钓鱼攻击

一、常见钓鱼手法分析 1. Permit 链下签名钓鱼 Permit 是针对 ERC-20 标准下授权的一个扩展功能，简单来说就是你可以签名批准其他地址来挪动你的 Token。其原理是你通过签名的方式表示被授权的地址可以通过这个签名来使用你的代币，然后被授权的地址拿着你的签名进行链上 permit 交互后就获取了调用授权并可以转走你的资产。 2. Permit2 链下签名钓鱼 Permit2 是 Uniswap 为了方便用户使用，在 2022 年底推出的一个智能合约，它是一个代币审批合约，允许代币授权在不同的 DApp 中共享和管理。 3. eth_sign 链上盲签钓鱼 eth_sign 是一种开放式签名方法，可以对任意哈希进行签名，攻击者只需构造出任意恶意需签名数据（如：代币转账，合约调用、获取授权等）并诱导用户通过 eth_sign 进行签名即可完成攻击。 4. personal_sign/signTypedData 链上签名钓鱼 personal_sign、signTypedData 是常用的签名方式，通常用户需要仔细核对发起者、域名、签名内容等是否安全，如果是有风险的，要格外警惕。 5. 授权钓鱼 攻击者通过伪造恶意网站，或者在项目官网上挂马，诱导用户对 setApprovalForAll、Approve、Increase Approval、Increase Allowance 等操作进行确认，获取用户的资产操作授权并实施盗窃。 6. 地址污染钓鱼 攻击者监控链上交易，之后根据目标用户历史交易中的对手地址进行恶意地址伪造，通常前 4～6 位和后 4～6 位与正确的对手方地址方相同，然后用这些恶意伪造地址向目标用户地址进行小额转账或无价值代币转账。 7. 更隐蔽的钓鱼，利用 CREATE2 绕过安全检测 Create2 是以太坊’Constantinople’升级时引入的操作码，允许用户在以太坊上创建智能合约。原来的 Create 操作码是根据创建者的地址和 nonce 来生成新地址的，Create2 允许用户在合约部署前计算地址。 二、钓鱼即服务 钓鱼攻击日益猖獗，也因不法获利颇丰，已逐步发展出以钓鱼即服务（Drainer as a Service, DaaS）的黑色产业链，比较活跃的如 Inferno/MS/Angel/Monkey/Venom/Pink/Pussy/Medusa 等，钓鱼攻击者购买这些 DaaS 服务，快速且低门槛的构建出成千上万钓鱼网站、欺诈账号等。 三、安全建议 （1）首先，用户一定不要点击伪装成奖励、空投等利好消息的不明链接； （2）官方社媒账户被盗事件也越来越多，官方发布的消息也可能是钓鱼信息，官方消息也不等于绝对安全； （3）在使用钱包、DApp 等应用时，一定要注意甄别，谨防伪造站点、伪造 App； （4）任何需要确认的交易或签名的消息都需要谨慎，尽量从目标、内容等信息上进行交叉确认。拒绝盲签，保持警惕，怀疑一切，确保每一步操作都是明确和安全的。 （5）另外，用户需要对本文提到的常见钓鱼攻击方式有所了解，要学会主动识别钓鱼特征。掌握常见签名、授权函数及其风险，掌握 Interactive（交互网址）、Owner（授权方地址）、Spender（被授权方地址）、Value（授权数量）、Nonce（随机数）、Deadline（过期时间）、transfer/transferFrom（转账）等字段内容。

摘要 本文以TRON钱包为例解析恶意多签风险，揭示黑客通过获取私钥后利用多签机制（保留用户权限但设置共同控制）或直接转移Owner/Active权限的手段控制账户。常见攻击途径包括假钱包下载、钓鱼网站、OTC交易陷阱及恶意签名。建议用户定期检查权限、通过官方渠道下载钱包、警惕不明链接，并安装安全防护工具以保障资产安全。

