瓦解。

 

這篇文章將從兩個面向深入分析：

一是 爆倉潮的市場結構性因素——槓桿、流動性與情緒化交易如何交織成災；
二是 詐騙與攻擊的滲透路徑——假平台、NFT 空投與社交工程如何在風險放大的時刻乘虛而入。
藉由這兩條線索，我們將重新檢視加密世界的脆弱邊界，並思考：在這個資訊與信任都被重新定義的時代，我們該如何為自己築起真正的安全防線。

比特幣價格飆升至前所未有的高位，突破10萬美元大關，對投資者來說意義非凡，象徵主流認可和巨大的金融機會。值得注意的是，據報道，沃倫·巴菲特旗下的伯克希爾·哈撒韋公司已開始涉足加密貨幣相關投資，這標誌著他先前對加密貨幣的批評發生了重大轉變。

唐納德·川普總統上任首周就發布了一系列行政命令，其中包括一項題為「加強美國在數位金融科技領域的領導地位」的行政命令。該命令成立了一個工作小組來審查數位資產監管規定，並提議建立國家比特幣儲備。2024年《比特幣法案》以及美國證券交易委員會對比特幣和以太坊ETF的批准進一步增強了人們對加密貨幣的關注，旨在將美國定位為全球市場領導者。該法案推動建立國家比特幣儲備，任命對加密貨幣友善的監管機構，並鼓勵廣泛採用數位資產。

鑑於這些發展，Cloudflare 電子郵件安全 (CES) 發現，利用川普 NFT等近期事件的加密貨幣相關詐騙活動急劇增加。這些詐騙主要冒充合法的比特幣錢包，例如 Ledger 和 Binance，利用人工智慧聊天機器人等先進技術偽裝成客服人員，試圖取得目標錢包的存取權限。

鑑於區塊鏈和加密貨幣的不可逆性，這些發展凸顯了不斷提高監管清晰度的重要性，而不是像美元或英鎊這樣的傳統法定貨幣。

本文探討了這些騙局背後的策略，為網路犯罪活動提供了寶貴的見解，並提供了實用建議，幫助個人和組織在這種快速變化的威脅情況下保護自己。

 

利用川普名字的網路釣魚計劃

川普總統最近就職，加上他對加密貨幣的支持以及以他的名字命名的加密貨幣的推出，引發了一波利用唐納德·川普名字的網路釣魚詐騙浪潮。一些偽造的 NFT「數位交易卡」（如下圖所示）以及其他與加密貨幣相關的產品，紛紛湧現，吸引著那些被獨家 NFT 和所謂官方合作關係的誘惑所吸引的愛好者。

這些騙局利用看似專業的網站和電子郵件，冒充合法的比特幣平台，誘使用戶點擊惡意連結並進行詐騙交易。詐騙案件的激增凸顯了犯罪分子如何迅速地利用公眾利益，利用高調的人物和事件來增加欺騙的可信度。

 

上述釣魚郵件敦促收件人如果錢包中已經擁有 Trump Meme 幣和以太坊，就領取免費的 Trump NFT。郵件底部標有“立即領取您的免費 NFT”的行動號召指向一個縮短的 URL，hxxps://clvr[.]ch/PxEgx。調查時，該惡意網站已被德國通訊公司 Clever Reach 關閉，攻擊者利用該公司發送負載。然而，Cloudflare 的分析師懷疑它可能導致了 OpenSea Crypto Drainer。此外，這封郵件是從被入侵的寄件者網域發送的，使用地址為 trump@marmorstone.it。該網域於 2009 年首次註冊，突顯了攻擊者使用的常見策略：使用較舊的寄件者網域繞過旨在阻止新註冊網域 (NRD) 接觸用戶的電子郵件保護措施。

CES 的研究人員還注意到，這些加密釣魚郵件中包含的許多連結都啟用了地理圍欄功能，導致重定向到Google主頁。攻擊者使用這種策略來阻止目標使用者以外的任何人造訪和分析網站。

 

加密貨幣領域威脅日益加劇

加密貨幣的日益普及，無意中為威脅團體提供了新的途徑，讓他們得以利用毫無戒心的投資者。加密貨幣的繁榮也吸引了規模更大、組織更嚴密的威脅行為者。這些經驗豐富的行動者運用先進的手段和大量資源，例如創建虛假的投資平台、使用深度偽造技術以及看似可信的網站。

美國聯邦調查局 ( FBI ) 報告稱，加密貨幣相關詐騙案件大幅增加，2023 年損失超過 56 億美元，因為詐騙者利用了比特幣上漲帶來的「錯失恐懼症」(FOMO)。 FBI 的數據涵蓋了與加密貨幣相關的各種詐騙，包括投資詐騙、技術支援詐騙和愛情詐騙，這些詐騙共騙了受害者數十億美元的資金。而下圖則聚焦了透過駭客事件竊取的加密貨幣。

 

 

