加密牛市不僅為投資者帶來造富效應，對於駭客而言也是豐收季節，近期鏈新聞臉書專頁的貼文，就有詐騙留言大幅增加的現象。資安機構慢霧特別整理各種不同的釣魚手法及詐騙過程，希望加密參與者能更好地防範資安問題。

內容目錄

Drainer-as-a-Service (DaaS) 是什麼？

慢霧創辦人余弦指出，DaaS 可以理解為針對加密產業的釣魚工具，知名工具包括：

• MS

• Pink

• Angel

• Pussy

• Venom

• Medusa

• Monkey

• Inferno

作惡者花錢買了上述 Drainers 工具，並結合成千上萬釣魚網站、行銷帳號、各類騙術、漏洞利用、滲透、垃圾廣告等，如洪水猛獸沖般湧進加密產業。

廣告 - 內文未完請往下捲動

[UPDATE] Crypto 钓鱼常见手法

Drainer-as-a-Service (DaaS) 功能：

注：DaaS 可以理解为针对 Crypto 行业的钓鱼工具，知名的如 Inferno/MS/Angel/Monkey/Venom/Pink/Pussy/Medusa 等这些 Crypto Drainers，牛鬼蛇神们购买这些 Drainers…

— Cos(余弦)‍️ (@evilcos) January 19, 2024

加密常見釣魚手法

余弦列出多種釣魚工具背後的機制：

• 原生簽名利用：eth_sign、personal_sign、eth_signTypedData_* 等，eth_sign 已被眾多錢包封阻。

• 授權函數利用：Token/NFT 中的 approve/permit

• TX data 4byte 利用：Claim Rewards/Security Update

• 授權簽名：用 Create2 預創建資金接收地址，繞過相關檢測

• 比特幣銘文一鍵批量釣魚，UTXO 機制

• 各 EVM 鏈/Solana/Tron 等切換釣魚

釣魚路徑、詐騙入局手段

余弦強調「釣魚」是個廣泛概念，手法雖多但基本大同小異，而儘管這些手段已相當氾濫，仍不時有用戶受騙，他呼籲大家勢必要更為謹慎。

釣魚路徑包括：

• Google/X 等廣告投毒、X 評論或私信投毒。

• 駭入官方帳號 (X、Discord、Telegram 等) 發佈釣魚連結。

• BGP/DNS 等劫持方式，在官網植入惡意代碼。

• 隱蔽的陷阱合約 (貔貅盤、套利陷阱等)。

• 偽造事件/零轉賬等障眼法。

• 硬體錢包售賣渠道被中間人動手腳。

• 誘騙用戶直接「上供」自己的助記詞。

• 偽裝記者、資方、專案方等，誘騙用戶下載中毒文件。

余弦最後提到了 ZeroTransfer 詐騙手法，即刻意生成與與用戶頭尾相同的地址、發送小額交易，等待用戶下次誤認此地址並進行轉帳。

幣安本身此前也曾遇過類似事件。

(ZeroTransfer詐騙！加密錢包地址不能僅看頭尾，趙長鵬CZ提醒：幣安險被騙兩千萬美元 (零 U 地址投毒))