核心要点
- 在一个恶意链接上点一下,就可能在几秒内清空一个加密钱包,而没有任何人知道你的密码或助记词。
- 其机制是一个钱包盗取器(drainer):一个恶意智能合约,诱骗你签署一笔授予它移动你资金权限的交易。
- 盗取器工具包如今作为带有联盟分销网络的商业软件出售,降低了发动此类攻击的技术门槛。
- 诱饵看起来就像合法平台:假冒空投、NFT 铸造、DeFi 界面,以及冒充税务机关的邮件。
- 在许多情况下追回是可能的——尤其当资金到达一个配合的交易所,或涉及可应执法部门请求冻结的稳定币时。立即行动会带来决定性的差别。
- Match Systems 调查钱包盗取器事件,跨链追踪被盗资金,并与交易所和执法部门协作,在可能的情况下支持追回。
本文内容
- 当你点击一个恶意链接时,实际发生了什么
- 钱包盗取器如何运作
- 诱饵:受害者是如何落到这些网站上的
- 盗取器即服务:为何如今任何人都能发动这种攻击
- 被抽干之后,你的资金会怎样
- 被盗资金能追回吗?
- 如何自我保护
- 常见问题
当你点击一个恶意链接时,实际发生了什么
大多数人以为,因一个链接而损失加密货币,意味着某种病毒感染了他们的设备,或某个黑客远程侵入了他们的钱包。在我们 Match Systems 所调查的多数案件中,这两者都没有发生。是受害者自己授权了这场盗窃——签署了一笔把移动其资金的权限交给一个恶意智能合约的交易。
钱包盗取器并不窃取你的私钥;它诱骗你交出花费你资产的权限,伪装成一次与网站的例行交互。受害者点击一个链接,落到一个看起来像是合法 DeFi 平台的页面上,连接自己的钱包,批准了一个看似标准的确认,盗取器便在几秒内清空了钱包。
钱包盗取器如何运作
这类攻击利用的是代币授权在以太坊及类似链上的运作方式。当你与一个 DeFi 协议交互时,你的钱包会要求你签署一笔授权交易,赋予该合约花费你一定数量代币的权限。
盗取器正是利用了这一点。恶意网站呈现一个与合法授权请求一模一样的钱包提示。受害者签署了它,但权限流向的是攻击者的合约、而非真正的协议,而且额度被设为无限。随后,盗取器便在用户关闭浏览器标签页之前,把钱包里的每一种代币席卷一空。
更为复杂的变体使用 EIP-2612 的 Permit 签名,它通过一个链下签名、而非一笔链上交易来授权代币转移。该签名在钱包的交易模拟器中不会显示为一次标准授权,因而绕过了通常的视觉警告。受害者签署的是一个看似登录的消息,攻击者随后便用那个签名来抽干钱包。
在以太坊 2025 年 5 月的 Pectra 升级之后,攻击者在几周之内便开始利用 EIP-7702,把多个有害动作打包进单个签名里。
诱饵:受害者是如何落到这些网站上的
虽然技术机制很复杂,但社会工程那一层却不必如此。
我们反复看到的一种模式,是从一个被攻破的官方账户分享出来的链接。2025 年,攻击者常常劫持属于加密项目、网红和政府机构的已认证 X 账户,然后发布指向盗取器网站的链接。受害者跟着链接走,是因为来源看起来可信。
最常见的诱饵有:
- 假冒空投,承诺免费代币,但要求连接钱包并批准一笔交易才能领取。
- NFT 铸造冒充,在热门项目上线时对其加以克隆,以截取搜索铸造页面的用户流量。
- 对 Uniswap、Curve 及其他 DeFi 界面像素级别的克隆。唯一的区别,是授权按钮背后的合约地址。
- 搜索引擎投毒,让恶意网站在高流量查询中的排名压过合法网站。
- 监管机构冒充。2025 年,卡巴斯基记录了多起钓鱼活动,它们冒充德国、法国、奥地利及其他欧洲国家的税务机关,以最高一百万欧元的罚款相威胁。受害者被诱导输入助记词,或把钱包连接到假冒的政府门户网站。
共同的线索,是披着合法外衣的紧迫感:截止期限、看似官方的品牌形象、以及趁尚未错过赶紧行动的压力。
盗取器即服务:为何如今任何人都能发动这种攻击
直到不久前,运行一个钱包盗取器还需要真正的技术能力:编写智能合约、搭建钓鱼基础设施、管理一场活动。如今已不再如此。追踪这些行动的安全研究人员记录到,像 Angel Drainer 这类主要工具包的联盟成员,会预付 5,000 至 10,000 美元的费用,外加对被盗资产 20% 的抽成。运营者提供智能合约、钓鱼模板和管理面板。联盟成员负责分发。
这就是「盗取器即服务」(Drainer-as-a-Service),它把钱包盗窃工业化了。诸如 Inferno、Angel 和 Pink 这些有名号的工具包,各自运营着联盟网络,并定期推送更新以规避钱包新出的安全警告。当一个工具包在执法压力下关停,另一个便会在几周内填补市场。Inferno 在 2024 年底把它的基础设施移交给了 Angel Drainer——一次犯罪工具的公开交接。
结果就是规模。2025 年,10.6 万名受害者因钱包盗取器钓鱼共损失 8,385 万美元,低于 2024 年的 4.94 亿美元。这一下降,部分反映了钱包安全工具的改进,但也反映出攻击者转向了更难追踪的路径,如私钥泄露和有针对性的社会工程。威胁是发生了转移,而非减弱。
被抽干之后,你的资金会怎样
从追踪的角度看,盗取器攻击之后的那些时刻至关重要,而且瞬息万变。被盗资产通常会被立即拆分。盗取器合约把资金分散到多个全新的钱包,以增加追踪难度、并拖延大额转入交易在交易所触发的警报。数分钟内,这些资产就可能通过一个去中心化交易所被兑换成另一种代币,抹去与盗窃地址之间任何明显的关联。
从那里起,洗钱路径通常包括跨链到另一条链、经由某个混币服务,或转移到一个 OTC 柜台以兑换成法币。每一步都在缩小冻结的窗口。
调查人员所拥有的优势在于,每一步都被记录在区块链上。拆分、兑换、跨链——所有这一切都留下了一张可追踪的图谱。这张图谱是否会通向某个可付诸行动的地方,取决于调查开始得有多快。
被盗资金能追回吗?
