黑客假CAPTCHA攻擊加密貨幣用戶 資金遭盜取逾千萬美元

近期黑客利用偽造CAPTCHA驗證系統誘騙用戶輸入私鑰，導致全球數百名加密貨幣用戶損失逾千萬美元。事件發生於2023年10月至今，主要針對MEXC、Binance等主流交易所用戶，黑客透過偽裝成交易所官方驗證頁面，以「帳戶異常需驗證」為由寄送釣魚連結，誘導用戶點擊後竊取錢包私鑰。受害者多數在手機端點擊簡訊通知，誤以為是交易所安全提醒，實際連結指向惡意伺服器。此手法結合社會工程學與技術偽裝，利用用戶對官方通知的信賴心理，透過短網址或QR碼隱藏真實網址，使驗證頁面外觀與正規平台高度相似，造成防不勝防的資產流失。

技術手法揭露 惡意CAPTCHA隱藏多重陷阱

黑客攻擊核心在於偽造CAPTCHA驗證流程，實際上並非測試人類使用者，而是直接竊取私鑰。攻擊者先透過釣魚郵件或社群媒體廣告，發送帶有短網址的「安全驗證」通知，連結指向精心設計的仿冒頁面。當用戶點擊後，頁面會顯示類似交易所的登入介面，要求輸入「驗證碼」，但實際上驗證碼欄位是隱藏的輸入框，用戶輸入的內容會被自動傳送到黑客伺服器。更狡猾的是，頁面會模擬正常驗證流程，例如顯示「驗證碼已發送至手機」，但實際上無需輸入任何資訊，僅需點擊「確認」按鈕即完成資產竊取。根據區塊鏈分析公司Chainalysis報告，近三個月內類似攻擊案件暴增37%，其中78%針對新手用戶，因他們對錢包操作不熟悉而輕易上當。

行業應對升級 安全防護措施全面推廣

面對持續升溫的攻擊趨勢，主流交易所已啟動多重防護機制。MEXC於10月推出「官方驗證碼防偽系統」，要求所有通知連結必須包含獨特驗證碼與HTTPS加密標誌，並在用戶端顯示「此連結已通過MEXC官方驗證」的水印。同時，交易所與安全公司如Kaspersky合作開發AI偵測引擎，能即時分析連結URL的行為模式，例如檢查是否使用常見釣魚短網址服務（如bit.ly）或IP地址是否屬可疑區域。此外，行業協會加密貨幣安全聯盟（CSA）已制定標準流程，要求所有交易所必須在通知中明確標示「官方服務號碼」，並禁止使用簡訊直接發送驗證連結，改為透過APP內通知推送。這些措施使2023年Q4釣魚攻擊成功率下降至15%，較年初的42%顯著改善。

用戶防護指南 建立三層防線避免資產損失

專家強調，用戶自身防護是關鍵，需建立「確認、驗證、備份」三層防線。首要步驟是嚴格核對網址，所有官方通知連結必須以「.mexc.com」結尾，且網址欄需顯示綠色鎖頭圖示。切勿點擊簡訊或郵件中的連結，應直接打開官方APP或手動輸入網址進入。其次，啟用雙重驗證（2FA）時，務必選擇TOTP驗證碼或硬體金鑰，而非簡訊驗證，因簡訊易被竊取。最後，定期備份助記詞並儲存於離線裝置，避免將私鑰儲存於手機。根據安全研究機構SecureCode的調查，採取上述措施的用戶受攻擊機率降低89%。此外，用戶應養成定期檢查錢包交易記錄的習慣，若發現異常交易，應立即聯繫交易所凍結帳戶，並向警方提交區塊鏈交易哈希值作為證據。