引言

錢包盜賊（Wallet Drainers）是一種與加密貨幣相關(guān)的惡意軟件，在過去的一年中取得了巨大的“成功”。這些軟件部署在釣魚網(wǎng)站上，誘騙用戶簽署惡意交易，從而從他們的加密貨幣錢包中竊取資產(chǎn)。這些網(wǎng)絡(luò)釣魚活動(dòng)持續(xù)以各種形式攻擊普通用戶，導(dǎo)致許多無意中簽署惡意交易的人遭受重大經(jīng)濟(jì)損失。

釣魚詐騙統(tǒng)計(jì)

在過去的2023年，Scam Sniffer監(jiān)控到這些錢包盜賊（Wallet Drainers）從約 32.4萬名受害者那里竊取了近 2.95 億美元的資產(chǎn)。

釣魚詐騙趨勢(shì)

值得一提的是，僅3月11日一天就有近700萬美元被盜。其中大部分是由于 USDC 匯率波動(dòng)造成的，因?yàn)槭芎φ哂龅搅嗣俺?Circle 的釣魚網(wǎng)站。3 月 24 日附近，Arbitrum 的 Discord 遭到黑客攻擊，發(fā)生了重大盜竊事件。他們的空投日期也接近這個(gè)日期。

每個(gè)盜竊高峰都與群體相關(guān)事件相關(guān)。這些可能是空投或黑客事件。

著名的錢包盜賊（Wallet Drainers）

繼ZachXBT曝光Monkey Drainer之后，活躍了6個(gè)月的他們宣布退出。Venom隨后接管他們的大部分客戶。隨后MS、Inferno、Angel、Pink都在3月份左右出現(xiàn)。隨著 Venom 在四月份左右停止服務(wù)，大多數(shù)網(wǎng)絡(luò)釣魚團(tuán)伙轉(zhuǎn)向使用其他服務(wù)。

規(guī)模和速度都在驚人地升級(jí)。例如，Monkey在 6 個(gè)月內(nèi)吸走了 1600 萬美元，而Inferno Drainer則明顯超過這一數(shù)字，在短短 9 個(gè)月內(nèi)吸走了 8100 萬美元。

按照 20% 的 Drainer 費(fèi)用計(jì)算，他們通過銷售錢包盜賊（Wallet Drainers）服務(wù)獲利至少 4700 萬美元。

錢包盜賊（Wallet Drainers）趨勢(shì)

從趨勢(shì)分析可以看出，網(wǎng)絡(luò)釣魚活動(dòng)呈持續(xù)增長(zhǎng)趨勢(shì)。而且，每當(dāng)一個(gè)Drainer退出時(shí)，就會(huì)有新的Drainer取代他們，比如Angel似乎是Inferno宣布退出后的新替代者。

它們?nèi)绾伟l(fā)起網(wǎng)絡(luò)釣魚活動(dòng)？

這些釣魚網(wǎng)站主要通過以下幾種方式獲取流量：

1.黑客攻擊

• 官方項(xiàng)目 Discord 和 Twitter 賬戶被黑
• 對(duì)官方項(xiàng)目前端或使用的庫的攻擊

2.自然流量

• NFT 或代幣空投
• 過期的 Discord 鏈接被接管
• Twitter 上的垃圾郵件提及和評(píng)論

3.付費(fèi)流量

• 谷歌搜索廣告
• 推特廣告

盡管黑客攻擊具有廣泛的影響，但社區(qū)通常會(huì)迅速做出反應(yīng)，通常在 10 到 50 分鐘內(nèi)。然而，空投、自然流量、付費(fèi)廣告和接管的 Discord 鏈接卻不太引人注目。

此外，還有更有針對(duì)性的個(gè)人私信釣魚行為。

常見的網(wǎng)絡(luò)釣魚簽名

不同類型的資產(chǎn)針對(duì)不同的網(wǎng)絡(luò)釣魚簽名方法。上圖是一些常見的網(wǎng)絡(luò)釣魚簽名方法。受害者錢包擁有的資產(chǎn)類型將決定發(fā)起的惡意網(wǎng)絡(luò)釣魚簽名的類型。

從使用 GMX的signalTransfer竊取 Reward LP 代幣的案例來看，很明顯他們有一種非常精致的方法來利用特定資產(chǎn)。

前13名釣魚受害者

以上是受盜竊影響最嚴(yán)重的受害者，累計(jì)損失達(dá)5000萬美元?？梢钥闯觯饕蚴呛炇餚ermit、Permit2、Approve、Increase Allowance等釣魚簽名。

更多地使用智能合約

Multicall

從Inferno開始，他們也開始更多地利用智能合約。例如，分?jǐn)傎M(fèi)用需要兩次交易。這可能不夠快，導(dǎo)致受害者有可能在第二次轉(zhuǎn)賬之前撤銷授權(quán)。為了提高效率，他們使用multicall更高效的資產(chǎn)轉(zhuǎn)移。

CREATE2 & CREATE

同樣，為了繞過一些錢包安全檢查，他們也嘗試使用create2或create函數(shù)來動(dòng)態(tài)生成臨時(shí)地址。這會(huì)導(dǎo)致錢包的黑名單失去作用，同時(shí)也會(huì)給釣魚研究帶來更多麻煩，因?yàn)樵谀愫灻百Y產(chǎn)轉(zhuǎn)移目的地是未知的，而臨時(shí)地址不具備分析意義。

與去年相比，這是一個(gè)重大變化。

網(wǎng)絡(luò)釣魚網(wǎng)站

通過分析釣魚網(wǎng)站的數(shù)量趨勢(shì)可以看出，釣魚活動(dòng)每個(gè)月都在逐漸增加。這與錢包盜賊（Wallet Drainers）服務(wù)的盈利和穩(wěn)定密切相關(guān)。

以上是這些釣魚網(wǎng)站使用的主要域名注冊(cè)商。通過分析服務(wù)器地址還可以發(fā)現(xiàn)，他們中的大多數(shù)都利用Cloudflare等服務(wù)來隱藏其真實(shí)的服務(wù)器地址。

Scam Sniffer做了什么？

去年，Scam Sniffer 掃描了近 1200 萬個(gè) URL，發(fā)現(xiàn)了近 145,000 個(gè)惡意 URL。Scam Sniffer 的開源黑名單目前包含近 10 萬個(gè)惡意域名，我們持續(xù)將這些惡意網(wǎng)站域名推送到 Chainabuse 等平臺(tái)。

Scam Sniffer 還持續(xù)舉報(bào)多個(gè)知名錢包盜賊（Wallet Drainers），并持續(xù)在社交媒體平臺(tái)上分享重大盜竊案件的信息，以提高公眾對(duì)網(wǎng)絡(luò)釣魚威脅的認(rèn)識(shí)和了解。

目前，Scam Sniffer 已協(xié)助一些知名平臺(tái)保護(hù)其用戶，并致力于為下一個(gè)十億用戶提供 web3 的安全。