诚实的回答是:有时能,而这在很大程度上取决于速度。当被盗资金到达一个有 KYC 要求的中心化交易所时,调查人员可以向合规团队提交一份法律通知,以标记收款账户并封锁提现。如果通知在攻击者提现之前送达,资金便可在等待法律程序期间被保全。
当被盗资金包含 USDT 或 USDC 等稳定币时,还有一个额外的选项。Tether 和 Circle 可以应执法部门的请求限制特定地址。Match Systems 直接与执法部门协作,以尽可能快地启动这一流程。一旦资金被兑换、脱离稳定币形态,这条路便会关闭。
最棘手的案件,是那些在任何调查开始之前,资金就已被完全兑换成原生代币、跨越多条链、并经由去中心化基础设施转移的情形。在我们调查的许多案件中,受害者等了好几天才上报,而这早已大大收窄了可选项。
如何自我保护
最有效的防御是行为层面的,而非技术层面的。
- 切勿批准一笔你并未完全理解的交易。如果钱包提示没有清楚说明你正在授予什么权限、以及授予给哪个合约地址,就拒绝它。
- 对有分量的持仓使用硬件钱包。实物确认的要求会打断自动化的抽干流程。
- 通过你钱包的设置或一个可信的授权管理界面,定期审查并撤销代币授权。对那些你已不再使用的协议的旧授权,是一项长期存在的隐患。
- 把你真正使用的网站加入书签。搜索引擎投毒常常让盗取器网站在高流量查询中的排名压过合法网站。
- 对空投和 NFT 铸造链接默认保持怀疑。如果这个链接不是你通过自己掌控的渠道找到的,请在连接钱包之前,对照项目的官方域名加以核实。
- 对不熟悉的协议使用一个单独的钱包,里面只放你输得起的那部分。
常见问题
只是点一下链接、什么都没签,我的钱包会被抽干吗?
在大多数情况下,不会。访问一个恶意网站而不连接钱包、也不签署交易,并不会抽干你的资金。抽干需要你的授权,即便这种授权被伪装过。利用浏览器扩展漏洞或剪贴板恶意软件的高级攻击运作方式不同,但绝大多数都需要一次已签署的授权。
我在一个可疑网站上签了一笔交易。我该立即怎么做?
打开你的钱包,检查交易历史中是否有你并未发起的转出。如今许多钱包都内置了查看和撤销活跃代币授权的功能;用它们来切断你可能已授予的任何长期权限。如果资金已经转走,记录盗窃交易的哈希值和收款地址,并联系一家专业调查机构。不要再与那个可疑网站交互。
什么是 Permit 签名,它为何危险?
Permit 标准允许钱包通过一个链下签名、而非一笔链上授权交易来授权代币转移。由于它在大多数钱包界面中不会显示为一次标准授权,因而绕过了通常的视觉警告。攻击者利用 Permit 签名来抽干钱包,同时表面上看起来像是在索要某种无害的东西,比如一次登录或身份确认。
我当时使用的那个平台需要为此负责吗?
如果你交互的是一个假冒的克隆站点,那么合法平台不承担任何法律责任。如果一个真实平台的域名或社交账户被攻破、并被用来分发盗取器链接,那么可能存在提出索赔的依据,尽管这类情形复杂且因司法管辖区而异。
调查人员如何追踪盗取器攻击?
调查人员从盗窃交易入手,绘制资金在各钱包和各链之间拆分与兑换的轨迹,并识别出资金接触过中心化交易所的那些节点。随后,法律通知便发往交易所的合规团队。Match Systems 凭借已建立的交易所关系处理这一切,相较于标准的执法渠道,大大压缩了响应时间。
在加密盗窃调查中,时间的重要性超出大多数受害者的想象。
一旦被盗资金被兑换、跨链,或通过 OTC 渠道提走,追回就会变得困难得多。Match Systems 调查钱包盗取器事件和钓鱼攻击,跨链追踪被盗资产,并与交易所和执法部门协作以支持合法追回。
开始你的案件评估:https://matchsystems.com
