![]()
![]()
钱包窃贼已经从加密货币用户手中窃取了数十亿美元,而几乎所有案例都与密码被盗或区块链被黑客攻击无关。受害者往往在签署自己并不理解的交易时就遭受了损失。本指南将解释钱包窃贼的运作原理、他们利用的代币授权机制、使盗窃行为产业化的“窃贼即服务”行业、赋予攻击者一切权限的特定签名,以及如何保护钱包并撤销可能已经存在风险的授权。
加密货币领域最成功的盗窃手法并非入侵系统,而是请求授权,而受害者往往会授予这种授权。钱包清空器是一种恶意工具,它只需一笔授权交易即可清空加密钱包中的所有代币和NFT,已从数十万受害者手中窃取了数十亿美元。几乎所有案例都令人震惊地表明,区块链运行完美,加密机制完好无损,且没有任何密码被窃取。受害者被诱骗签署了授权盗窃的交易,而区块链也按照其设计流程,忠实地执行了授权。
这就是窃取工具时代的一个显著特征:攻击面从协议转移到了人。区块链使得通过破解算法窃取加密货币几乎不可能,因此窃贼放弃了这种尝试,转而攻击唯一一个任何密码学都无法保护的环节——人为签名。窃取工具正是这种转变的工业化产物,它们是打包好的工具,以服务的形式出售给非技术犯罪分子,配备了诱骗受害者的网络钓鱼基础设施和智能合约,一旦受害者同意,智能合约就会立即窃取他们的资产。
本指南将详细解释整个区块链机制。它涵盖了区块链授权的工作原理及其为何构成漏洞、从诱骗到扫荡的窃取攻击流程、具体的恶意签名、授权、许可,以及臭名昭著的盲签名交易(攻击者可以利用这些交易获取一切信息)、将钱包盗窃变成特许经营业务的窃取即服务行业、引诱受害者的诱饵,以及具体的防御措施,包括如何查找并撤销可能存在于您钱包中的危险授权。
审批:这项功能最终变成了武器
要理解“资金窃取者”,首先要理解代币授权机制,因为整个攻击过程都是对一项合法且必要的功能的滥用。当你使用去中心化应用程序(例如 DEX、借贷协议或 NFT 市场)时,它们需要获得你的授权才能代表你转移代币。标准的机制并非逐笔交易进行授权,而是允许你为智能合约授予权限:即允许其从你的钱包中支出一定数量的特定代币,这样应用程序就可以顺畅运行,而无需每次都进行请求。
这很方便,而且如果诚实使用,也很安全。问题在于,当这种机制被滥用时,会发生什么。授权金额可以没有上限,只需一次签名,合约就可以转移你持有的所有代币,而且授权会一直有效。你授予的授权会一直保持有效,直到你撤销为止,有时甚至长达数年,即使你早已忘记这笔交易,它仍然悄悄地保留着转移该代币的权限。恶意合约如果获得了对你最值钱的代币的无限且持久的授权,就掌握了你钱包中该部分的永久密钥,它可以随时使用该密钥,即使在你签名很久之后也是如此。
窃取者的存在正是为了通过欺骗手段获取这些授权。攻击者的全部目标就是诱使你签署一笔交易,从而授予恶意合约对你资产的权限。其他一切,例如虚假网站、紧急信息、冒充品牌等等,都是为了制造这个签名而精心设计的。一旦授权生效,盗窃就不是黑客攻击,而是合约行使了你授权的权限。这就是为什么窃取者造成的损失难以逆转,以及区块链为何无法为受害者提供任何追索权的原因:从协议的角度来看,一切正常。
吸血攻击的剖析
资金窃取攻击遵循一套固定的流程,了解这套流程有助于识别其危险性。攻击始于诱饵:受害者会遇到一些旨在诱导其连接钱包并签名的内容,例如伪造的真实项目网站、虚假的空投信息、被盗社交媒体账户中的恶意链接、虚假的“模因币”发行页面(这类发行会吸引大量用户匆忙签名)、被污染的搜索结果或广告。诱饵的作用是让受害者误以为自己正在进行合法的操作,例如领取奖励、铸造NFT、验证账户或连接到熟悉的应用程序,从而触发钱包签名提示。
