自慢霧(SlowMist) 上線 MistTrack 被盜表單提交功能以來,我們每天都會收到大量受害者的求助信息,希望我們提供資金追蹤和挽救的幫助,其中不乏丟失上千萬美金的大額受害者。基於此,本系列通過對每個季度收到的被盜求助進行統計和分析,旨在以脫敏後的真實案例剖析常見或罕見的作惡手法,幫助行業參與者更好地理解和防範安全風險,保護自己的資產。
據統計,MistTrack Team 於 2025 年 Q2 季度共收到 429 份被盜表單,包括 278 份國內表單和 151 份海外表單,我們爲這些表單做了免費的評估社區服務。(Ps. 此數據僅針對來自表單提交的 Case,不包括通過郵箱或其他渠道聯繫的 Case)
MistTrack Team 在 Q2 季度協助 11 個被盜客戶成功凍結/追回約 1,195 萬美元的資金。
被盜原因
2025 年 Q2 的作惡手法中,釣魚成爲被盜原因 Top1。接下來我們就挑出幾類典型案例,帶大家更好地避坑、防盜、保住資產。
1、假硬件錢包
這季度我們遇到多個硬件錢包相關的盜幣事件,受害者幾乎都覺得自己做足了安全措施,但實際操作中卻存在致命漏洞。
比如,一位受害者聯繫到慢霧安全團隊,稱其在抖音購買到被篡改的冷錢包,導致約 650 萬美元的加密資產被盜。
(https://x.com/im23pds/status/1933763989215064545)
類似的案例還有用戶從電商平臺購買了一款硬件錢包,外包裝和說明書一應俱全。攻擊者通過提前激活設備、獲取助記詞後,再將硬件錢包重新封裝,並配上僞造說明書,通過非官方渠道出售。一旦用戶按照說明掃碼激活並將資產轉入錢包地址,資金便立即被轉走,落入假錢包標準盜幣流程。
還有人收到了一份“中獎贈送”的冷錢包。攻擊者在社交平臺上僞裝成知名廠商,以“抽獎”“空投”等名義免費寄送冷錢包設備。“全新密封”的真設備看着封條完好,用戶也照着“使用手冊”輸入了助記詞,結果根本沒想過這是預設好的釣魚設備。
(https://x.com/DeFi_Hanzo/status/1936188462752735587)
甚至還有攻擊者利用部分用戶在此前的數據泄露事件中泄露的個人信息,僞造了一封“官方通知信”,連同“升級版硬件錢包”一起寄給用戶,聲稱“原有設備已存在安全隱患”,要求將助記詞遷移到新的“安全設備”中。這些設備往往內置惡意固件,或誘導用戶輸入助記詞至僞造軟件。一旦遷移,資金即被攻擊者轉走。
(https://x.com/intell_on_chain/status/1924053862203212144)
我們總結下來,問題其實並不出在“冷錢包”本身,而是用戶普遍缺乏對硬件錢包真僞、安全初始化流程以及攻擊方式的認知。很多用戶在“看起來安全”的假象中中招,覺得用了冷錢包就萬事大吉,實際上這只是另一種層面的“社工”。
2、EIP-7702 釣魚
在 Q2,還有新型的利用 EIP-7702 進行釣魚的方式出現。有用戶在操作 EIP-7702 授權時,被 Inferno Drainer 團伙盯上,損失 14 多萬美元。
(https://etherscan.io/tx/0x1ddc8cecbcaad5396fdf59ff8cddd8edd15f82f1e26779e581b7a4785a5f5e06/advanced)
攻擊者的手法並不複雜,但有點“創意”,這個案例裏並非通過釣魚方式把用戶的 EOA 地址切換爲 7702 合約地址,即 delegated address 並非釣魚地址,而是幾天前就存在的 MetaMask: EIP-7702 Delegator (0x63c0c19a282a1B52b07dD5a65b58948A07DAE32B)。釣魚利用了 MetaMask: EIP-7702 Delegator 裏的機制來完成受害者地址有關 Token 的批量授權釣魚盜幣操作。
