加密货币钱包ZenGo 近日发表了一篇文章称,在谷歌搜索「比特币二维码生成器」(bitcoin qr generator)时,经他们的研究证实,前5 个结果中有四个会指向诈骗网站。
据ZenGo 团队称,这些网站声称可提供比特币钱包地址生成QR Code(二维码)的服务,然而,在不法网站上提供的QR Code 实际上是被导向诈骗者控制的地址,而不是用户请求的地址,从而将所有交易都传到诈骗者手中。
由于QR Code 可让两个设备之间传送加密货币时达到一种简单、快速的共享方式,在面对面的销售点交易中显得特别有用,省去复制贴上,也避免了必须人手输入很长的代码而产生的不便,但这却不幸成为不法之徒的「诈骗工具」。
据ZenGo 调查发现,图中搜索结果的第2 和第3 个网站是涉嫌诈骗。
骗局是怎样来的?
以下是ZenGo 团队做的测试。
首先,以「18Vm8AvDr9Bkvij6UfVR7MerCyrz3KS3h4」作为要求生成QR Code 的地址。
然后在程式码中发现,实际上是被匹配了另一个地址的二维码(17bCMmLmWayKGCH678cHQETJFjhBR44Hjx)。
另一个地址17bCMmLmWayKGCH678cHQETJFjhBR44Hjx
ZenGo团队更指出,在查看程式码时发现,该诈骗网站甚至不打算用自己的「比特币二维码生成器」,因为受害人被导向的诈骗者地址实际上是别一家公司blockchain.info的API产生的。
除此以外,ZenGo 还补充指,一些诈骗者不只是创建一个导向他们地址的QR Code,而且还为他们的「骗局」添加了一些额外的元素:
自定义地址:比特币支持多种地址格式。最值得注意的是,常规地址以'1'开头,SegWit以'3'开头,Bech32地址以'bc'开头。一些诈骗网站以所请求地址的相同格式创建QR Code,如果受害者没认真验证地址,他们就可以实行诈骗。
更改剪贴簿上的地址:一些诈骗网站将他们的诈骗地址放在剪贴簿中,因此如果受害者贴上剪贴簿中的值来验证QR Code,就会上当了。
ZenGo 团队表示,由于比特币区块链的公开性,有助他们能够收集一些关于这些骗局是否得以成功的统计数据。总结他们的观察所得,透过提供假的「比特币二维码生成器」来诈骗所涉及的金额约值2 万美元。但他们直言,「这只是冰山一角,因为诈骗者可能会更改其地址以避免被发现和列入黑名单。」
ZenGo 团队最后作出建议称,如果您真的需要将您的地址导出为QR Code,一、不要直接透过谷歌搜索,请使用已知的安全网站;二、请谨慎验证,在共享QR Code 前,请使用钱包应用程式进行扫描,并确认扫描的地址是您的原始地址。
另外,早前有报导指,韩国司法部估计,加密货币相关的犯罪行为在2017 年7 月至2019 年6 月期间,已对当地造成了2.69 万亿韩元(约合22.8 亿美元)的财务损失。