Pepe迷因幣官網遭前端攻擊:Inferno盜幣工具再現威脅
近日,熱門迷因幣Pepe(PEPE)的官方網站遭到惡意攻擊,使用者被悄悄導向釣魚連結。根據Web3資安公司Blockaid的通報,攻擊者在網站前端植入了「Inferno Drainer」惡意程式碼,此舉可竊取連接錢包的數位資產。儘管PEPE幣價短期內未出現劇烈波動,但此次事件再次凸顯加密生態中前端安全的脆弱性。
什麼是前端攻擊?Pepe官網如何被入侵?
與傳統駭客直接入侵伺服器不同,前端攻擊通常針對網站的公開介面下手。攻擊者透過篡改HTML、JavaScript等前端資源,在用戶瀏覽器載入頁面時注入惡意腳本。
「Blockaid偵測到Pepe官網前端含有Inferno Drainer程式碼,屬於已知的盜幣工具家族。這是一起典型的前端妥協事件——使用者被導向偽造頁面,進而觸發錢包盜取機制。」換言之,即使使用者輸入的是正確網址,仍可能在毫無察覺的情況下授權惡意合約,導致資產被清空。
Inferno Drainer:持續擴張的盜幣工具生態
Inferno Drainer並非單一惡意軟體,而是一套完整的詐騙工具組,包含釣魚網站模板、錢包盜取模組與社交工程素材。儘管其開發團隊曾在2023年宣稱將關閉服務,實際活動卻在2024年大幅升溫。
- 2024年初:每週新增約800個惡意Inferno DApp
- 2024年中:每週新增量暴增至2,400個(成長三倍)
- 關聯事件:包括BNB X官方帳號遭接管、多起社群平台釣魚攻擊
前Blockaid工程師Oz Tamir指出,該工具組已被廣泛用於針對迷因幣愛好者的詐騙行動,因其目標族群常缺乏嚴謹的安全意識。
用戶該如何自保?實用防護建議
面對日益精巧的前端攻擊,被動信任官方連結已不夠安全。以下措施可大幅降低風險:
驗證網址與SSL憑證
即使看似官方網站,也應仔細檢查URL是否完全正確(例如有無多餘字元或非常見域名)。同時確認瀏覽器顯示鎖頭圖示,代表連線經過加密。
使用錢包安全工具
推薦安裝如Blockaid、MetaMask Phishing Detector等擴充功能,這些工具能即時掃描頁面是否含已知惡意合約。
拒絕隨意簽署交易
切記:任何要求「連接錢包」或「簽署授權」的彈出視窗都需高度警惕。尤其是迷因幣相關網站,更應避免授予「無限授權」(infinite approval)。
| 安全行為 | 高風險行為 |
|---|---|
| 手動輸入已知正確網址 | 點擊社群媒體中的短網址 |
| 定期撤銷未使用DApp權限 | 對所有彈出請求一律點「同意」 |
常見問題解答
如果我曾訪問Pepe官網,錢包是否一定被盜?
不一定。只有在您主動連接錢包且簽署了惡意交易(例如「授權」或「轉帳」)時才會受損。若僅瀏覽網頁而未互動,風險極低。
如何檢查錢包是否已被授予惡意權限?
可使用revoke.cash或etherscan.io的「Token Approvals」功能,查看並撤銷可疑DApp的代幣授權。建議每月定期清理一次。
Inferno Drainer主要針對哪些區塊鏈?
目前以Ethereum、BNB Chain和Base鏈為主,因其用戶基數大且迷因幣交易活躍。但其他EVM相容鏈也可能受波及。
官方修復後,是否可立即恢復使用?
建議等待第三方資安公司(如Blockaid或CertiK)發布「已修復」確認公告後再訪問。自行判斷可能誤入仿冒鏡像站。
PEPE幣價為何未大跌?
迷因幣價格多由社群情緒與投機資金驅動,短期安全事件未必立即反映在幣價。但長期來看,頻繁安全事故將損害項目可信度。