在這些駭客事件中，一種日益流行的惡意軟體是加密貨幣竊取程序，其主要目的是枚舉和識別所有可用資產，包括加密貨幣、代幣和 NFT，以便從受害者的數位錢包中竊取資金。攻擊者無需種子短語（用於生成錢包私鑰的簡單單字序列）即可竊取您的錢包資金，使用旨在利用毫無戒心的用戶進行欺詐性交易的惡意工具或機制。這些交易看似合法，誘騙用戶批准。一旦獲得批准，交易就會將受害者的資產轉移到攻擊者的錢包。

此外，還有一個令人擔憂的趨勢，即通用資料竊取程式（例如RedLine）正在模糊資料耗盡程式和資料竊取惡意軟體之間的界限。 RedLine Stealer 是一款以惡意軟體即服務 (MaaS) 模式運行的著名信息竊取程序，在黑客論壇上隨處可見，其目的是從受感染的系統中提取敏感信息，包括登錄憑據、信用卡詳細信息和加密貨幣錢包數據，如下所示。

攻擊向量

以下重點介紹了 Cloudflare 的 CES PhishGuard 團隊觀察和追蹤的比特幣威脅組織可能利用的攻擊媒介。

冒充詐騙

攻擊者經常冒充客服人員或知名公司代表，誘騙用戶交出敏感憑證或轉移資金。這些騙局通常會製造緊急狀況，聲稱有帳戶洩露或交易被標記等問題。攻擊者利用大品牌的聲譽獲取錢包的助記詞，繞過交易審批，獲得對錢包的無限制控制權。這使得他們能夠比「冷儲存」更快地轉移資金和資產。

僅僅一個由 24 個單字組成的組合，就足以讓我們任何人損失 240 億美元（目前最大的比特幣錢包）。雖然這聽起來可能很可怕，但它代表著 256 位元的熵——一個天文數字般的 2^256 種組合。不幸的是，真正的風險不在於暴力破解，而是針對這個種子短語的社會工程攻擊。

 

冒充他人取得憑證－攻擊生命週期和關鍵特徵

在近期觀察到的另一起冒充活動中，攻擊者創建了一個冒充知名加密貨幣錢包 Ledger 的網站。隨後，他們發送釣魚郵件，其中包含與 Ledger 品牌高度相似的標誌、字體和設計元素（如下圖所示）。該郵件偽裝成安全通知，引導使用者點擊「驗證我的恢復短語」按鈕。該連結會將用戶引導至 ledgerprotecthub[.]com，這是一個最近創建的虛假網站，旨在竊取帳戶憑證和資金。用戶以「驗證」或解決虛假安全問題的名義輸入助記詞，卻在不知情的情況下將錢包的完全訪問權限授予了攻擊者。

 

冒充他人竊取種子短語－攻擊生命週期和關鍵特徵

雲端挖礦

雲端挖礦允許個人從遠端資料中心租用硬體或哈希算力，從而無需管理實體設備即可挖掘加密貨幣。該領域詐欺行為猖獗，詐騙者承諾提供高額且不切實際的自動加密貨幣挖礦服務，並以誘人的獎勵和令人信服的推薦信吸引受害者。受害者通常被要求提供個人資訊或支付預付款，但卻發現承諾的利益從未兌現。一個值得注意的詐欺案例是HashOcean案，這是一家自稱可以處理大規模挖礦作業的雲端挖礦服務公司。儘管 HashOcean 在網路上表現得非常專業，但後來發現它實際上沒有任何挖礦基礎設施，而是以龐氏騙局的形式運作，捲款潛逃投資者的資金。

以下是 Cloudflare Phishguard 團隊識別的一個雲端挖礦釣魚網站範例。在該攻擊活動中，用戶會收到一封未經請求的電子郵件，內容為“您已從我們的自動挖礦程序中賺取了 1.34 BTC！”，其中包含一個領取獎勵的鏈接（本例中為 fdeumining[.]top）。點擊該連結會導致個人資料被竊取或財務損失，其中可能包括身分證明文件。

 

雲端挖礦－攻擊生命週期和關鍵特徵

空投詐騙

合法的空投通常用於區塊鏈專案分發免費代幣，通常用於推廣新代幣或獎勵忠實用戶。欺詐性空投則利用此概念和「免費加密貨幣」的吸引力，誘使用戶執行錢包操作或支付少量費用來獲取代幣。目標用戶可能會注意到錢包中的代幣，並嘗試將其兌換成更理想的代幣，但卻發現兌換失敗。這可能會引導他們進入區塊瀏覽器，在那裡他們會收到一條訊息，指示他們透過第三方網站領取代幣。攻擊者的最終目標是獲取錢包存取權限或直接竊取資金。

在 Phishguard 團隊調查的另一起攻擊活動中，目標收到了一封釣魚郵件，郵件內容為「領取您的免費空投——只需連接您的錢包即可接收代幣」。如果目標點擊郵件中提供的鏈接，他們將被引導至如下所示的惡意平台，並最終被提示輸入憑證，從而導致錢包被盜用。

