什么是钱包盗窃者?深入了解钓鱼行业的运作

3 小时前
閱讀 7 分鐘
3 視圖

钱包盗窃者的工作原理

钱包盗窃者已经从加密货币用户那里窃取了数十亿美元,而几乎没有涉及被盗密码或被黑区块链的情况。受害者在不理解的情况下签署了交易。本文将解释盗窃者的工作原理、他们利用的代币批准机制、将盗窃工业化的“盗窃者即服务”行业、给予攻击者一切的特定签名,以及如何保护钱包并撤销可能已经存在的危险批准。

盗窃技术的演变

加密货币中最成功的盗窃技术并不涉及破坏任何东西,而是请求权限,受害者则授予了这种权限。钱包盗窃者是恶意工具,可以在一次批准的交易中将加密钱包中的代币和NFT清空,已经从数十万受害者那里窃取了数十亿美元。几乎每个案例的显著事实是,区块链完美运行,加密技术保持安全,且从未有密码被盗。

受害者被欺骗签署了一笔授权盗窃的交易,而区块链则如其设计所示,忠实地执行了授权。

攻击的机制

这是盗窃者时代的定义特征:攻击面从协议转移到了个人。区块链使得通过破解数学来窃取硬币几乎不可能,因此小偷停止了尝试,转而关注没有任何加密技术可以保护的一个组成部分,即决定签署的人的人性。盗窃者是这一转变的工业化产品,作为服务出售给非技术犯罪分子,配备了诱骗受害者的钓鱼基础设施和智能合约,以便在他们批准的瞬间迅速清空他们的资产。

代币批准机制的滥用

要理解盗窃者,首先要理解代币批准,因为整个攻击都是对一个合法且必要功能的滥用。当您使用去中心化应用程序、去中心化交易所、借贷协议或NFT市场时,它需要获得权限以代表您移动代币。与其每次单独批准每一笔交易,标准机制允许您授予智能合约一个限额:允许其从您的钱包中支出特定代币的最高金额,以便应用程序能够顺利运行,而无需每次都请求。

问题在于,当这一机制被滥用时,它允许的内容。批准可以是无限的,一次签名可以授权一个合约移动您将来持有的所有代币,并且它们是持久的,您一次授予的批准在您撤销之前一直有效,有时长达数年,默默保留着在您忘记交易后仍然可以清空该代币的权限。

盗窃者的攻击序列

盗窃者的存在正是为了通过欺骗获得这些批准。攻击者的整个目标是让您签署一笔交易,授予恶意合约对您资产的权限,而其他一切,包括虚假网站、紧急消息、冒充品牌,都是制造这一签名的机器。一旦获得,盗窃就不是黑客攻击;而是合约行使您授权的权限,这就是为什么盗窃者的盗窃如此难以逆转,以及为什么区块链对受害者没有救济:从协议的角度来看,根本没有出错。

诱饵与签名请求

盗窃者攻击遵循一致的序列,了解这一点使危险变得清晰。它始于诱饵:受害者遇到一些旨在让他们连接钱包并签署的东西,一个真实项目网站的假版本、一个欺诈性的空投声明、一个被黑社交媒体账户中的恶意链接、一个伪造的铸造页面,吸引人们匆忙签署的那种迷因币发行,或一个被污染的搜索结果或广告。

诱饵的任务是将受害者置于钱包签署提示面前,同时他们相信自己正在做一些合法的事情,声称获得奖励、铸造NFT、验证账户、连接到熟悉的应用程序。接下来是签名请求,攻击的核心。恶意网站提示受害者的钱包签署一笔交易,而该交易被精心设计为授予攻击者的合约对受害者资产的权限,一个无限的代币批准、一个许可签名,或一次性授权多个资产的批量授权。

防御措施与习惯

保护钱包免受盗窃者的侵害归结为一系列习惯和大多数用户从未执行过的一项维护任务。习惯包括:将每个签署请求视为决策,而不是形式,绝不要在紧迫状态下签署,因为紧迫感就是攻击。独立验证网站,输入已知的URL或使用书签,而不是点击链接、广告或搜索结果。

对任何免费、意外或时间紧迫的事物保持高度怀疑,这是诱饵的情感签名。使用能够解码和模拟交易的钱包,以简单语言显示签名在您批准之前的实际效果,这直接攻击盲签名漏洞,并拒绝签署任何您无法阅读的内容。

总结与建议

诚实的总结是,盗窃者是加密盗窃的成熟形式,在一个无法被破解的时代:行业如此彻底地保护了代码,以至于罪犯放弃了它,转而针对人类,围绕制造自我保管无法防止的唯一事物建立了一个专业行业,即受害者在恶意交易上的签名。

没有区块链升级可以解决这个问题,因为区块链没有出错,防御相应地是人性的,信息怀疑、可读交易、最小暴露和撤销批准。技术赋予每个人成为自己银行的权力,而盗窃者则是自我保管最大优势的常驻提醒。

好消息是,这种责任可以通过一小部分可学习的习惯和一个被拖延的下午来撤销旧批准来解除,而内化这些习惯的用户在实践中是极难被盗的。防火墙就是您;本指南是其手册。

免责声明:本文仅供教育目的,不构成投资或安全建议。数字资产自我保管存在重大风险,没有任何做法可以消除风险。详细信息截至2026年7月9日。请务必自行研究。