接下来是签名请求,这是攻击的核心。恶意网站会提示受害者的钱包签署一笔交易,而这笔交易经过精心设计,旨在授予攻击者的合约对受害者资产的访问权限,例如无限额代币授权、许可签名,或一次性处理多个资产的批量授权。对受害者而言,该提示通常看起来很普通,而现代的资金窃取者会竭力使其看起来与受害者预期的合法操作完全一致,将恶意授权伪装成他们想要执行的连接或声明。钱包会正确地显示签名提示;受害者误以为这是无害的,于是点击了“同意”。
盗窃过程几乎瞬间完成。授权一旦生效,盗币者的基础设施就会立即将授权资产从钱包中转移出去,通常在同一区块内即可完成。他们会利用与所有链上提款相同的优先级排序机制,优先处理最有价值的代币,并利用自动化程序在受害者反应过来之前,将所有签名授权的资产全部盗走。被盗资产随后会通过混币器和跨链路由进行洗钱,这是所有重大盗窃案的惯用伎俩,也是链上分析行业追踪却鲜少能逆转的手段。等到受害者察觉时,资产早已消失,而授权丢失的凭证往往仍然有效,随时准备盗走任何新到账的代币。从诱骗到盗币,整个过程只需几秒钟即可完成,正是因为其速度之快,预防而非应对才是唯一的有效防御手段。
那些泄露一切的签名
并非所有恶意签名都一样,最危险的签名值得我们了解,因为识别它们意味着是侥幸脱险还是血本无归。
无限制授权是经典的授权方式:通过签名授予合约无限量使用特定代币的权限。合法应用有时为了方便会请求此类授权,但这恰恰是其危险之处:受害者已经习惯于批准此类授权,而恶意合约一旦拥有无限制授权,便可立即甚至之后完全耗尽该代币。许可签名则更为隐蔽,也更加危险:较新的代币标准允许通过链下签名消息而非链上交易来授予授权,这意味着受害者只需签署一条看似无害的消息,即可授权进行代币转移,无需支付 gas 费用,也没有任何明显的交易痕迹。这种基于许可的攻击尤其具有欺骗性,因为它绕过了显式授权交易可能引发的心理警觉。批量签名或委托签名则允许在一次授权中授权跨多个资产执行操作或授予广泛的控制权,只需一次签名即可一次性移交整个钱包的资产。
所有这些问题的根源在于一个最根本的问题:盲签名。硬件钱包或软件钱包虽然能保护你的私钥,但通常无法用简单的语言告诉你复杂交易的实际含义,而是显示一个晦涩难懂的哈希值或一段难以理解的数据块。当受害者无法阅读他们授权的内容时,他们只能信任网站对交易的描述,而非交易本身。窃贼正是利用了这一漏洞,表面上看似无害,实则暗藏窃取行为。盲签名是自保数据安全中最大的漏洞,也是业内最大规模机构盗窃案背后的罪魁祸首。正因如此,最重要的防御措施是确保交易在签名之前就可读。
排水服务:盗窃特许经营
将钱包盗窃从零星的骚扰发展成价值数十亿美元的产业,关键在于一种商业模式的创新:盗窃即服务。以往窃贼各自开发工具,而如今,经验丰富的开发者们构建了盗窃工具包,这些完整的软件包包含恶意智能合约、钓鱼网站模板、资产盗窃自动化程序,甚至还有客户支持,然后将其出租或授权给非技术犯罪分子,以换取被盗资金的一部分,通常是每次盗窃金额的一定比例。
正是这种特许经营模式导致了恶意窃取钱包资金的规模如此惊人地扩大。它消除了技术门槛:即使没有任何编程能力,犯罪分子现在也可以通过订阅服务、设置诱饵并与开发者分成,部署专业级的恶意窃取操作。这些工具包竞相提高窃取钱包资金的效率,并迅速进化以绕过钱包警告、逃避检测并改进欺骗手段,这场军备竞赛的资金来源正是窃取资金本身。臭名昭著的恶意窃取钱包服务已经从成千上万的受害者手中窃取了巨额资金,其损失规模堪比那些在关闭、更名或被模仿者取代之前就能窃取整个协议资金的漏洞利用。这种模式的韧性在于其结构性:即使一个服务被摧毁,需求、工具和开发者也会以新名称重新组建。该行业已经像合法软件一样实现了专业化,拥有了分级、更新和支持等机制,而这些机制完全应用于恶意签名的制造。
