Web3 專業開發者教你如何守護數位資產：30種詐騙攻防手法全面解析（iThome鐵人賽系列書）

＜內容簡介＞

揭露 Web3 無所不在的風險

真實案例深度分析，掌握 Web3 核心技術

本書內容改編自第15屆 iThome 鐵人賽 Web3 組冠軍系列文章《Web3 全端工程師的技術養成之路》。隨著區塊鏈與虛擬貨幣的快速發展，各種詐騙釣魚手法層出不窮，使用者往往在不知情的情況下，資產就已被盜走，而這些手法背後隱藏了許多 Web3 的底層技術原理與細節。

本書是第一本從技術原理角度深入分析各種詐騙與攻擊手法的書，涵蓋了 Web3 世界中所有可能遇到的環節。無論是在中心化交易所投資虛擬貨幣，或是使用去中心化錢包操作 DeFi、NFT 等智能合約，都存在許多需要注意的風險。甚至在日常使用電腦、手機時，如果沒有養成良好的資安習慣，手中的虛擬資產就可能成為駭客的目標，一瞬間便可能造成鉅額損失。

因此，提升自己的資安意識絕對是有益的，能幫助我們在關鍵時刻自保。Web3 所提倡的願景是讓每個人都擁有資產與身份的自主權，而不僅止於金融上的投機炒作。在這樣的未來趨勢下，希望本書能幫助讀者做好準備，安心地探索 Web3 帶來的新機會。


重點摘要
✦ 深入淺出
Web3 新手也能從基礎學起
✦ 駭客手法
最新真實案例與原理解析
✦ 防禦方式
建立個人資安守則、避免詐騙
✦ 主題全面
涵蓋所有使用者與開發者面向


目標讀者
▷ 想保護自己資產不遭到區塊鏈詐騙的加密貨幣投資者
▷ 想學習區塊鏈、Web3 行業技術的開發者
▷ 對尖端金融科技感興趣的金融領域從業人員
▷ 想了解區塊鏈所帶來的機會、風險與未來趨勢


★專家推薦：

作者想透過此書，替讀者構建使用 Web3 服務、開發 Web3 應用程式的基本安全意識，以及知識框架。搭配大量的圖片與豐富的真實案例，例如閃電貸、空投 NFT 等等。讓讀者在閱讀時，感受到內容更具體，更貼近現實世界。當你在閱讀時，可充分的感受到作者在 Web3 和數位資產安全領域的豐富經驗，透過閱讀這些內容來節省自己的時間和精力。這並非是一本理論書籍，而是偏向於實用指南，引導你如何在現實中保護自己的數位資產。
──── 劉艾霖｜iThome 鐵人賽 評審

本書作者在 Web3 領域深耕多年，並榮獲 iThome 鐵人賽冠軍，憑藉其豐富經驗，對中心化交易所、去中心化交易所、智能合約和錢包等相關風險資訊進行深入分析研究，並慷慨地與大眾分享。此外，書中揭露了 30 種攻擊或詐騙手法，並提供相應的防護建議，這些內容都值得讀者細細品味。相信此書能帶給讀者豐富的知識與實用的技巧，是不可或缺的參考資源。
──── 徐千洋｜台灣駭客年會創辦人、CYBAVO 共同創辦人

本書最重要的價值，在於它對提升安全意識的幫助。書中強調了駭客手法的快速迭代，並指出了在這樣一個變幻莫測的環境中，唯一能夠真正保護我們資產的，是用戶自身的警覺和多方驗證能力，每一個人都是自己的第一線守護者。從未經意識到的釣魚網站，到智能合約漏洞，這本書警醒我們，唯有「所見即所簽」——在每一次交易前，確認每一個細節，才能在這個高度數位化的世界中，保護好自己的資產。
──── SunSec｜XREX 集團資安長 & DeFiHackLabs 創始人


★目錄：

Chapter 01 區塊鏈簡介與風險
1.1 區塊鏈精神
1.2 詐騙類型
1.3 還有哪些風險

Chapter 02 中心化交易所
2.1 什麼是中心化交易所
2.2 中心化交易所風險
2.3 如何安全使用

Chapter 03 進入去中心化的世界
3-1 什麼是錢包
3-2 去中心化錢包的特性
3-3 安裝 MetaMask
3-4 初探 MetaMask
3-5 有了錢包接下來呢
3-6 區塊鏈與私鑰
3-7 錢包的種類
3-8 區塊鏈瀏覽器
3-9 去中心化世界的安全

Chapter 04 區塊鏈應用原理：交易與簽名
4-1 主網與測試網
4-2 獲取測試幣
4-3 使用 Uniswap
4-4 區塊鏈交易組成
4-5 交易手續費
4-6 Nonce
4-7 Chain ID
4-8 簽名訊息
4-9 Sign Personal Message
4-10 Sign Typed Data
4-11 其他 EVM 相容鏈
4-12 其他非 EVM 相容鏈
4-13 小結

Chapter 05 智能合約基礎
5-1 為什麼需要智能合約
5-2 智能合約基礎
5-3 智能合約開發
5-4 ERC-20 標準
5-5 ERC-20 智能合約實作
5-6 Call Data 與 ABI
5-7 錢包的顯示
5-8 智能合約的 Event Log
5-9 什麼是 NFT

Chapter 06 操作安全
6.1 去中心化世界的安全
6.2 詐騙案例
6.3 惡意簽名交易
6.4 惡意簽名訊息
6.5 Wallet Drainer
6.6 地址投毒
6.7 如何自保
6.8 FAQ

Chapter 07 錢包安全
7-1 假的錢包 App
7-2 密碼強度不足
7-3 錢包備份被駭
7-4 忘記密碼或註記詞
7-5 錢包使用守則
7-6 註記詞保存方法
7-7 使用冷錢包
7-8 使用多簽錢包
7-9 使用社交恢復錢包
7-10 錢包備份方式
7-11 選擇適合自己的方式

Chapter 08 前端與裝置安全
8-1 誘導至釣魚網站
8-2 前端安全風險
8-3 前端安全守則
8-4 註記詞洩漏風險
8-5 惡意軟體
8-6 裝置安全守則
8-7 小結

Chapter 09 進階攻擊手法解析
9-1 Create2 介紹
9-2 Create2 繞過惡意地址偵測
9-3 Create2 簽名釣魚交易分析
9-4 利用正規化繞過惡意地址偵測
9-5 Blur 零元購釣魚
9-6 Permit2 簽名釣魚

Chapter 10 智能合約安全
10-1 基本安全問題
10-2 弱隨機數
10-3 重入攻擊
10-4 如何自保
10-5 小結

Chapter 11 DeFi 安全
11-1 自動化造市商 (AMM)
11-2 價格操縱攻擊
11-3 借貸協議安全
11-4 跨鏈橋安全
11-5 其他 DeFi 攻擊
11-6 如何自保
11-7 學習資源

Chapter 12 其他風險
12-1 公開的註記詞
12-2 特殊地址產生器漏洞
12-3 中心化交易所對敲
12-4 無價值代幣
12-5 代幣與協議 Rug Pull
12-6 MEV 攻擊
12-7 其他鏈的詐騙

Chapter 13 被盜了怎麼辦？
13-1 中心化交易所
13-2 去中心化錢包
13-3 結語


＜作者簡介＞

陳柏叡（Harry Chen）
熱愛區塊鏈與 Web3 技術的全端開發者，曾於多場 Web3 黑客松獲獎，並熱衷研究新的技術，相信分享知識可以讓自己學到更多。現任職於 KryptoGO，致力於創造更加安全、可信、包容的數位世界。