Crypto 钓鱼常见手法

254 0 0

本文作者：Cos(余弦)@evilcos。发文时间：6:02 PM · Jan 19, 2024

Drainer-as-a-Service (DaaS) 功能：

注：DaaS 可以理解为针对 Crypto 行业的钓鱼工具，知名的如 Inferno/MS/Angel/Monkey/Venom/Pink/Pussy/Medusa 等这些 Crypto Drainers，牛鬼蛇神们购买这些 Drainers 结合成千上万钓鱼网站、营销账号、各类骗术、漏洞利用、渗透、垃圾广告等等，如洪水猛兽冲进这个行业。

– eth_sign/personal_sign/eth_signTypedData_* 这种原生签名利用，eth_sign 已经被钱包们封堵得越来越少了
– Token/NFT 类似 approve/permit 这些授权函数的利用
– 类似 Uniswap swapExactTokensForTokens/permit2 等这些强大函数的利用
– OpenSea/Blur 等协议函数的利用（五花八门）
– TX data 4byte 利用，Claim Rewards/Security Update 等
– 用 Create2 预创建资金接收地址，绕过相关检测
– Solana 一笔签名钓走目标钱包地址里的所有资产
– 比特币铭文一键批量钓鱼，UTXO 机制
– 各 EVM 链/Solana/Tron 等切换钓鱼

钓鱼路径（不一定使用 DaaS）：

– Google/X 等广告投毒、X 评论或私信投毒
– 黑掉官方号（X、Discord、Telegram 等）发布钓鱼链接或其他骗术，黑掉的方法常见如：SIM 卡劫持、第三方应用 OAuth 授权、骗取 Discord token、骗取 Telegram Login code 等方式
– BGP/DNS 等劫持或入侵手法在官方网站植入恶意代码
– 供应链攻击在官方网站植入恶意代码（如之前 Ledger 模块 ledgerhq/connect-kit 被投毒事件）
– 隐蔽的陷阱合约（貔貅盘、套利陷阱等）
– 知名项目合约存在授权漏洞
– 空投代币买卖或以取消授权名义偷走用户过大的 Gas
– 伪造事件/零转账等障眼法
– 污染钱包的转账历史（首尾号一样），坐等用户复制
– 伪装记者、资方、项目方等诱骗用户下载打开带木马的文档、游戏程序、工具等
– 带后门的薅毛工具
– 假 Telegram/WhatsApp/Binance 等替换钱包地址
– 假钱包直接采集助记词或者给 Tron 地址加把权限锁，坐等目标入账
– 诱骗用户转账时填写存在猫腻（如授权）的 data
– 假币、假官网、假官方人员等等骗局
– 诱骗用户直接“上供”自己的助记词…
– 明文助记词/私钥陷阱：窃取手续费或诱导安装带木马的钱包程序
– 类“杀猪盘”线上套路
– 类“扳手攻击”“色诱”“大生意”等这种线下套路
– 硬件钱包售卖渠道被中间人动手脚
– …