去年,诈骗者在针对超过 300,000 个钱包地址的钱包耗尽攻击中窃取了价值 4.94 亿美元的密码货币,比 2023 年增加了 67%,受害者人数仅增加了 3.7%,表明受害者平均持有金额更多。
这些数据来自 web3 反诈骗平台“Scam Sniffer”,该平台已经追踪钱包盗取活动有一段时间,之前报告的攻击浪潮一次影响了多达 10 万人。
钱包加密流水机是专门设计用于从用户钱包中窃取加密货币或其他数字资产的网络钓鱼工具,通常部署在虚假或受损的网站上。
2024 年,Scam Sniffer 观察到 30 起通过钱包盗取者进行的大规模(超过 100 万美元)盗窃案,其中最大的一起盗窃案兑现了价值 5540 万美元的加密货币。这种情况出现在今年年初,当时比特币价格持续上涨助长了网络钓鱼活动。今年第一季度,共有 1.87 亿美元通过钱包盗用攻击被盗。
今年第二季度,一个名为“Pink Drainer”的著名流水服务宣布退出,该服务此前曾冒充记者做网络钓鱼攻击,以危害 Discord 和 Twitter 账户,实施密码货币窃取攻击。
尽管这导致网络钓鱼活动有所减少,但诈骗者在第三季度开始逐渐加快步伐,其中 Inferno 服务带头,在 8 月和 9 月总共造成了 1.1 亿美元的损失。最终,该活动在今年最后一个季度被平息,仅占 2024 年记录的总损失的 10.3% 左右。ScamSniffer 表示,当时 Acedrainer 也成为主要参与者,占据了加密流水机市场的 20% 。
大部分损失 (85.3%) 发生在以太坊上,金额达 1.52 亿美元,而质押 (40.9%) 和稳定币 (33.5%) 是最有明确的目的性的损失之一。
具体来说,大多数盗窃案都是依靠“Permit”签名(56.7%)或“setOwner”(31.9%)来窃取资金。第一个根据 EIP-2612 标准批准代币支出,而第二个则更新智能合约所有权或管理权限。
另一个有必要注意一下的趋势是慢慢的变多地使用 Google Ads 和 Twitter 广告作为网络钓鱼网站的流量来源,攻击者使用受感染的帐户、机器人和虚假代币空投来实现其目标。
为了防止 Web3 攻击,建议仅与受信任和经过验证的网络站点进行交互,与官方项目网站交叉检查 URL,在签名之前阅读交易批准提示和权限请求,并在执行交易之前模拟交易。
许多钱包还提供针对网络钓鱼或恶意交易的内置提醒,因此请务必启用这些提醒。最后,建议人们使用令牌撤销工具来确保没有可疑权限处于活动状态中。
