加密货币资金掏空案剖析:19.3亿美元如何在6个月内蒸发
“榨取者”不会窃取你的助记词。它窃取的是你的 签名. 只需一次点击——只要误点了一下“申领”、“验证”或“连接钱包”——一套预先构建的智能合约就会在你手指还没从触控板上移开之前,就把你的资产一扫而空。
“排水器”究竟是什么
A 加密货币抽水者 是一款专为 Web3 设计的网络钓鱼工具。它不会试图窃取您的密码或提取私钥,而是诱使您 签署交易 — 通常是一个 approve(), setApprovalForAll(),或者链下 Permit 这条消息——会将随意转移你资产的权限交给攻击者。钱包虽然仍“属于你”,但资金却不再属于你了。
该模型之所以效率极高,是因为它滥用了 合法的 区块链基本组件。您的私钥绝不会泄露。您的设备上不存在任何恶意软件。仅有一笔交易上存在一个签名,链上分析师能够看到该签名,且其效果无法被任何机构撤销。
据 Chainalysis,所谓“drainer”是一种“专为 Web3 生态系统设计的网络钓鱼工具”,它伪装成合法的去中心化应用(dApp)。 Group-IB, Check Point Research,以及 ScamSniffer 我们已经整理了数千个基于这一具体机制的营销活动。
6步杀伤链
每一次“抽水”攻击——无论是“Inferno”、“Pink”、“Angel”、“MS”、“CLINKSINK”、“Rugging”,还是数十种未命名的变种——都遵循相同的六个阶段。其中的精妙之处在于,将所有这些阶段压缩在钱包连接与交易确认之间的短短几秒钟内。
1. 诱饵
虚假空投、Google/X的赞助广告、遭入侵的已验证账号(这些 美国证券交易委员会(SEC)和曼迪安特(Mandiant)的账户 (这些都曾被用作“敛财工具”),包括[REDACTED]验证机器人、虚假NFT铸造、所谓“独家”测试版邀请,以及知识产权许可诈骗。无论采用何种伪装,其目的都是将你引向攻击者控制的域名。
2. 连接
你点击了“连接钱包”。[REDACTED]、Rabby、WalletConnect、[REDACTED]——都没问题,都在预料之中。现在,该JavaScript代码可以通过以下方式读取你的钱包对象: window.ethereum (或同等物品),并开始射击 eth_call 后台请求。
3. 侦察
该资产清点工具会列出您的持仓情况:原生代币余额、ERC-20 代币、NFT 收藏品以及跨链的 DeFi 持仓。它调用类似 CoinGecko 的价格预言机,将所有资产按美元价值进行排序。高级套件如 地狱汲取者 存储其配置 链上 (BNB Chain),这样就可以在不重新部署 JS 有效载荷的情况下进行更新。
4. 签名
该 dApp 会提示您“验证所有权”、“领取空投”、“批准代币领取”或“签名进入”。钱包界面显示的似乎是一条无害的消息。但实际上,其 calldata 经过精心设计,旨在造成最大损害——详见下一节。
5. 沥干
一旦你签字,攻击者就会打来电话 transferFrom() 来自另一个钱包(操作分离——接收批准的“地址”绝不会是持有战利品的“收款人”)。高级套件可将原生 ETH、ERC-20 代币、ERC-721/1155 NFT 以及 Permit2 转账批量处理于单个 multicall. 从签名到资金划转的净延迟: 秒.
6. 洗涤
资金先经由 SushiSwap / Uniswap 流转(大多数安全工具都会将合法的去中心化交易所(DEX)列入白名单),随后通过跨链桥转至其他区块链,再经由 Tornado Cash 的分叉链,最终流入门罗币。该 $284M [REDACTED] incident 几个小时内就转入了XMR。
您的钱包(签署前)
攻击者合约(获得一个签名后)
一份已签字的 Permit2 一条消息即可授权整个批次。无需二次确认。无法恢复。
四种致命有效载荷
野外中的每个排水器都会以某种方式组合使用这四个基本元素。其中每一个都是一个 合法的 ERC 标准或 RPC 方法。没有“补丁”——只有意识。
1. approve(spender, type(uint256).max) — ERC-20 无消费上限
经典操作。你将代币合约的额度设为最大可能值(2^256 − 1) 发送到一个你无法控制的支付方地址。随后,支付方(即攻击者)会调用 transferFrom(you, attacker, balance) 在方便的时候。除非您通过以下方式明确撤销该批准,否则该批准将永久有效: Revoke.cash 或者直接调用代币合约。
2. setApprovalForAll(operator, true) — 完整的 NFT 系列
比ERC-20的批准更糟糕,因为它 按收藏集“全有或全无”. 一次签名=该合约中的所有 NFT 现在均可被攻击者转移。这就是塞斯·格林(Seth Green)在 2022 年损失 4 只 Bored Apes 的原因,也是 2022 年 12 月一名受害者因假冒的“Forte Pictures”授权诈骗而损失 14 只 BAYC 的原因。
3. EIP-2612 / Permit2 链下签名
这是 2024–2026年首选武器. 而不是链上 approve() (这会消耗 gas 费用,且会明显反映在你的钱包里),攻击者通过以下方式收集一个链下 EIP-712 签名: eth_signTypedData_v4. 没有交易。您这边无需支付 gas 费。只是弹出一个提示框,上面写着“签署此消息”。用于类型化数据签名的钱包界面向来以难以阅读著称,而 Uniswap 的 Permit2 将一个签名转换为对以下内容的批准: 一次处理多个令牌.