此類釣魚攻擊之所以高效,根本原因在於 EIP-7702 帶來的委託機制變更 —— 用戶的 EOA 地址可以被授權給某個合約,使其具備這個合約的特性(如批量轉賬、批量授權、gas 代付等)。如果用戶將地址授權給一個惡意合約,就會存在風險,如果用戶將地址授權給一個正規的合約,但被釣魚網站惡意利用了合約的特性,也會存在風險。
EIP-7702 的確爲錢包體驗帶來了新可能,但新的能力也伴隨着新的風險邊界。簽名之前,儘量做到所見即所籤,務必想清楚背後的“授權給誰、能做什麼”。更多關於 EIP-7702 的風險防範,可以查看我們之前發佈的(深入探討 EIP-7702 與最佳實踐)。
3、惡意瀏覽器擴展
在 Q2,我們還遇到一個很隱蔽的攻擊方式 —— 僞裝成安全插件的瀏覽器擴展。用戶向我們舉報了一個叫“Osiris”的 Chrome 插件,我們深入分析後證實,該擴展自稱能檢測釣魚鏈接和可疑網站,卻具有明顯的釣魚特徵。
攻擊者通常會通過社交平臺以“科普安利”的方式將其推薦給目標用戶,騙其主動安裝。一旦用戶安裝了該擴展,它會利用瀏覽器的某個接口,從攻擊者的遠程服務器加載網絡請求攔截規則。我們發現這些規則專門攔截了所有 .exe、.dmg、.zip 等類型的下載請求,然後偷偷把用戶要下載的原始文件替換爲惡意程序。
更隱蔽的是,攻擊者還會引導用戶訪問一些大家日常會用到的官網,比如 Notion、Zoom 等。當用戶嘗試從官網下載安裝包時,實際上下載下來的已經是被替換後的惡意程序,但瀏覽器的下載來源顯示依然是“官網”,讓人很難察覺異常。
這些惡意代碼會打包用戶電腦中的關鍵數據,包括 Chrome 瀏覽器的本地數據、Keychain 密鑰鏈等敏感信息,並上傳至攻擊者控制的服務器。攻擊者隨後可以嘗試從這些數據中提取出受害者的助記詞、私鑰或登錄憑據,從而進一步盜取用戶的加密資產,甚至接管其交易所賬戶、社交平臺賬號等。
建議用戶不要隨意安裝陌生人推薦的瀏覽器插件、應用程序,哪怕它看起來“很官方”。同時,定期清理瀏覽器中不常用或不明來源的插件,儘量使用知名插件管理工具或殺毒軟件增強檢測。
4、微信盜號
在 Q2,我們收到不少用戶反饋:自己的微信賬號疑似被盜,攻擊者控制賬號之後,會冒充本人用低價收 USDT 等方式行騙,導致受害者的好友被騙資產。更嚴重的是,有些攻擊者還會修改微信密碼,徹底接管賬戶,控制權轉移得悄無聲息。與傳統的鏈上安全風險不同,這類事件利用了社交平臺的熟人信任機制。
(https://x.com/EnHeng456/status/1935155663635956085)
目前我們還不能完全確認攻擊者是如何實現微信盜號的,但通過測試和觀察,這類盜號行爲可能存在這樣一種操作路徑:
攻擊者已經拿到你的微信賬號和密碼 —— 可能是你註冊時用過的郵箱、手機號、密碼在別的平臺泄露過,或者使用了弱密碼、被撞庫等;
登錄微信時,如果系統檢測到“非常用設備”,就會觸發二次驗證,其中一種方式是:讓“常聯繫好友”幫你驗證;
我們實際測試發現,這個“常聯繫好友”的定義非常寬鬆,哪怕只是加了好友、偶爾在羣裏說過幾句話,系統也可能認定爲“常聯繫”;
如果攻擊者事先加過你好友,並悄悄潛伏着,等拿到你賬號密碼後,深夜或你不在線的時候發起登錄請求,請“共犯好友”配合驗證碼驗證,盜號就可能成功。
上述路徑只是一種可能性的猜測,具體原因還需進一步調查分析。但至少說明 Web3 用戶的安全邊界已經擴展到了鏈下社交層。
5、社交工程攻擊