1.一分钟认识Permit是什么 Permit是ERC-2612引入的离线签名授权方法，相比传统Approve授权（需两次链上交易），用户只需签署离线支票式签名即可完成代币授权，大幅降低gas费用。但这也带来安全隐患：黑客可诱导用户签署恶意授权，导致2023-2024年钓鱼攻击损失超6亿美元（含单笔2亿元案例）。 2.防范措施 警惕空投诱导，避免盲签含Permit/Permit2字样的交易 使用ScamSniffer插件检测钓鱼网站，定期用Revoke.cash清理授权 采用冷钱包隔离大额资产，或多签钱包提升安全性 当前社区正探讨是否禁用该功能，硬件钱包厂商已计划增加强提醒和禁用开关。

要点 2024年8月钓鱼攻击致2.38亿美元损失，突显未监管加密平台高风险性。识别高风险平台关键信号包括：无合规许可、匿名团队、缺失KYC验证、虚假高回报承诺及差评集中。安全平台应具备2FA验证、SSL加密、冷存储及定期审计等核心功能。投资者需警惕金字塔骗局，通过充分尽调选择受监管平台，2023年交易所被盗金额虽降至17亿美元，但2024年因币价上涨损失再度攀升。WazirX等重大黑客事件警示：未监管平台资金被盗后追回难度极高。

Web3账号安全警示与防护指南 近期X平台钓鱼攻击频发，黑客通过假冒链接、木马程序及SIM Swap等手段盗取账号权限。慢雾安全团队建议用户：1)定期检查授权应用(路径：Settings→Security and account access→Apps and sessions)，移除可疑权限；2)核查委托账号和登录日志，及时注销异常设备；3)启用2FA双重验证(短信/验证器/安全密钥)和额外密码保护。以TinTinLand账号被盗事件为例，及时授权审查与安全加固可有效降低风险。

2024年上半年EVM链钓鱼攻击导致26万名用户损失3.14亿美元，Permit、Permit2等签名授权成为主要攻击手段。文章通过真实案例揭示黑客通过伪造相似地址（首尾字符相同）实施钓鱼，并详细解析五种常见攻击方式：1）Permit离线授权钓鱼；2）Uniswap Permit2无限授权风险；3）虚假空投Claim诱导；4）相似地址转账欺诈；5）常规授权签名漏洞。建议用户使用Scam Sniffer等安全插件核查授权，采用冷热钱包分级管理资产，转账时务必完整校验地址。安全警示：链上交互需保持高度警惕，避免随意签署不明签名请求。

什么是 Crimeware-as-a-service (CaaS)？ Crimeware-as-a-service (CaaS) 是网络犯罪分子通过暗网出租或出售恶意软件工具的服务模式，降低了犯罪门槛。其运作分为开发、传播、交付三阶段，提供勒索软件、钓鱼工具包等产品，使非技术人员也能实施DDoS攻击、加密货币盗窃等犯罪。CaaS推动了网络犯罪产业化，形成开发者、分销商、终端用户的层级结构。用户需通过硬件钱包、多因素认证等措施加强防护，并及时向执法机构报告犯罪。

慢雾安全团队在Ethereum Web3安全训练营中深度剖析了Web3钓鱼攻击的八大手法（伪、饵、诱、攻、隐、技、辨、御），揭示攻击者利用空投、高仿账号、搜索引擎排名、TG广告等社会工程学手段盗取用户资产的核心套路。钓鱼攻击呈现精细化、模板化趋势，攻击者通过匿名工具、虚假项目全套包装及资金混淆技术增加追踪难度。建议用户使用Scam Sniffer插件、硬件钱包等防御工具，并遵循《区块链黑暗森林自救手册》保持零信任原则。当前80%知名项目推文评论区第一条为钓鱼留言，需警惕”高仿账号+相似域名”组合攻击。

随着AI技术快速发展，无限制大型语言模型(LLM)正成为网络安全新威胁。WormGPT、FraudGPT等恶意模型可生成钓鱼邮件、诈骗文案和恶意代码，极大降低网络犯罪门槛。DarkBERT等工具虽设计初衷良好，但暗网数据训练特性存在被滥用于加密诈骗的风险。Venice.ai等无审查平台可能成为攻击者优化欺诈手段的温床。面对AI驱动的自动化攻击新范式，需加强检测技术、防越狱能力和溯源机制建设，同时推动伦理规范与监管框架完善，构建多方协同的安全防御体系。