规模,以及它为何持续增长
“洗钱器”时代的数据解释了它为何如此引人注目。在这一现象的鼎盛时期,洗钱器运营者从数十万个钱包中窃取了数十亿美元,单个服务商在倒闭或更名前就处理了数亿美元的资金。损失并非集中在粗心的新手用户身上,而是遍及所有用户,包括那些在日常操作中一时疏忽签署了一笔错误交易的经验丰富的用户。其增长曲线与服务模式的传播相吻合:随着工具包更容易租用且更容易绕过钱包警告,运营者的数量成倍增长,造成的总损失也随之扩大。
两个因素导致这个问题难以解决。首先是军备竞赛:钱包安全、交易警告、钓鱼网站黑名单、授权提醒等方面的每一次改进,都会被窃取资金资助的窃取工具开发者用来调整他们的工具包以规避这些措施,因此防御和攻击不断演进,双方都无法永久取胜。其次是重组难题:由于该模式是一种服务,而非固定操作,因此,即使通过执法部门、交易所合作或开发者套现的方式瓦解任何一个窃取工具,也只能消除一个品牌,而无法消除需求、专业知识或工具,它们会以新的形式重新出现。出于同样的原因,该行业展现出了与任何合法软件市场一样的韧性:准入门槛低、需求强劲、持续迭代,所有这些都指向制造恶意签名。
慢动作中的排水器
以人类的速度执行一次复合攻击,就能将抽象的序列具象化。用户看到一条看似来自他们关注的项目官方账号的帖子,宣布将在几小时内进行一次突如其来的空投。这种紧迫感是刻意营造的。他们点击链接,跳转到一个与真实项目一模一样的网站,域名仅相差一个字符。该网站邀请他们连接钱包以验证资格,这是一个例行且看似无害的操作,他们照做了。网站显示他们符合领取资格,并提示他们签署交易以领取奖励。
提示信息是个陷阱。网站所谓的“声明”实际上是请求攻击者的合约对用户最有价值的代币拥有无限授权,或者通过看似无害的无gas费消息授予用户相同的授权签名。用户因为空投而兴奋,又被熟悉的网站所吸引,于是阅读了网站上看似无害的描述,而不是交易的真实内容(他们的钱包可能只会看到一串不透明的乱码),并最终批准了交易。
在同一区块内,窃取者会将授权代币从钱包中窃取出去,如果签名范围较广,则会转移到下一个资产。几分钟后,用户查看项目的实际渠道,发现根本没有空投。授权此次盗窃的授权仍然有效,除非被撤销,否则它会窃取任何补发的代币。每一步都感觉很正常;所有损失都源于一个匆忙签署的签名,而这正是窃取者整个设计的缩影。
诱饵:受害者是如何被送来的
引诱合约只是整个骗局的一半;另一半是诱饵基础设施,它将受害者引诱到签名提示页面,其种类繁多,值得记录,因为识别是防御的关键。虚假空投和代币兑换利用人们的贪婪和紧迫感,承诺免费发放代币,但需要连接钱包并签名才能领取。冒充网站逐像素克隆真实项目,通过恶意搜索广告、域名抢注或从被盗用的官方账户发布的链接进入,让受害者误以为自己访问的是真实网站。虚假的铸币和限量版发售制造稀缺性和时间压力,使受害者失去警惕。被盗用的社交媒体账户,包括已验证的官方账户,会向信任的粉丝发布恶意链接。提供支持、机会或警告的私信会将受害者引诱到恶意网站。而投放在搜索引擎和社交平台上的恶意广告则会将欺诈网站置于真实网站之上。
