钓鱼攻击

Web3社交工程攻击通过钓鱼手段窃取用户资产，常见方式包括：1.Discord伪装奖品链接诱导授权；2.Twitter假冒空投/NFT活动引导至虚假网站；3.域名篡改（如openai.com-token.info仿冒官网）；4.Telegram电影链接植入浏览器控制脚本；5.Metamask伪造验证邮件窃取私钥；6.钓鱼VPN泄露真实IP。防范要点：检查URL域名结构、开发者模式验证源码、警惕陌生奖励链接、手动输入官网地址、使用IP检测工具验证VPN安全性。

随着MEME币市场火爆，自动化交易工具（MEME bots）安全隐患频发。本文通过三个真实案例揭示常见诈骗手段：1）虚假TG群验证码钓鱼攻击，盗取6.62万美元资产；2）API漏洞导致Aut**Bot用户损失100 ETH；3）虚假Pro**Bot插件窃取76万美元ETH。主要防范措施包括：警惕验证码请求、核查URL来源、选择信誉平台、启用2FA验证、绝不泄露助记词。链源科技提醒投资者保持警惕，避免FOMO情绪下的冲动操作。

近期有用户在Solana链上因点击钓鱼链接损失数百万资产。与EVM链不同，Solana通过代币账户所有权转移、无需授权直接交易、批量代币转移等特性实现攻击，黑客可一键清空钱包。典型手法包括：1.诱导用户转移代币账户所有权；2.利用”approve”直接批准恶意交易；3.单笔交易批量转移多代币；4.通过Durable Nonce签名实施延迟攻击。建议用户使用硬件钱包二次验证，警惕异常交易，避免盲目批准。Solana新功能可能带来更多钓鱼风险，需保持警惕。

空投风险与防范指南 空投作为Web3项目快速获客的营销手段，包含任务型、交互型、持有型和质押型等类型，但存在多重风险：1.虚假空投通过劫持官方账号、仿冒评论区、社会工程攻击诱导用户授权钓鱼网站；2.恶意代币诱导交互后窃取Gas费或资产；3.后门工具及脚本可能盗取私钥。防范建议：验证链接真实性、使用隔离钱包、警惕不明代币交易、检查Gas限额异常、安装防病毒软件。

NFT安全风险与防护指南 随着NFT市场价值突破3万亿美元，相关诈骗已造成270亿美元损失。黑客主要利用高价值资产吸引力、区块链匿名性及用户安全意识薄弱等特点，通过恶意智能合约、钓鱼攻击、假冒项目等7种手段窃取资产。典型案例包括周杰伦无聊猿NFT被盗（损失50万美元）和OpenSea钓鱼事件（损失250万美元）。防护需建立三层防御体系：1）硬件钱包冷存储；2）谨慎授权与合约审核；3）应急响应机制。建议用户使用Revoke.cash定期清理授权，并通过CertiK等工具审计合约安全性。

2023年Web3行业安全事件达940起，同比增长超50%，损失17.9亿美元。黑客攻击（216起/10.6亿美元）、Rugpull欺诈（250起）及勒索软件成为主要威胁，BNBChain成欺诈高发地。监管取得进展，香港推行牌照制度，美国加强制裁。反洗钱挑战加剧，Lazarus集团等APT组织利用混币平台转移超10亿美元资产，凸显链上追踪与合规重要性。

