加密牛市不仅为投资者带来造富效应,对于骇客而言也是丰收季节,近期链新闻脸书专页的贴文,就有诈骗留言大幅增加的现象。资安机构慢雾特别整理各种不同的钓鱼手法及诈骗过程,希望加密参与者能更好地防范资安问题。
Drainer-as-a-Service (DaaS) 是什么?
慢雾创办人余弦指出,DaaS 可以理解为针对加密产业的钓鱼工具,知名工具包括:
- MS
-
Pink
-
Angel
-
Pussy
-
Venom
-
Medusa
-
Monkey
-
Inferno
作恶者花钱买了上述 Drainers 工具,并结合成千上万钓鱼网站、行销帐号、各类骗术、漏洞利用、渗透、垃圾广告等,如洪水猛兽冲般涌进加密产业。
加密常见钓鱼手法
余弦列出多种钓鱼工具背后的机制:
-
原生签名利用:eth_sign、personal_sign、eth_signTypedData_* 等,eth_sign 已被众多钱包封阻。
-
授权函数利用:Token/NFT 中的 approve/permit
-
TX data 4byte 利用:Claim Rewards/Security Update
-
授权签名:用 Create2 预创建资金接收地址,绕过相关检测
-
比特币铭文一键批量钓鱼,UTXO 机制
-
各 EVM 链/Solana/Tron 等切换钓鱼
钓鱼路径、诈骗入局手段
余弦强调「钓鱼」是个广泛概念,手法虽多但基本大同小异,而尽管这些手段已相当泛滥,仍不时有用户受骗,他呼吁大家势必要更为谨慎。
钓鱼路径包括:
-
Google/X 等广告投毒、X 评论或私信投毒。
-
骇入官方帐号 (X、Discord、Telegram 等) 发布钓鱼连结。
-
BGP/DNS 等劫持方式,在官网植入恶意代码。
-
隐蔽的陷阱合约 (貔貅盘、套利陷阱等)。
-
伪造事件/零转账等障眼法。
-
硬体钱包售卖渠道被中间人动手脚。
-
诱骗用户直接「上供」自己的助记词。
- 伪装记者、资方、专案方等,诱骗用户下载中毒文件。
余弦最后提到了 ZeroTransfer 诈骗手法,即刻意生成与与用户头尾相同的地址、发送小额交易,等待用户下次误认此地址并进行转帐。
币安本身此前也曾遇过类似事件。