 

空投詐騙－攻擊生命週期和關鍵特徵

虛假加密應用程式

犯罪分子開發與合法加密錢包和交易平台非常相似的欺詐性應用程序，並將其發佈在非官方應用商店或欺騙性網站上，旨在誘騙用戶下載。一旦安裝，這些應用程式就會竊取敏感資訊，例如恢復短語、私鑰和身份訊息，從而導致未經授權的存取和潛在的盜竊。謹慎行事至關重要，正如微軟商店發現的一款假冒 Ledger Live 應用程序，導致總計 76.8 萬美元的損失。

以下是透過電子郵件推廣假冒 Ledger 應用程式的攻擊活動範例，該活動引導用戶訪問 ledgerlielp.gitbook[.]io。該詐騙網站模仿 Ledger 的品牌，承諾提供正品應用中不存在的新功能，誘騙目標用戶洩露個人資訊。

 

虛假加密應用程式－攻擊生命週期和關鍵特徵

 

電話詐騙

攻擊者利用各種通訊平台，包括簡訊、電話和電子郵件，冒充交易所或錢包提供者的支援團隊。他們聲稱用戶帳戶存在可疑活動，以此製造緊迫感，迫使用戶分享種子短語或雙重身份驗證 (2FA) 等敏感資訊。

在下面的電話詐騙範例中，目標收到一封電子郵件，提醒他們有一筆 BTC 付款從他們的 PayPal 帳戶使用一個陌生的 IP 位址進行，並敦促他們撥打提供的電話號碼。出於擔憂，目標可能會撥打該號碼，結果卻接到了冒充 PayPal 支援代表的騙子。騙子聲稱：「您的帳戶因可疑活動已被鎖定。請提供您的雙重認證碼以重新獲得訪問權限。」受害者相信來電者的合法性，可能會提供代碼，從而允許攻擊者訪問他們的帳戶和資金。

在這次攻擊活動中，攻擊者使用了「dse_na4@docusign.net」位址，該位址預期是 DocuSign 的寄件者（即用於繞過防禦措施），但這是一個明顯的危險信號，因為它與 PayPal 誘餌無關。此外，「回覆」欄位顯示了一個 Guerrilla Mail 位址（「@grr.la」）。 Guerrilla Mail 是一種提供一次性電子郵件地址的服務，這些地址通常被用於網路釣魚攻擊，以提供匿名性並逃避垃圾郵件過濾器或黑名單。

 

電話詐騙－攻擊生命週期和主要特徵

 

敲詐勒索

威脅行為者會發送威脅性電子郵件或短信，聲稱可以存取目標的個人資訊。他們脅迫受害者支付加密貨幣贖金，以阻止偽造或被盜資料的外洩。這些騙局也經常利用資料外洩資訊來增強說服力。

以下是一個常見勒索方案的範例：目標收到一封電子郵件，內容是：「我們掌握了您的洩露信息——請在 48 小時內支付 1 BTC，否則我們將將其透露給您的聯繫人。」 該郵件可能包含從先前資料外洩事件中獲得的個人信息，但攻擊者通常不持有任何洩露資訊。

為了偵測這些基於文字的攻擊，我們利用人工智慧驅動的情緒分析來識別旨在引發恐懼或緊迫感的語言模式。透過分析上下文線索，我們可以區分合法電子郵件和網路釣魚攻擊。此外，我們也會分析寄件者網域名稱、電子郵件標頭、回覆和連結分數等元數據，以證實懷疑。

 

勒索——攻擊生命週期和關鍵特徵

 

偵測並緩解該活動

Cloudflare PhishGuard 和電子郵件偵測團隊部署了一系列偵測功能，以攔截與加密相關的惡意電子郵件。這些偵測功能評估網域信譽和連結行為，並能夠識別郵件中可疑的加密相關情緒和品牌宣傳。我們在生產環境中將這些高可信度偵測與主動威脅搜尋技術結合，以識別新興的電子郵件威脅。此外，這些偵測還利用我們的機器學習模型，透過分析電子郵件內容、情緒和元資料來偵測和標記惡意郵件。

以下是我們一些與加密相關的檢測的範例以及它們旨在檢測的訊息的描述：

已驗證品牌.加密貨幣.電話詐騙

• 偵測涉及已驗證品牌的冒充詐騙以及與加密貨幣相關的詐欺性電話誘騙。攻擊者通常會冒充支援團隊或安全團隊。

Body.Cryptocurrency.SentimentCM_Scareware.All.Phishing

• 利用專有的人工智慧情感分析技術，透過檢查詞語模式來標記網路釣魚活動。例如，識別並標記那些使用恐嚇手段來引發緊急行動的電子郵件，例如「未經授權的存取」或「帳戶暫停」等短語。

Body.CryptoCurrency.ClassicSpoofed

• 監控電子郵件「信封寄件者」地址以及加密貨幣主題郵件正文是否存在欺騙嘗試。

 

妥協指標