Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / ZH / CRYPTO DRAINER ANATOMY

加密货币盗币工具剖析:19.3亿美元被盗

The Enablers Registry·Editorial mirror·/zh/crypto-drainer-anatomy

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

WEB3 威胁

加密货币资金掏空案剖析:19.3亿美元如何在6个月内蒸发

“榨取者”不会窃取你的助记词。它窃取的是你的 签名. 只需一次点击——只要误点了一下“申领”、“验证”或“连接钱包”——一套预先构建的智能合约就会在你手指还没从触控板上移开之前,就把你的资产一扫而空。

加密货币钱包盗取者的解剖——六阶段攻击链
$1.93B
2025年上半年亏损
较2023年增长540%
$284M
一名受害者,2026年1月
[REDACTED] 助记词诈骗
32万+
2023年的受害者
每天约900
$5–10K
DaaS的入门成本
交钥匙套件

“排水器”究竟是什么

A 加密货币抽水者 是一款专为 Web3 设计的网络钓鱼工具。它不会试图窃取您的密码或提取私钥,而是诱使您 签署交易 — 通常是一个 approve(), setApprovalForAll(),或者链下 Permit 这条消息——会将随意转移你资产的权限交给攻击者。钱包虽然仍“属于你”,但资金却不再属于你了。

该模型之所以效率极高,是因为它滥用了 合法的 区块链基本组件。您的私钥绝不会泄露。您的设备上不存在任何恶意软件。仅有一笔交易上存在一个签名,链上分析师能够看到该签名,且其效果无法被任何机构撤销。

Chainalysis,所谓“drainer”是一种“专为 Web3 生态系统设计的网络钓鱼工具”,它伪装成合法的去中心化应用(dApp)。 Group-IB, Check Point Research,以及 ScamSniffer 我们已经整理了数千个基于这一具体机制的营销活动。

6步杀伤链

每一次“抽水”攻击——无论是“Inferno”、“Pink”、“Angel”、“MS”、“CLINKSINK”、“Rugging”,还是数十种未命名的变种——都遵循相同的六个阶段。其中的精妙之处在于,将所有这些阶段压缩在钱包连接与交易确认之间的短短几秒钟内。

1 Lure airdrop / ad / DM 2 Connect wallet hooked 3 Recon analyzeWallet() 4 Sign approve / permit 5 Drain transferFrom() 6 Launder DEX → bridge → XMR SOCIAL ENGINEERING TECHNICAL EXECUTION EXFILTRATION

1. 诱饵

虚假空投、Google/X的赞助广告、遭入侵的已验证账号(这些 美国证券交易委员会(SEC)和曼迪安特(Mandiant)的账户 (这些都曾被用作“敛财工具”),包括[REDACTED]验证机器人、虚假NFT铸造、所谓“独家”测试版邀请,以及知识产权许可诈骗。无论采用何种伪装,其目的都是将你引向攻击者控制的域名。

2. 连接

你点击了“连接钱包”。[REDACTED]、Rabby、WalletConnect、[REDACTED]——都没问题,都在预料之中。现在,该JavaScript代码可以通过以下方式读取你的钱包对象: window.ethereum (或同等物品),并开始射击 eth_call 后台请求。

3. 侦察

该资产清点工具会列出您的持仓情况:原生代币余额、ERC-20 代币、NFT 收藏品以及跨链的 DeFi 持仓。它调用类似 CoinGecko 的价格预言机,将所有资产按美元价值进行排序。高级套件如 地狱汲取者 存储其配置 链上 (BNB Chain),这样就可以在不重新部署 JS 有效载荷的情况下进行更新。

4. 签名

该 dApp 会提示您“验证所有权”、“领取空投”、“批准代币领取”或“签名进入”。钱包界面显示的似乎是一条无害的消息。但实际上,其 calldata 经过精心设计,旨在造成最大损害——详见下一节。

5. 沥干

一旦你签字,攻击者就会打来电话 transferFrom() 来自另一个钱包(操作分离——接收批准的“地址”绝不会是持有战利品的“收款人”)。高级套件可将原生 ETH、ERC-20 代币、ERC-721/1155 NFT 以及 Permit2 转账批量处理于单个 multicall. 从签名到资金划转的净延迟: .

