假官方通讯(例如,「紧急安全更新」或「账户被盗」)
包含指向虚假登录门户的链接,或引导你与恶意代币或智能合约进行交互
有些钓鱼甚至允许你转入资金,但几分钟后资金就会被盗走
空投诈骗,向钱包(尤其是在 EVM 链上)发送虚假代币空投
点击代币或尝试交易代币触发恶意合约交互
秘密请求无限代币批准,或通过签名的有效载荷窃取用户原生代币
网络钓鱼案例
2023 年 6 月,朝鲜 Lazarus 集团攻击了 Atomic Wallet,这是加密货币历史上最具破坏性的纯网络钓鱼攻击之一。该攻击入侵了超过 5, 500 个非托管钱包,导致超过 1 亿美元的加密货币被盗,且无需用户签署任何恶意交易或与智能合约交互。此次攻击仅通过欺骗性界面和恶意软件提取助记词和私钥——这是基于网络钓鱼的凭证盗窃的典型案例。
Atomic Wallet 是一款支持 500 多种加密货币的多链非托管钱包。在此次事件中,攻击者发起了一场协同式网络钓鱼活动,利用了用户对该钱包的支持基础设施、更新流程和品牌形象的信任。受害者被电子邮件、虚假网站和木马软件更新所诱惑,所有这些攻击都旨在模仿 Atomic Wallet 的合法通信。
黑客采取的网络钓鱼方式包括:
-
伪装 Atomic Wallet 客户支持或安全警报的虚假电子邮件,敦促用户采取紧急行动
-
模仿钱包恢复或空投领取界面的欺骗性网站(例如 `atomic-wallet[.]co`)
-
通过 Discord、电子邮件和受感染的论坛分发恶意更新,这些更新要么将用户引导至钓鱼页面,要么通过本地恶意软件提取登录凭证
一旦用户在这些欺诈性界面中输入 12 或 24 个单词的助记词,攻击者便获得了对其钱包的完全访问权限。此漏洞无需受害者进行任何链上交互:无需钱包连接、无需签名请求,也无需智能合约参与。相反,它完全依赖于社会工程学以及用户在看似可信的平台上恢复或验证钱包的意愿。
钱包窃取器和恶意授权
钱包窃取器是一种恶意智能合约或 dApp,其目的是从用户钱包中提取资产,方式并非窃取私钥,而是诱骗用户授权访问代币或签署危险交易。与钓鱼攻击(即窃取用户凭证)不同,钱包窃取器利用的是权限——而权限正是 Web3 信任机制的核心。
随着 DeFi 和 Web3 应用成为主流,像 MetaMask 和 Phantom 这样的钱包推广了「连接」 dApp 的概念。这带来了便利,但也带来了巨大的攻击漏洞。 2021-2023 年,NFT 铸币、虚假空投以及一些 dApp 开始将恶意合约嵌入到原本熟悉的用户界面中,用户通常会因兴奋或分心,连接钱包并点击「批准」,却浑然不知自己授权了什么。