黑客盗窃加密资产的两种典型手法

本文作者：Cos(余弦)😶‍🌫️@evilcos。发文时间：下午12:43 · 2024年7月12日

刚刚帮一位朋友分析他被钓鱼的情况，这里我做个简单解析（授权公开），方便大家注意下除了常见的授权钓鱼（包括 permit 离线授权这种），还有什么姿势可以钓走你的资产。其实这些姿势历史上都分享过，只是最近大半年谈授权钓鱼谈的太多了，趁着这次案例，大家来一起复习下其他经典手法。

这位朋友被钓资产主要发生在下面两个 tx：

https://blastscan.io/tx/0x6aaae6d08ad7759ae5c8b9e02c17cec1af392c863d4196d9c37fd7d03d5d93d4

图1交易1

https://etherscan.io/tx/0xcadb8fe581e3c49373729d4731571986d1836800bef61c56927aad161a68367b

图2交易2

你可以打开看看，分别对应图1、图2。

这种情况你会觉得是什么情况？图1像不像私钥泄露？图2呢？

如果打开看看图1的 phishing address，就会发现这实际上是一个新创建的地址（通过 create2 机制来创建），而且还是合约地址，创建者地址：

0x0000db5c8B030ae20308ac975898E09741e70000

是臭名昭著的 Inferno Drainer 有关地址，合约功能除了接收受害者 ETH 等资产外，还方便钓鱼团伙完成后续资产转移操作，比如被钓走的 7.07 ETH，通过：

https://blastscan.io/tx/0x2d3397b060aa62b921525a87e777db238e0db64949b0d9d3a80e885ce77b378a

转到了（也是个合约地址，玩的真花）：

https://blastscan.io/address/0x19e12a113a294ee5005d9c10bd2f04d2fd04b240

所以从图1可以得出，受害者被钓鱼时没留意钱包弹框居然发送了 7.07 ETH。

接着看图2，我红框框出的内容，这个是经典的零元购手法，虽然每个 NFT 给了 1 wei，总共 10 wei，但这个几乎等于零元购了。这种手法是通过 Blur 市场合约的 bulkExecute 函数来批量完成的，非常方便。

现在的钱包在用户交互安全上比以前好不少，可惜道高一尺魔高一丈。黑暗森林里，能保护资产的兜底方案就是用安全知识武装好自己，自己才是自己最终的那道防火墙。