在 Q2,我們收到了一位用戶的求助。他表示自己的錢包提示存在“風險授權”,而且無法撤銷,嘗試點擊多次都沒有反應。他一開始以爲是之前做過某個代幣 Swap 授權的問題,就聯繫慢霧(SlowMist),希望能排查一下。
我們通過區塊瀏覽器和常見的 Revoke 工具進行覈查,卻並沒有發現他說的授權記錄。不久後,他又發來另一張截圖,但我們注意到:這次截圖裏的地址和他最初發的並不是同一個。我們隨即建議他把查詢工具的網址發過來,一併覈對相關信息。
我們打開這個叫 Signature Checker 的網站(signature[.]land),一看就覺得不對勁。這個網站頁面做得非常像老牌授權管理工具 Revoke Cash,甚至連 Logo 都仿得很像。但仔細一看,它居然允許用戶直接輸入私鑰來“檢測風險簽名” —— 這已經是非常明確的釣魚行爲了。接下來我們用不同地址進行測試,發現不管輸入哪個地址,這個網站都會“檢測出”有風險授權,而且授權時間都跟查詢時間非常接近,給人一種“現在趕緊撤銷還來得及”的錯覺。我們又嘗試隨便輸入一個測試用的私鑰,雖然頁面提示“格式錯誤”,但網絡請求依然發送了出去。分析前端代碼後我們確認,這個釣魚網站會通過 EmailJS 把用戶輸入的信息(包括地址和私鑰)發送到攻擊者的郵箱。甚至它還調用了 Etherscan API 來驗證地址是否存在,進一步提高可信度。
而這一切的開端,僅僅是攻擊者在社交平臺的評論區或私信裏,對受害者說了一句:“你簽署了釣魚簽名,請儘快取消授權。”隨後便貼上了這個僞造工具的鏈接。更可怕的是,當用戶開始懷疑對方身份時,對方居然還能搖身一變,冒充慢霧員工,試圖進行二次社工攻擊。這已經不是簡單的釣魚,是連環設局。
這類社交工程攻擊的套路並不複雜,甚至不涉及什麼高深技術,但他們非常擅長營造緊迫感和信任感。他們知道,大多數用戶遇到“授權風險”這種模糊但恐怖的提示時,會下意識地慌張,急於解決。而一旦這種情緒被操控,後續很多不該點、不該填的東西,就很容易一步步配合了。
寫在最後
回顧 Q2,我們看到一個很明顯的趨勢:攻擊者的手段似乎沒有變得更高深,但他們越來越懂“人性”,攻擊手段正在從鏈上慢慢向鏈下延展,瀏覽器擴展、社交賬號、驗證流程、用戶習慣都成了攻擊切入點。歸根結底,不論技術如何演變,有兩條原則始終適用:
始終保持懷疑和持續驗證;
謹慎授權簽名操作,每一次簽名都可能是一次“開門動作”,你需要確認門外是誰。
此外,我們建議大家反覆閱讀(區塊鏈黑暗森林自救手冊)(https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md),這本手冊講的不僅是生存技巧,更是在“黑暗森林”中避免成爲獵物的基本認知。
如果您的加密貨幣不幸被盜,我們將免費提供案件評估的社區協助服務,僅需要您按照分類指引(資金被盜 / 遭遇詐騙 / 遭遇勒索)提交表單即可。同時,您提交的黑客地址也將同步至慢霧 InMist Lab 威脅情報合作網絡進行風控。(注:中文表單提交至 https://aml.slowmist.com/cn/recovery-funds.html,英文表單提交至 https://aml.slowmist.com/recovery-funds.html)
慢霧(SlowMist) 在加密貨幣反洗錢領域深耕多年,形成了一套完整且高效的解決方案,涵蓋了合規、調查與審計三個方面,積極助力構建加密貨幣健康生態環境,也爲 Web3 行業、金融機構、監管單位以及合規部門提供專業服務。其中,MistTrack 是一個提供錢包地址分析、資金監控、追蹤溯源的合規調查平臺,目前已積累三億多個地址標籤,一千多個地址實體,50 萬 + 威脅情報數據,9,000 萬 + 風險地址,這些都爲確保數字資產的安全性、打擊洗錢犯罪提供有力的保護。