6. 洗涤

资金先经由 SushiSwap / Uniswap 流转(大多数安全工具都会将合法的去中心化交易所(DEX)列入白名单),随后通过跨链桥转至其他区块链,再经由 Tornado Cash 的分叉链,最终流入门罗币。该 $284M [REDACTED] incident 几个小时内就转入了XMR。

您的钱包(签署前)

ETH2.4815
USDC18,420.00
WBTC0.34
BAYC #42911 个 NFT
stETH12.1

攻击者合约(获得一个签名后)

ETH+2.4815
USDC+18,420.00
WBTC+0.34
BAYC #4291+1 NFT
stETH+12.1

一份已签字的 Permit2 一条消息即可授权整个批次。无需二次确认。无法恢复。

四种致命有效载荷

野外中的每个排水器都会以某种方式组合使用这四个基本元素。其中每一个都是一个 合法的 ERC 标准或 RPC 方法。没有“补丁”——只有意识。

1. approve(spender, type(uint256).max) — ERC-20 无消费上限

经典操作。你将代币合约的额度设为最大可能值(2^256 − 1) 发送到一个你无法控制的支付方地址。随后,支付方(即攻击者)会调用 transferFrom(you, attacker, balance) 在方便的时候。除非您通过以下方式明确撤销该批准,否则该批准将永久有效: Revoke.cash 或者直接调用代币合约。

// What you actually signed:批准( 0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976, // attacker0xffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffff// max uint256 ) // Wallet UI showed: "Verify wallet ownership"

2. setApprovalForAll(operator, true) — 完整的 NFT 系列

比ERC-20的批准更糟糕,因为它 按收藏集“全有或全无”. 一次签名=该合约中的所有 NFT 现在均可被攻击者转移。这就是塞斯·格林(Seth Green)在 2022 年损失 4 只 Bored Apes 的原因,也是 2022 年 12 月一名受害者因假冒的“Forte Pictures”授权诈骗而损失 14 只 BAYC 的原因。

setApprovalForAll( 0xattacker..., // "operator"true// approved for the entire collection )

3. EIP-2612 / Permit2 链下签名

这是 2024–2026年首选武器. 而不是链上 approve() (这会消耗 gas 费用,且会明显反映在你的钱包里),攻击者通过以下方式收集一个链下 EIP-712 签名: eth_signTypedData_v4. 没有交易。您这边无需支付 gas 费。只是弹出一个提示框,上面写着“签署此消息”。用于类型化数据签名的钱包界面向来以难以阅读著称,而 Uniswap 的 Permit2 将一个签名转换为对以下内容的批准: 一次处理多个令牌.

// What [REDACTED] showed you:// "PermitSingle"// spender: 0x000000000022D473030F116dDEE9F6B43aC78BA3// ...looks fine, that's the real Permit2 contract...// What it actually authorized: { “详情”: { “token”: "0xUSDC...", "金额": "1461501637330902918203684832716283019655932542975", // max“到期”: 281474976710655// year ~10889 }, “挥霍者”: “0xattacker...”, "sigDeadline": 9999999999 }

参见 Blockaid 的完整 Permit2 案例研究 了解真实的攻击演示,其中包括SushiSwap路由技巧——该技巧将ETH的转移隐藏在看似正常的交易之中。

4. 直接针对种子短语的社会工程学攻击

虽然从狭义上讲它并非真正的“吸金股”——但却是2026年收益率最高的品种。该 2026年1月 [REDACTED]事件 并未绕过任何加密措施。一名“客服人员”致电受害者,引导其完成了一个虚假的“验证”流程,并诱使其念出了恢复密钥。结果: 1,459 BTC + 205万 LTC = 2.84亿美元,占该月所有加密货币盗窃损失的71%,这些资金在相关新闻被媒体报道之前已被兑换成门罗币。

硬件钱包可以防止远程密钥提取。但它们无法阻止您将助记词输入到钓鱼网站中。请使用一个 BIP-39 密码短语.