一、常见钓鱼手法分析 1. Permit 链下签名钓鱼 Permit 是针对 ERC-20 标准下授权的一个扩展功能，简单来说就是你可以签名批准其他地址来挪动你的 Token。其原理是你通过签名的方式表示被授权的地址可以通过这个签名来使用你的代币，然后被授权的地址拿着你的签名进行链上 permit 交互后就获取了调用授权并可以转走你的资产。 2. Permit2 链下签名钓鱼 Permit2 是 Uniswap 为了方便用户使用，在 2022 年底推出的一个智能合约，它是一个代币审批合约，允许代币授权在不同的 DApp 中共享和管理。 3. eth_sign 链上盲签钓鱼 eth_sign 是一种开放式签名方法，可以对任意哈希进行签名，攻击者只需构造出任意恶意需签名数据（如：代币转账，合约调用、获取授权等）并诱导用户通过 eth_sign 进行签名即可完成攻击。 4. personal_sign/signTypedData 链上签名钓鱼 personal_sign、signTypedData 是常用的签名方式，通常用户需要仔细核对发起者、域名、签名内容等是否安全，如果是有风险的，要格外警惕。 5. 授权钓鱼 攻击者通过伪造恶意网站，或者在项目官网上挂马，诱导用户对 setApprovalForAll、Approve、Increase Approval、Increase Allowance 等操作进行确认，获取用户的资产操作授权并实施盗窃。 6. 地址污染钓鱼 攻击者监控链上交易，之后根据目标用户历史交易中的对手地址进行恶意地址伪造，通常前 4～6 位和后 4～6 位与正确的对手方地址方相同，然后用这些恶意伪造地址向目标用户地址进行小额转账或无价值代币转账。 7. 更隐蔽的钓鱼，利用 CREATE2 绕过安全检测 Create2 是以太坊’Constantinople’升级时引入的操作码，允许用户在以太坊上创建智能合约。原来的 Create 操作码是根据创建者的地址和 nonce 来生成新地址的，Create2 允许用户在合约部署前计算地址。 二、钓鱼即服务 钓鱼攻击日益猖獗，也因不法获利颇丰，已逐步发展出以钓鱼即服务（Drainer as a Service, DaaS）的黑色产业链，比较活跃的如 Inferno/MS/Angel/Monkey/Venom/Pink/Pussy/Medusa 等，钓鱼攻击者购买这些 DaaS 服务，快速且低门槛的构建出成千上万钓鱼网站、欺诈账号等。 三、安全建议 （1）首先，用户一定不要点击伪装成奖励、空投等利好消息的不明链接； （2）官方社媒账户被盗事件也越来越多，官方发布的消息也可能是钓鱼信息，官方消息也不等于绝对安全； （3）在使用钱包、DApp 等应用时，一定要注意甄别，谨防伪造站点、伪造 App； （4）任何需要确认的交易或签名的消息都需要谨慎，尽量从目标、内容等信息上进行交叉确认。拒绝盲签，保持警惕，怀疑一切，确保每一步操作都是明确和安全的。 （5）另外，用户需要对本文提到的常见钓鱼攻击方式有所了解，要学会主动识别钓鱼特征。掌握常见签名、授权函数及其风险，掌握 Interactive（交互网址）、Owner（授权方地址）、Spender（被授权方地址）、Value（授权数量）、Nonce（随机数）、Deadline（过期时间）、transfer/transferFrom（转账）等字段内容。

摘要 本文以TRON钱包为例解析恶意多签风险，揭示黑客通过获取私钥后利用多签机制（保留用户权限但设置共同控制）或直接转移Owner/Active权限的手段控制账户。常见攻击途径包括假钱包下载、钓鱼网站、OTC交易陷阱及恶意签名。建议用户定期检查权限、通过官方渠道下载钱包、警惕不明链接，并安装安全防护工具以保障资产安全。

1.一分钟认识Permit是什么 Permit是ERC-2612引入的离线签名授权方法，相比传统Approve授权（需两次链上交易），用户只需签署离线支票式签名即可完成代币授权，大幅降低gas费用。但这也带来安全隐患：黑客可诱导用户签署恶意授权，导致2023-2024年钓鱼攻击损失超6亿美元（含单笔2亿元案例）。 2.防范措施 警惕空投诱导，避免盲签含Permit/Permit2字样的交易 使用ScamSniffer插件检测钓鱼网站，定期用Revoke.cash清理授权 采用冷钱包隔离大额资产，或多签钱包提升安全性 当前社区正探讨是否禁用该功能，硬件钱包厂商已计划增加强提醒和禁用开关。

要点 2024年8月钓鱼攻击致2.38亿美元损失，突显未监管加密平台高风险性。识别高风险平台关键信号包括：无合规许可、匿名团队、缺失KYC验证、虚假高回报承诺及差评集中。安全平台应具备2FA验证、SSL加密、冷存储及定期审计等核心功能。投资者需警惕金字塔骗局，通过充分尽调选择受监管平台，2023年交易所被盗金额虽降至17亿美元，但2024年因币价上涨损失再度攀升。WazirX等重大黑客事件警示：未监管平台资金被盗后追回难度极高。