Odaily星球日報訊慢霧創辦人餘弦在X平台發文列舉Crypto釣魚常見手法,包括: Drainer-as-a-Service(DaaS)功能: – eth_sign/personal_sign/eth_signTypedData_* 這種原生簽名利用,eth_sign已經被錢包們封鎖得越來越少了; – Token/NFT類似approve/permit這些授權函數的利用; – 類似Uniswap swapExactTokensForTokens/permit2等這些強大函數的利用; – OpenSea/Blur等協定函數的利用; – TXTX data 4byte利用,Claim Rewards/Security Update等; – 用Create2預先創建資金接收地址,繞過相關檢測; – Solana一筆簽名釣走目標錢包地址裡的所有資產; – 比特幣銘文一鍵批量釣魚,UTXO機轉; – 各EVM鏈/Solana/Tron等切換釣魚。釣魚路徑(不一定使用DaaS): – Google/X 等廣告投毒、X 評論或私訊投毒- 黑掉官方號(X、Discord、Telegram 等)發布釣魚連結或其他騙術,黑掉的方法常見如:SIM卡劫持、第三方應用OAuth授權、騙取Discord token、騙取Telegram Login code等方式; – BGP/DNS等劫持或入侵手法在官方網站植入惡意代碼; – 供應鏈攻擊在官方網站植入惡意代碼(如之前Ledger模組ledgerhq/connect-kit被投毒事件); – 隱藏的陷阱合約(貔貅盤、套利陷阱等); – 知名專案合約有授權漏洞; – 空投代幣買賣或以取消授權名義偷走用戶過大的Gas; – 偽造事件/零轉帳等障眼法; – 污染錢包的轉帳歷史(首尾號一樣),坐等用戶複製; – 偽裝記者、資方、專案方等誘騙用戶下載打開帶木馬的文檔、遊戲程序、工具等; – 帶後門的薅毛工具; – 假Telegram/WhatsApp/Binance等替換錢包地址; – 假錢包直接採集助記詞或給Tron地址加把權限鎖,坐等目標入賬; – 誘騙用戶轉賬時填寫存在貓膩(如授權)的data; – 假幣、假官網、假官方人員等等騙局; – 誘騙用戶直接“上供”自己的助記詞; – 明文助記詞/私鑰陷阱:竊取手續費或誘導安裝帶木馬的錢包程式; – 類「殺豬盤」線上套路; – 類「扳手攻擊」「色誘」「大生意」等這種線下套路; – 硬體錢包售賣渠道被中間人動手腳。
dark