“排水即服务”经济

那些真正骗走你钱的人中,没有一个是编写代码的。他们 租金 “排水即服务”(DaaS)是一个完全商品化的B2B市场,拥有品牌、定价层级、支持渠道、版本发布,且运营商佣金面临明显的下行压力。

《地狱》
功能极为强大。支持链上配置(BNB)、AES加密的C2通道、反调试功能以及SushiSwap路由。 CP分析
削减15%–20%
Angel(GhostSec)
多链、产品化——像商业软件一样采用版本化发布(v8.2、v8.3...)。
削减20%
CLINKSINK
基于 JavaScript,专注于 Solana。正是这一工具包导致了 Mandiant X 遭劫持(损失 90 万美元)以及 SEC 系统遭入侵事件。
~20%的削减
粉色
专注于NFT。单笔交易中,一名受害者损失了价值32万美元的BAYC/MAYC/Otherdeed代币。
~20%的削减
MS Drainer
$59M from 63K victims via X (Twitter) sponsored ads, March–November 2023. ScamSniffer
var.
Rugging 多链
价格领导者策略:通过降低佣金率,以低于Angel/Inferno的价格来争取交易量。
削减5%–10%

联盟会员的入门费用:a $5,000–$10,000 deposit,有时还会提供相应的“交钥匙”套件。联盟成员会保留被盗资金的75%至95%,并将所有技术问题——包括JS有效载荷、智能合约、托管服务、洗钱Pipeline,甚至7×24小时的[REDACTED]技术支持——全部外包给运营方。 SentinelOne 以及 IMC 2025 学术研究 详细追溯供应链。

这就是为什么仅靠一次性的“打地鼠式”关停远远不够——这也是为什么 对滥用行为视而不见的域名注册商 才是真正的瓶颈。THE ENABLERS REGISTRY 已对此进行了记录并报告 16,000+ 个与“Inferno”相关的域名 独自一人。

签约前的警示信号

签名对话框是最后一道防线。如果以下任一情况属实, 取消 ——没有任何正当的流程需要它们:

  • 您是通过赞助搜索结果、私信或电子邮件链接进入本页的。 各大搜索引擎上的加密货币赞助搜索结果均已遭到篡改。请务必通过书签访问。
  • 签名是“免费”/“免手续费”/“链下”的。 这是一种 Permit2 风格的链下签名。读取类型化数据字段。如果 spender 如果感到陌生,就走开吧。
  • 金额是 uint256.max, 0xfff…fff,或“无限”。 几乎没有任何正当的工作流程需要无限次的审批。
  • 该函数是 setApprovalForAll 针对一个你不认识的集合。 或者,选择一个不是 [REDACTED] / Blur / LooksRare 的“平台”。
  • 该网站会在您连接后立即要求您切换链。 多链提取循环正在进行中。
  • 该目标合约的部署时间不足7天。 “地狱”级抽水机每24小时轮换一次中间合约。
  • 你感到时间紧迫。 倒计时器、“优惠将于4分32秒后结束”、“仅剩12个名额”——每个引流模板都自带这些功能。
  • 是“客户支持”先联系了您。 [REDACTED][REDACTED][REDACTED]NASDAQ:COINLEI:5493004F7TI6QBM4WX72——它们绝不会给你发私信。绝不会。