参见 Blockaid 的完整 Permit2 案例研究 了解真实的攻击演示,其中包括SushiSwap路由技巧——该技巧将ETH的转移隐藏在看似正常的交易之中。
4. 直接针对种子短语的社会工程学攻击
虽然从狭义上讲它并非真正的“吸金股”——但却是2026年收益率最高的品种。该 2026年1月 [REDACTED]事件 并未绕过任何加密措施。一名“客服人员”致电受害者,引导其完成了一个虚假的“验证”流程,并诱使其念出了恢复密钥。结果: 1,459 BTC + 205万 LTC = 2.84亿美元,占该月所有加密货币盗窃损失的71%,这些资金在相关新闻被媒体报道之前已被兑换成门罗币。
硬件钱包可以防止远程密钥提取。但它们无法阻止您将助记词输入到钓鱼网站中。请使用一个 BIP-39 密码短语.
“排水即服务”经济
那些真正骗走你钱的人中,没有一个是编写代码的。他们 租金 “排水即服务”(DaaS)是一个完全商品化的B2B市场,拥有品牌、定价层级、支持渠道、版本发布,且运营商佣金面临明显的下行压力。
联盟会员的入门费用:a $5,000–$10,000 deposit,有时还会提供相应的“交钥匙”套件。联盟成员会保留被盗资金的75%至95%,并将所有技术问题——包括JS有效载荷、智能合约、托管服务、洗钱Pipeline,甚至7×24小时的[REDACTED]技术支持——全部外包给运营方。 SentinelOne 以及 IMC 2025 学术研究 详细追溯供应链。
这就是为什么仅靠一次性的“打地鼠式”关停远远不够——这也是为什么 对滥用行为视而不见的域名注册商 才是真正的瓶颈。THE ENABLERS REGISTRY 已对此进行了记录并报告 16,000+ 个与“Inferno”相关的域名 独自一人。
签约前的警示信号
签名对话框是最后一道防线。如果以下任一情况属实, 取消 ——没有任何正当的流程需要它们:
- 您是通过赞助搜索结果、私信或电子邮件链接进入本页的。 各大搜索引擎上的加密货币赞助搜索结果均已遭到篡改。请务必通过书签访问。
- 签名是“免费”/“免手续费”/“链下”的。 这是一种 Permit2 风格的链下签名。读取类型化数据字段。如果
spender如果感到陌生,就走开吧。 - 金额是
uint256.max,0xfff…fff,或“无限”。 几乎没有任何正当的工作流程需要无限次的审批。 - 该函数是
setApprovalForAll针对一个你不认识的集合。 或者,选择一个不是 [REDACTED] / Blur / LooksRare 的“平台”。 - 该网站会在您连接后立即要求您切换链。 多链提取循环正在进行中。
- 该目标合约的部署时间不足7天。 “地狱”级抽水机每24小时轮换一次中间合约。
- 你感到时间紧迫。 倒计时器、“优惠将于4分32秒后结束”、“仅剩12个名额”——每个引流模板都自带这些功能。
- 是“客户支持”先联系了您。 [REDACTED]、[REDACTED]、[REDACTED]、NASDAQ:COIN、LEI:5493004F7TI6QBM4WX72——它们绝不会给你发私信。绝不会。
如何真正保护自己
- 钱包隔离。 冷钱包(硬件钱包,存放大部分净资产)→ 运营热钱包(1–2周内的活动)→ 一次性钱包(任何新交易,余额接近于零)。切勿将冷钱包连接到全新的dApp。
- 硬件钱包 + BIP-39 密码短语。 密语是“$284M [REDACTED] 事件”与“攻击者虽然获得了你的种子但一无所获”之间的关键区别。请牢记它,切勿以数字形式存储。
- 交易模拟器。Blockaid, 钱包守护者, Pocket Universe, Fire — 安装其中一个。它们会在你签名前显示实际的余额变动情况。
- 将所有 dApp 添加到书签。 千万不要在谷歌上搜索“Uniswap”。千万不要点击社交媒体上的加密货币链接。那些赞助结果出错的频率远比你想象的要高。
- 每周审核您的审批事项。Revoke.cash 显示了所有链上所有处于活动状态的配额。撤销任何您不再主动使用的配额。
- 访问任何不熟悉的网站前,先通过临时浏览器访问一下。 清空钱包,看看它需要什么,然后再决定它到底值不值得拥有一个真正的钱包。
- 在钱包配置文件中禁用浏览器扩展程序。 一个仅用于 Web3 的独立浏览器配置文件(或 Brave Tor 窗口)。扩展程序已被证实是资源消耗源——参见 [REDACTED] 的 npm 供应链分析.