共同之处在于心理层面:每一种诱饵都会营造一种兴奋、紧迫、信任和害怕错失的氛围,让受害者在这种氛围下不加思考地签字。窃取资金的技术复杂程度几乎不如诱饵的社会工程手段重要,因为整个攻击的关键在于抓住受害者先同意后思考的瞬间。这就是为什么最有效的防御并非技术手段,而是行为手段——在紧迫状态下始终拒绝签字,这也是攻击者为何如此不遗余力地制造这种紧迫感的原因。
辩护,并撤销可能已经很危险的措施。
保护钱包免受盗刷的关键在于养成一些习惯,以及一项大多数用户从未执行过的维护任务。这些习惯包括:将每一次签名请求都视为一个重要的决定,而非形式主义;切勿在紧急情况下签名,因为紧迫感正是攻击者的攻击点。独立验证网站,手动输入已知的网址或使用书签,而不是点击链接、广告或搜索结果。对任何免费、意外或有时限的事物保持高度警惕,这些都是诱饵的典型特征。使用能够解码和模拟交易的钱包,在批准签名之前用明文显示签名的实际作用,这直接攻击了盲签名漏洞;拒绝签署任何你无法理解的内容。将大量资金存放在硬件钱包中,最好是使用完全不连接任何应用程序的专用冷钱包,这样你用于与去中心化应用(DApp)交互的钱包里就只存放你能承受损失的资金。此外,要格外谨慎地对待无限制的授权,尽可能只授予交互实际所需的权限。
维护任务之一是撤销授权,而这恰恰是大多数用户容易忽略的一项。您授予的所有授权在被撤销之前都仍然有效,这意味着那些旧的、被遗忘的权限,包括您可能已经签署但尚未产生后果的恶意授权,仍然会以潜在风险的形式存在于您的钱包中。授权检查工具,包括主流钱包和区块浏览器内置的工具,可以让您查看钱包中所有有效的授权,了解哪些合约可以使用哪些代币,并撤销您不认识或不再需要的授权。定期审查和撤销授权可以关闭那些窃取资金的“门户”,而现在就采取行动,特别是撤销对不熟悉合约的任何无限制授权,是大多数加密货币用户可以采取但却尚未采取的最有价值的安全措施。
坦白地说,在加密技术无法破解的时代,窃取加密货币信息(drainers)是加密货币盗窃的成熟形式:行业对代码的安全防护如此严密,以至于犯罪分子放弃了代码,转而利用人为手段,并围绕着制造唯一一种自我保护机制也无法阻止的东西——受害者在恶意交易上留下自己的签名——建立了一个专业的产业。任何区块链升级都无法解决这个问题,因为区块链本身并没有出现任何问题,因此,相应的防御手段也变成了人为因素、基于充分信息的怀疑、可读的交易记录、最小化信息泄露以及撤销授权。
这项技术赋予了每个人成为自己银行的权力,而泄密器则时刻提醒我们,成为自己的银行意味着成为自己的安全部门,而加密中最重要的防火墙是读取签名请求和批准请求之间的停顿。
最后还有一点值得牢记:自我托管最大的优势在于它能有效控制资产,而这种控制权的代价就是会让人感到压力。正是这种特性让你拥有银行无法冻结的资产,让你对自己的签名拥有最终决定权,但也正是这种特性让攻击者有机可乘,因为即使是被骗签下的签名,也和其他任何签名一样具有最终效力。没有任何支持渠道可以撤销这种控制,也没有任何机构可以承担损失,而这正是自我托管所提供的交换:完全的控制权换取完全的责任。好消息是,这份责任可以通过几个简单的习惯以及花一个下午撤销旧的授权来履行,而且,一旦养成这些习惯,实际上就很难被控制。防火墙就是你自己;本指南就是你的使用手册。
免责声明:本文仅供教育用途,不构成投资或证券建议。数字资产自行托管存在重大风险,任何做法都无法完全消除风险。本文信息截至2026年7月9日有效。请务必自行研究。
常见问题
简单来说,什么是“钱包杀手”?
