牛市加密诈骗猖狂怎么防?慢雾介绍多项诈骗工具、钓鱼路径_链圈子

牛市加密诈骗猖狂怎么防?慢雾介绍多项诈骗工具、钓鱼路径_链圈子
加密牛市不仅为投资者带来造富效应,对于骇客而言也是丰收季节,近期链新闻脸书专页的贴文,就有诈骗留言大幅增加的现象。资安机构慢雾特别整理各种不同的钓鱼手法及诈骗过程,希望加密参与者能更好地防范资安问题。

Drainer-as-a-Service (DaaS) 是什么?

慢雾创办人余弦指出,DaaS 可以理解为针对加密产业的钓鱼工具,知名工具包括:

  • MS
  • Pink

  • Angel

  • Pussy

  • Venom

  • Medusa

  • Monkey

  • Inferno

作恶者花钱买了上述 Drainers 工具,并结合成千上万钓鱼网站、行销帐号、各类骗术、漏洞利用、渗透、垃圾广告等,如洪水猛兽冲般涌进加密产业。

加密常见钓鱼手法

余弦列出多种钓鱼工具背后的机制:

  • 原生签名利用:eth_sign、personal_sign、eth_signTypedData_* 等,eth_sign 已被众多钱包封阻。

  • 授权函数利用:Token/NFT 中的 approve/permit

  • TX data 4byte 利用:Claim Rewards/Security Update

  • 授权签名:用 Create2 预创建资金接收地址,绕过相关检测

  • 比特币铭文一键批量钓鱼,UTXO 机制

  • 各 EVM 链/Solana/Tron 等切换钓鱼

钓鱼路径、诈骗入局手段

余弦强调「钓鱼」是个广泛概念,手法虽多但基本大同小异,而尽管这些手段已相当泛滥,仍不时有用户受骗,他呼吁大家势必要更为谨慎。

钓鱼路径包括:

  • Google/X 等广告投毒、X 评论或私信投毒。

  • 骇入官方帐号 (X、Discord、Telegram 等) 发布钓鱼连结。

  • BGP/DNS 等劫持方式,在官网植入恶意代码。

  • 隐蔽的陷阱合约 (貔貅盘、套利陷阱等)。

  • 伪造事件/零转账等障眼法。

  • 硬体钱包售卖渠道被中间人动手脚。

  • 诱骗用户直接「上供」自己的助记词。

  • 伪装记者、资方、专案方等,诱骗用户下载中毒文件。

余弦最后提到了 ZeroTransfer 诈骗手法,即刻意生成与与用户头尾相同的地址、发送小额交易,等待用户下次误认此地址并进行转帐。

币安本身此前也曾遇过类似事件。

原创文章,作者:惊蛰财经,如若转载,请注明出处:http://www.xmlm.net/kuang/38548.html