加密领域的网络钓鱼

网络钓鱼是加密行业中最普遍的欺诈类型之一。它的威力在于简单:攻击者所需要的,不过是诱骗某人点击一个链接或签署一笔交易。2023 年,使用钱包盗取器脚本的钓鱼网站,从超过 32 万个钱包中窃取了约 2.95 亿美元。

网络钓鱼,就是有人说服你自愿打开自己钱包的大门——交出助记词、签署一笔交易,或在假冒网站上输入密码。

网络钓鱼如何运作

网络钓鱼始终遵循同一套模式:先把受害者引入陷阱,再攫取其对资产的访问权限。

1. 投放渠道

电子邮件钓鱼

看起来像交易所或钱包官方消息的邮件。例如,「来自 KuCoin」、警告存在「安全违规」的邮件,或一封「来自 MetaMask」的消息。更多详情见 CISA

加密领域的网络钓鱼

网页钓鱼(假冒网站)

热门平台的克隆站点。借助广告,它们常常出现在 Google 搜索结果的顶部,看起来与正版一模一样。差别可能仅仅是域名里的一个字符。ScamSniffer 发布了一份详尽的分析。

加密领域的网络钓鱼

广告与社交媒体

钓鱼链接通过定向广告、社交媒体帖子或 Telegram 机器人传播。例如 notcoin-airdrop.world,用「免费空投」诱骗受害者,而连接钱包便导致资金被盗。一个类似的案例是 MS Drainer,它通过 Google Ads 窃取了 5,900 万美元。

加密领域的网络钓鱼

短信钓鱼(smishing)

「来自交易所」或「来自银行」的消息:「您的账户已被冻结,请点击链接。」链接指向一个假冒的登录表单。

加密领域的网络钓鱼

假冒应用

诸如 Ledger Live 之类钱包的伪造版本,或参见 Ledger 的官方警告。一经安装,这类应用便索要助记词,或直接窃取数据。

社群与网红

假冒品牌或意见领袖的虚假 Telegram 频道、Discord 群组、YouTube 直播和 Twitter 账户。它们兜售「独家优惠」和「赠币活动」。一个臭名昭著的例子:Group-IB 报告称,仅三天内就有 160 万美元被盗。BankInfoSecurity 也证实了这一点。

2. 盗窃机制

数据窃取——受害者在假冒的表单或应用中输入助记词、私钥或密码。

签名钓鱼——受害者被说服签署一笔「用于确认安全」或「用于参与空投」的交易。而实际上,这个签名赋予了攻击者抽干代币的技术权限。

真实的网络钓鱼案例

一次点击损失 313 万美元

一名用户把钱包连接到一个钓鱼网站、签署了一笔交易——损失了 313 万美元的 WBTC。

更多详情——见我们的 Telegram 剖析。

当黑客成为受害者

2025 年 2 月,一名黑客从 zkLend 窃取了 2,930 枚 ETH(540 万美元),并试图通过 Tornado Cash 洗白。但他却落到了一个已存在五年多的 Tornado Cash 钓鱼克隆站点上。另一批骗子拿走了他的资金。

更多详情——见我们的帖子。

App Store 里的假冒应用

2025 年,一款面向 Mac 的伪造 Ledger Live 应用出现在 App Store 上。用户安装了它、输入了助记词,结果损失了资金。

用马斯克和布特林做诱饵的 YouTube 直播

2022 年,一系列使用 Elon Musk 和 Vitalik Buterin 形象的虚假直播,仅三天就为骗子带来了超过 160 万美元。

用数字看网络钓鱼

ScamSniffer,2025 年上半年共有 43,628 名受害者,合计损失 3,933 万美元(平均损失约 902 美元)。与 2024 年上半年相比,网络钓鱼活动显著减少。

如何识别网络钓鱼

  • 网站 URL 仅有一个字符之差。
  • 「客服」抢先给你发消息。
  • 消息承诺存款翻倍、免费代币,或「好得不像真的」的优惠。
  • 他们索要助记词或私钥——那百分之百是欺诈。

如何自我保护

  • 务必核对网站地址,并只从官方来源安装应用。
  • 切勿在第三方网站上输入助记词、私钥或密码。
  • 通过身份验证器应用或硬件密钥使用 2FA,而非短信。
  • 避免点击邮件、广告或陌生消息中的链接。
  • 把你所用服务和交易所的官方网站加入书签。
  • 管理资产时,使用一个单独的浏览器,甚至一台专用设备。

热门文章

提交申请

留下申请

如何联系您?

请根据所选的联系方式,填写您的 Telegram 用户名或电子邮箱。