钱包窃取器是一种恶意工具,它会诱骗钱包所有者签署授权盗窃的交易,从而清空加密钱包中的所有代币和NFT。它不会窃取密码或破坏区块链;它滥用应用程序转移代币的合法授权机制,通过欺骗手段获取授权,然后盗走资产。区块链会将这种盗窃行为视为已授权的操作。
窃取加密货币的人如何在不进行任何黑客攻击的情况下窃取加密货币?
他们利用的是人性,而非技术。区块链允许你授权智能合约转移你的代币,而窃取者会诱骗你授予恶意合约这种权限,通常是通过虚假网站或空投活动,这些活动会提供看似无害的签名提示。一旦你批准了,从协议的角度来看,该合约会合法地转移你的资产,这就是为什么从技术上讲,并没有发生黑客攻击,而且盗窃行为很难逆转。
什么是代币批准?它为什么危险?
代币授权是指您授予智能合约使用您的代币的权限,这样应用程序无需每次交易都请求授权即可运行。当授权不受限制且永久有效时,就会变得非常危险:只需一次签名即可授权合约转移所有代币,并且该权限会一直有效,直到被撤销。拥有此类授权的恶意合约掌握着您钱包该部分的永久密钥。
什么是盲签名?
盲签是指批准一笔交易,但交易的真实效果你无法直接读取,通常以不透明的哈希值或数据块的形式呈现,而非清晰易懂的描述。由于你无法看到自己授权的内容,你只能信任网站对交易的描述,而非交易本身,而这正是窃取者利用的漏洞。这是自保系统中最大的安全隐患,而可读的模拟交易则是直接的防御手段。
什么是排水即服务?
“盗钱包即服务”的商业模式使钱包盗窃产业化:技术娴熟的开发者构建完整的盗钱包工具包、恶意合约、钓鱼模板、自动化清空程序,甚至提供技术支持,然后将其出租给非技术犯罪分子,从中抽取一部分赃款。这种模式消除了技术门槛,使任何人都能开展专业的盗钱包活动,这也是为什么盗钱包造成的损失高达数十亿美元,以及为什么关闭一项服务很少能彻底解决问题的原因。
如何判断签名请求是否恶意?
仅凭请求本身往往无法判断其真实性,这正是危险所在。因此,防御的关键在于流程而非检测。切勿在紧急情况下签名;独立验证网站,而非点击链接;对任何免费或有时限的请求保持警惕;使用能够解码和模拟交易的钱包,以清晰易懂的方式展示签名的作用。如果您无法理解所授权的内容,请勿签名。
如果我怀疑自己签署了一份恶意授权书,我该怎么办?
立即采取行动:使用授权检查工具(例如主流钱包或区块浏览器内置的工具)查找并撤销恶意授权,以免其盗取新资产,因为授权在被撤销前一直有效。将剩余资产转移到新的安全钱包。如果已被盗取,被盗资金通常无法追回,但撤销授权可以阻止通过同一授权进行的进一步盗窃。
如何保护我的钱包免受榨取?
养成良好的习惯并注重卫生:将每一次签名都视为一项重大决定,切勿在紧急情况下签名;独立验证网站;使用交易解码钱包,拒绝签署任何你无法读取的内容;将大量资金存放在冷钱包中,切勿让任何应用程序访问这些钱包;仅授予有限的授权而非无限授权;定期审查并撤销已生效的授权。撤销旧的、无限制的授权是大多数用户从未做过的最有价值的操作。
本文仅供信息分享,非商业用途,版权归原作者所有。如有侵权请联系删除。内容不构成投资建议。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.