签名钓鱼与盗是币圈高发链上欺诈行为,前者诱签恶意交易授权资产转移,后者通过窃取登录凭证、助记词或劫持插件直接控制账户,均导致资产瞬间清空且不可追回。
全球主流的正规交易所推荐
欧易OKX:
Binance币安:
火币Huobi:
Gateio芝麻开门:
签名钓鱼与盗是币圈中两类高发链上欺诈行为,均通过诱导用户主动签署恶意交易完成资产窃取。
一、签名钓鱼的本质与运作机制
签名钓鱼不依赖获取助记词或私钥,而是利用用户对链上签名操作的信任,诱使其签署隐藏恶意逻辑的交易请求。该操作一旦确认,即等同于授权攻击者执行预设函数。
1、攻击者构建伪装页面,例如仿冒空投申领、NFT验证或跨链桥升级界面;
2、页面弹出“签名请求”,内容显示为“验证存储”或“领取权益”,实际调用的是transferFrom或setApprovalForAll等高危函数;
3、用户在未审阅交易详情的情况下点击“确认”,私钥本地签名后广播上链;
4、攻击合约立即触发转账或无限授权,资产被批量转出或NFT控制权被转移。
二、盗行为的典型路径
盗指攻击者通过非技术手段或社会工程学方式,直接获取用户账户控制权,常见于中心化交易所场景,其核心在于绕过私钥体系,直取登录凭证或会话权限。
1、用户点击钓鱼链接进入仿冒OKX、Binance等平台登录页;
2、输入账号密码后,页面未跳转而是在后台将凭证提交至攻击者服务器;
3、攻击者用该凭证登录真实平台,同时启用短信拦截或邮箱接管进一步锁定账户;
4、用户收到异常登录提醒时,资产往往已被提至混币器或跨链转移。
三、助记词泄露型盗的不可逆特征
当用户向钓鱼网站手动输入12/24位助记词,等于主动交出全部存储控制权。该行为不依赖任何链上交互,私钥可即时重建,所有关联地址资产瞬间处于暴露状态。
1、骗子以“账户冻结需重置助记词”“空投资格验证”为由诱导填写;
2、输入框实为前端JS脚本,数据实时发送至攻击者后端;
3、攻击者使用该助记词导入任意存储软件,同步全部地址余额;
4、所有链上资产将在5秒内被清空,且无法通过链上手段拦截或追回。
四、浏览器插件劫持式签名钓鱼
恶意扩展程序在用户不知情时劫持存储签名流程,替换收款地址或篡改交易参数,使用户每一次正常操作都成为资产转移指令。
1、用户从Chrome应用商店安装标有“OKX Toolkit”“MetaMask Enhancer”的仿冒插件;
2、插件获取ethereum.request权限后,监听所有eth_signTransaction调用;
3、当用户发起转账时,插件将目标地址 silently 替换为攻击者地址;
4、用户看到的交易预览与实际广播内容完全不一致,但签名过程无任何异常提示。
五、Discord/TG群组内嵌式签名诱导
攻击者以项目方身份入驻高活跃社群,通过伪造公告、截图和管理员身份,营造紧迫感,引导成员批量签署同一恶意合约。
1、群内发布“V2合约升级强制迁移”通知,并附带短链;
2、点击后跳转至含approve调用的DApp页面,额度默认设为MAX_UINT256;
3、页面UI显示“仅授权本次迁移”,但交易详情中spender字段指向未知合约;
4、超过92%的受害者未展开Etherscan验证就完成签名,导致USDT、ETH等主流资产被持续收割。
