Cos(余弦) @evilcos
Drainer-as-a-Service (DaaS) 功能:
注:DaaS 可以理解为针对 Crypto 行业的钓鱼工具,知名的如 Inferno/MS/Angel/Monkey/Venom/Pink/Pussy/Medusa 等这些 Crypto Drainers,牛鬼蛇神们购买这些 Drainers 结合成千上万钓鱼网站、营销账号、各类骗术、漏洞利用、渗透、垃圾广告等等,如洪水猛兽冲进这个行业。
- eth_sign/personal_sign/eth_signTypedData_* 这种原生签名利用,eth_sign 已经被钱包们封堵得越来越少了
- Token/NFT 类似 approve/permit 这些授权函数的利用
- 类似 Uniswap swapExactTokensForTokens/permit2 等这些强大函数的利用
- OpenSea/Blur 等协议函数的利用(五花八门)
- TX data 4byte 利用,Claim Rewards/Security Update 等
- 用 Create2 预创建资金接收地址,绕过相关检测
- Solana 一笔签名钓走目标钱包地址里的所有资产
- 比特币铭文一键批量钓鱼,UTXO 机制
- 各 EVM 链/Solana/Tron 等切换钓鱼
钓鱼路径(不一定使用 DaaS):
- Google/X 等广告投毒、X 评论或私信投毒
- 黑掉官方号(X、Discord、Telegram 等)发布钓鱼链接或其他骗术,黑掉的方法常见如:SIM 卡劫持、第三方应用 OAuth 授权、骗取 Discord token、骗取 Telegram Login code 等方式
- BGP/DNS 等劫持或入侵手法在官方网站植入恶意代码
- 供应链攻击在官方网站植入恶意代码(如之前 Ledger 模块 ledgerhq/connect-kit 被投毒事件)
- 隐蔽的陷阱合约(貔貅盘、套利陷阱等)
- 知名项目合约存在授权漏洞
- 空投代币买卖或以取消授权名义偷走用户过大的 Gas
- 伪造事件/零转账等障眼法
- 污染钱包的转账历史(首尾号一样),坐等用户复制
- 伪装记者、资方、项目方等诱骗用户下载打开带木马的文档、游戏程序、工具等
- 带后门的薅毛工具
- 假 Telegram/WhatsApp/Binance 等替换钱包地址
- 假钱包直接采集助记词或者给 Tron 地址加把权限锁,坐等目标入账
- 诱骗用户转账时填写存在猫腻(如授权)的 data
- 假币、假官网、假官方人员等等骗局
- 诱骗用户直接“上供”自己的助记词…
- 明文助记词/私钥陷阱:窃取手续费或诱导安装带木马的钱包程序
- 类“杀猪盘”线上套路
- 类“扳手攻击”“色诱”“大生意”等这种线下套路
- 硬件钱包售卖渠道被中间人动手脚
免责声明:文章内的信息仅供参考,均不构成任何投资建议及要约,并请您遵守所在国家或地区的相关法律法规。