web3 去中心化的特性讓許多人著迷，但大家卻不一定注意到更大的權力其實也代表更大的責任，過去 web2 時代網站後端所默默幫忙處理的驗證事務現在一部分也已經轉移到 web3 的使用者，五花八門的驗證請求送到使用者面前，沒有受過專業訓練的使用者要如何招架？本演講將會為聽眾介紹 web2 和 web3 驗證的差異以及常見的詐騙手法

自 2019 年去中心化金融 (DeFi) 問世以來，區塊鏈上的駭客攻擊事件總數已超過 700 件，損失金額達 230 億美元以上。同時，部分受制裁國家也利用使用區塊鏈技術發動攻擊，獲取極為可觀的收入。透過數據分析，可以看到 Web3 安全議題仍處早期發展階段，因為相對有限的資源及入門的難度，對於不少剛接觸 Web3 的使用者而言，體驗不如傳統應用服務來來得優秀。儘管如此，Web3 的發展潛力巨大，未來將對國際金融系統，乃至人類經濟運行模式帶來許多革命性的變化。

本次議程中，我們將從藍隊角度解析 Web2 和 Web3 之間資安的差異與防禦邏輯，並分析 Web3 項目方所面臨的安全挑戰，包含 XREX 近期觀察到的駭客攻擊與金融欺詐事件。最後，我們將揭露 Web3 攻擊手法，分享 XREX 是如何利用這些資源，建構完善的防禦工具，為加密貨幣行業的參與者，提供實際的安全建議，以保障其安全。

我們期望透過資安大會，分享 Web3 產業內的經驗和資訊，帶領大家從過去的實例中學習，並有機會更近一步參與 Web3 行業的發展。同時，我們也希望可以吸引更多的 Web2 安全專家進入 Web3 領域，共同構建一個更安全的去中心化生態系。

在 2022 年時，NFT 與 Defi 大爆發，許多人都學習如何使用去中心化錢包來共襄盛舉。但同時，駭客也在虎視眈眈，大量的使用釣魚手法來詐騙得利。由於去中心化錢包仍在發展當中，許多複雜的技術讓新手小白使用起來很困惑，也增加了許多出錯的機會。 而各家廠商紛紛推出一些解決方案，透過許多方式讓使用者可以避免被詐騙。此議程將會介紹目前的主流的保護方法，讓大家在使用時有更多認識。

智能合約是現今去中心化金融 (Decentralized Finance) 的關鍵技術，但因為合約漏洞導致龐大財產損失的消息卻時有所聞，常常聽到因一行程式碼或是邏輯設計的錯誤而導致可觀數字的美金一夕消失。因此智能合約的開發嚴謹性應要比一般軟體更加受到重視。除了利用成本高昂的人工審計來對合約內容進行檢查外，現今也有各種 Rule / Fuzzing-based 的自動化掃描工具，讓開發者能夠更快速且低成本的進行程式檢查。我們使用了大量的合約訓練 AI 模型，並使用基於 Transformer 技術進行模型開發，能夠提供準確度及偵測速度都表現良好的 AI 漏洞偵測工具