- 检查域名的信誉。 将网址粘贴到 THE ENABLERS REGISTRY 域名报告, urlscan, 或 我们的[REDACTED]机器人. 如果我们已经看过,就会做标记。
如果您已经签署了:请在接下来的60秒内完成以下操作
- 停。 不要签署任何其他文件,包括那些以“修复”或“恢复”为名的提示——这些都是利用你恐慌心理进行的第二阶段诈骗。
- 把还没排干的东西都搬走。 创建一个全新的钱包(最好是硬件钱包),并将剩余的资产转入其中。价值最高的资产优先。处理 每个 从被破解的密钥中推导出的地址被视为永久性烧毁。
- 撤销批准 通过以下方式访问该遭入侵的钱包: Revoke.cash ——这适用于每一条区块链,而不仅仅是以太坊。这是一场与攻击者自动化手段的赛跑。
- 把一切都记录下来。 Tx 哈希值、攻击者地址、时间戳、钓鱼网站的精确 URL。在关闭标签页之前截取的屏幕截图。
- 报告。 归档于 联邦调查局(FBI)IC3, 您当地的网络犯罪调查部门、受影响的协议(Uniswap、[REDACTED] 等——它们有时会冻结衍生品),并将钓鱼网址提交至 @EnablersRegistry 于是,我们摧毁了下一个受害者的基础设施。
- 如果助记词被泄露: 钱包已经没了。别再试图“保护”它了。放下过去,重新开始,从中吸取教训。
“数据提取工具并不能破解密码学。它们打破的是这样一种假设:即人类能够以钱包要求的速度读取调用数据。只要放慢一个签名的处理速度,整个盗窃产业就会崩溃。”
参考资料与延伸阅读
- Chainalysis — 加密货币窃取者:Web3 面临的威胁
- Group-IB — “地狱汲水者”调查
- Check Point Research — 《地狱汲血者:重装上阵》
- ScamSniffer — “Pink Drainer” 2024年事件
- Blockaid — 一起加密货币盗窃案的详细过程解析
- BleepingComputer — 通过CLINKSINK劫持Mandiant X
- 《网络日报》—— Mandiant 系统遭劫持 = 耗资 90 万美元的攻击行动
- SentinelOne — “按需排水服务”的兴起
- Gurucul — 钱包授权滥用 → 恶意软件辅助的 Web3 攻击
- [REDACTED] — 针对 Web3 包的 npm 供应链攻击
- AInvest — 2026年1月 [REDACTED] 2.84亿美元分析
- IMC 2025 学术 —— DaaS 经济测算研究
- THE ENABLERS REGISTRY — 助长全球诈骗的域名注册商
- THE ENABLERS REGISTRY — 一次钓鱼攻击关停行动的剖析
- THE ENABLERS REGISTRY — 实时清除列表(13万余个活跃威胁)
THE ENABLERS REGISTRY 针对“吸血者”采取了哪些措施
我们是一个非营利性运营者集体。我们全天候在搜索引擎优化(SEO)、付费广告、[REDACTED]、X、[REDACTED]以及域名注册商的诱捕站点中搜寻“吸金”基础设施,然后将其扼杀。
- 78.5万+ 自2019年以来追踪的网络钓鱼和诈骗域名。
- 8.9万+ 向域名注册商和主机服务商提交的滥用报告。
- 50+ 防病毒厂商和威胁情报平台都会接入我们的数据源。
- <0.5% 在超过10万份经验证的报告中的假阳性率。
- 免费、公开、不可变 证据档案库位于 GitHub + HuggingFace.
发现了一个“水货”网站?请将网址发送至 @EnablersRegistry. 等你的咖啡还没凉,我们就把滥用报告提交了。