如何真正保护自己

  • 钱包隔离。 冷钱包(硬件钱包,存放大部分净资产)→ 运营热钱包(1–2周内的活动)→ 一次性钱包(任何新交易,余额接近于零)。切勿将冷钱包连接到全新的dApp。
  • 硬件钱包 + BIP-39 密码短语。 密语是“$284M [REDACTED] 事件”与“攻击者虽然获得了你的种子但一无所获”之间的关键区别。请牢记它,切勿以数字形式存储。
  • 交易模拟器。Blockaid, 钱包守护者, Pocket Universe, Fire — 安装其中一个。它们会在你签名前显示实际的余额变动情况。
  • 将所有 dApp 添加到书签。 千万不要在谷歌上搜索“Uniswap”。千万不要点击社交媒体上的加密货币链接。那些赞助结果出错的频率远比你想象的要高。
  • 每周审核您的审批事项。Revoke.cash 显示了所有链上所有处于活动状态的配额。撤销任何您不再主动使用的配额。
  • 访问任何不熟悉的网站前,先通过临时浏览器访问一下。 清空钱包,看看它需要什么,然后再决定它到底值不值得拥有一个真正的钱包。
  • 在钱包配置文件中禁用浏览器扩展程序。 一个仅用于 Web3 的独立浏览器配置文件(或 Brave Tor 窗口)。扩展程序已被证实是资源消耗源——参见 [REDACTED] 的 npm 供应链分析.
  • 检查域名的信誉。 将网址粘贴到 THE ENABLERS REGISTRY 域名报告, urlscan, 或 我们的[REDACTED]机器人. 如果我们已经看过,就会做标记。

如果您已经签署了:请在接下来的60秒内完成以下操作

  1. 停。 不要签署任何其他文件,包括那些以“修复”或“恢复”为名的提示——这些都是利用你恐慌心理进行的第二阶段诈骗。
  2. 把还没排干的东西都搬走。 创建一个全新的钱包(最好是硬件钱包),并将剩余的资产转入其中。价值最高的资产优先。处理 每个 从被破解的密钥中推导出的地址被视为永久性烧毁。
  3. 撤销批准 通过以下方式访问该遭入侵的钱包: Revoke.cash ——这适用于每一条区块链,而不仅仅是以太坊。这是一场与攻击者自动化手段的赛跑。
  4. 把一切都记录下来。 Tx 哈希值、攻击者地址、时间戳、钓鱼网站的精确 URL。在关闭标签页之前截取的屏幕截图。
  5. 报告。 归档于 联邦调查局(FBI)IC3, 您当地的网络犯罪调查部门、受影响的协议(Uniswap、[REDACTED] 等——它们有时会冻结衍生品),并将钓鱼网址提交至 @EnablersRegistry 于是,我们摧毁了下一个受害者的基础设施。
  6. 如果助记词被泄露: 钱包已经没了。别再试图“保护”它了。放下过去,重新开始,从中吸取教训。

“数据提取工具并不能破解密码学。它们打破的是这样一种假设:即人类能够以钱包要求的速度读取调用数据。只要放慢一个签名的处理速度,整个盗窃产业就会崩溃。”

THE ENABLERS REGISTRY 针对“吸血者”采取了哪些措施

我们是一个非营利性运营者集体。我们全天候在搜索引擎优化(SEO)、付费广告、[REDACTED]、X、[REDACTED]以及域名注册商的诱捕站点中搜寻“吸金”基础设施,然后将其扼杀。

  • 78.5万+ 自2019年以来追踪的网络钓鱼和诈骗域名。
  • 8.9万+ 向域名注册商和主机服务商提交的滥用报告。
  • 50+ 防病毒厂商和威胁情报平台都会接入我们的数据源。
  • <0.5% 在超过10万份经验证的报告中的假阳性率。
  • 免费、公开、不可变 证据档案库位于 GitHub + HuggingFace.

发现了一个“水货”网站?请将网址发送至 @EnablersRegistry. 等你的咖啡还没凉,我们就把滥用报告提交了。

#CryptoDrainer#Web3Security#WalletDrainer#Permit2#DaaS#Inferno

分享本文

相关调查

案例研究
[REDACTED] Drainer:面板级调查
研究方法
一次钓鱼攻击关停行动的剖析
调查
IANA #1479IANA #460IANA #3765:助长诈骗的域名注册商

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings