什么是钱包吸血器?加密货币吸血器是如何运作的?
你无需交出助记词就会损失所有资产。使用钱包窃取器,你只需点击“批准”按钮即可失去所有资产。想象一下,一个界面精美的网站提供免费空投。你连接钱包后,弹出一个签名框,你点击确认(因为所有去中心化应用都会要求这样做),几秒钟后,你的加密货币和NFT就消失了。密码没有被盗,设备也没有被黑客入侵。是你自己授权了这次盗窃,通常你使用的签名无需支付任何费用,而且看起来完全无害。这就是整个骗局,仅在2024年,这种骗局就成功窃取了价值4.94亿美元的资产。
本指南详细分析了什么是钱包杀手,盗窃发生的确切时刻,犯罪分子如何将其转化为付费服务,他们窃取了多少,以及阻止几乎所有此类犯罪的两种习惯。
什么是“钱包杀手”以及它为何有效
钱包窃取程序并非潜伏在您电脑上的恶意软件。它是一种恶意智能合约或脚本,是目前充斥 Web3 的恶意去中心化应用(dApp)之一,伪装成看似友好的应用,诱骗您授予其访问权限,并在您授权的瞬间窃取您的资产。窃取程序几乎完全存在于去中心化金融(DeFi)领域——在 DeFi 中,资金流动基于签名而非登录,而您的加密货币和其他加密资产正是它们的目标。窃取程序不会猜测您的私钥,也不会破解任何加密技术。它只是诱使您签署交易或授权,从而将您资金的控制权授予一个陌生人的智能合约。
一旦授予了这种权限,剩下的事情就自动发生了。窃取者会读取你的钱包,找到你最值钱的代币、NFT 和其他数字资产,构建转账请求,并将所有资产转移到攻击者控制的地址,通常只需一个区块即可完成。由于该请求伪装成普通的 Web3 操作,大多数受害者直到钱包被清空才会意识到发生了什么。危险不在于病毒,而在于你未经允许就授予了权限。
钱包吸血鬼是如何掏空你的钱包的
每一次资金流失都遵循同样的轨迹:诱饵、签名、扫荡。资金流失往往发生在中间这一步,而这一步却几乎无人仔细关注。
诱饵
首先,你得先落入陷阱。骗子会散布虚假的空投、NFT铸造和代币领取信息,然后大力推广。他们会盗用X平台上的认证账户,用盗来的社交媒体账户发布链接,在Telegram和Discord上发布消息,还会购买付费搜索广告,让虚假网站排名高于真实网站。他们的伎俩总是营造紧迫感,比如限量铸造或即将过期的代币领取,因为社交工程在你没有时间思考的时候最有效。与传统的钓鱼诈骗(旨在窃取密码或登录凭证)不同,这种“吸金器”根本不需要你的任何秘密。它只需要诱骗用户执行一个操作:将钱包连接到虚假网站并批准一个请求。正是因为门槛低,吸金器才会传播得如此迅速,也正是因为如此,即使是谨慎的人也会在匆忙之中上当受骗。点击链接后,你会进入一个看起来和你信任的项目一模一样的克隆网站,它会要求你连接钱包。
陷阱是其标志
这才是关键所在。当你批准交易时,你并非“登录”,而是签署一项特定的授权,其中一些授权的危害性极大。ERC-20 的 `approve()` 可以授予无限的授权额度,让合约可以永久使用该代币。`setApprovalForAll` 则会一次性授予集合中的所有 NFT。最危险的是离线 Permit 或 Permit2 签名。它无需 gas 费用,以纯文本消息的形式出现,而非交易,却仍然能够授权转账。这正是大多数人容易落入的陷阱:根据SlowMist 的一项分析,Permit 式签名在 2024 年占钓鱼授权的 56.7%,原因就在于它们看起来毫无意义。攻击者也会紧跟技术升级,滥用诸如 `setOwner` 之类的隐蔽调用,以及在以太坊 Pectra 发布后不久推出的全新 EIP-7702 委托机制。
排水管
一旦你签名,钱包窃贼就掌握了所有需要的信息,而且没有二次确认可以挽救你。他们的目标简单而残酷:在你做出反应之前窃取你的资金。他们已经掌握了你的资产信息,因此会立即发起转账,你的代币会在一个区块内消失。区块链交易是最终的。无需联系银行,也无需支付任何费用即可撤销。等到空投“加载失败”时,未经授权的转账已经在链上完成结算。
| 您需要签署的文件 | 你觉得它看起来像什么? | 它实际赋予了什么 |
|---|---|---|
| ERC-20 `approve()` | 例行代币批准 | 无限次使用该代币 |
| `setApprovalForAll` | “批准收款” | 控制其中的每一个NFT |
| 许可证/许可证2 | 无气签名信息 | 转让权在使用前不会留下任何链上痕迹 |
| `setOwner` / EIP-7702 | 一个陌生的提示 | 账户的所有权或委托 |
排水即服务 (DaaS):带仪表盘的犯罪监控
窃取钱包的工具之所以能大规模扩张,并非因为攻击者变得更狡猾,而是因为有人将这种工具开发成产品,并以此将钱包盗窃变成了有组织的、有价格表的网络犯罪。
DaaS 的工作原理
在“钱包窃取即服务”模式下,一名开发者构建并维护钱包窃取工具包,并将其出租给任何想要攻击加密货币钱包的人。合作方(通常是技术水平较低的威胁行为者)负责网络钓鱼。工具包则负责窃取资金。他们平分赃款,而分成方式几乎完全照搬了勒索软件的套路:开发者保留约20%的赃款,合作方保留剩余的80%。购买者可以获得现成的网络钓鱼页面、控制面板、匿名工具,以及真正的客户支持。一个不会写代码的青少年,午饭前就能运营一个专业的网络攻击组织。
地狱、粉红和旋转门
这些案例充分展现了其规模。 “Inferno Drainer”从2022年末到2023年末持续运作,通过遍布1.6万多个钓鱼网站的网络平台,从超过13.7万名受害者手中窃取了约8700万美元,这些网站至少冒充了100个加密货币品牌。“Pink Drainer”在其运营者宣布退出前,也窃取了约8500万美元。请注意其中的模式:一个团伙退出后,网络犯罪分子会转向下一个骗局,而“Inferno”本身也以“重装上阵”的形式卷土重来。消灭一个运营者并不能摧毁整个市场——市场指的是服务本身,而不是骗子。
钱包吸血鬼们偷走了多少东西
总数巨大、波动剧烈,而且很容易被误读。一次加密货币钱包盗刷活动单笔交易的金额就可能超过交易所被黑客攻击的总和,而且年度数字也经常波动。
最清晰的数据来源Scam Sniffer按年统计。2023 年,约有 32.4 万名受害者损失约 2.95 亿美元;2024 年,损失飙升 67% 至 4.94 亿美元;随后在 2025 年急剧下降至约 8400 万美元。这种下降看似有所好转,实则不然。这主要反映了链上活动和工具包周转率的下降,而早期 2026 已经显示出月度峰值的大幅波动。有记录以来最大的单笔损失发生在2024 年,一名受害者损失了价值 5547 万美元的 DAI。无论最终损失总额是多少,被盗加密货币的流出方式都相同:在几分钟内通过混币器和去中心化交易所被洗劫一空,这就是为什么几乎没有加密货币能够追回的原因。
| 年 | 被排水者偷走 | 受害者 |
|---|---|---|
| 2023 | 2.955亿美元 | 超过324,000人 |
| 2024 | 4.94亿美元 | 332,000 |
| 2025 | 8385万美元 | 106,106 |
而且受害者并非都是新手。马克·库班就曾因洗钱骗局损失了约90万美元。就连以太坊联合创始人维塔利克·布特林也遭遇过X账户被盗,用于推广虚假的铸币活动,导致他的粉丝损失了约70万美元。如果骗局传到他们耳中,“我绝不会上当”的底线远比想象中要脆弱得多。
钱包吸血鬼的警告信号
几乎所有榨干你钱包的骗局都围绕着一个共同的要求:立刻签字。遇到这种情况,一定要谨慎。
警惕那些要求你购买无限代币额度的提示,即使你只想购买一次。更要警惕那些不收取 gas 费且显示的信息无法完全阅读的签名请求。这是典型的“无 gas 费吸金”伎俩。把“立即领取”、“限量发行”和倒计时都当成施压手段,而不是运气。不要相信任何出现在私信或 Telegram 群组中的链接。永远不要通过付费搜索广告访问 dApp,因为骗子经常会出价高于真正的项目方,抢占搜索结果的顶部位置。务必检查域名是否完全一致,因为域名相似但只改动一个字母是诈骗网站最常用的伎俩,而且至今仍然有效。
如何保护你的钱包免受榨取者的侵害
你无需追踪每一个新的漏洞。两个不起眼的小习惯就能阻止几乎所有的漏洞利用。
使用硬件钱包和一次性钱包
将大部分加密货币存放在硬件钱包中。密钥离线保存,每次交易都需要物理接触设备,因此恶意网站无法在你没有硬件钱包在手的情况下进行任何操作。然后创建一个几乎为空的“一次性”钱包,用于挖矿、空投以及任何你不熟悉的去中心化应用(dApp)。即使这个一次性钱包里的钱被盗,你也只会损失一些零花钱,而不会损失全部积蓄。将你的主钱包连接到某个随机的Web3网站是这种犯罪活动能够持续盈利的关键所在。
阅读每一份签名并撤销旧的签名。
第二个习惯就是仔细阅读你签署的内容。现代钱包和模拟工具会在你确认签名之前详细列出签名所赋予的权限。务必使用这些工具,切勿盲目签署你无法理解的信息。之后,清理你的账户,撤销你不再需要的授权。撤销工具会显示所有仍然可以花费你代币的合约,并允许你取消那些你忘记取消的合约,从而堵住攻击者几个月后可能利用的漏洞。如果某个网站看起来不熟悉,请先在区块浏览器上查看其合约,因为一个没有任何历史记录的全新合约是典型的攻击手段。你在2021年点击的那个无限授权?它仍然有效,直到你将其撤销为止。
如果你遭遇“钱包杀手”,该怎么办?
如果遭遇此类事件,速度至关重要。务必按部就班地进行操作。立即将攻击者尚未窃取的资金转移到一个全新的安全钱包中,因为他们通常会再次尝试窃取剩余资金。然后撤销被盗地址上的所有授权,确保没有任何残留权限会被再次利用。将该钱包视为已销毁,并永久停止使用。记录交易哈希值,并将地址报告给 Chainabuse 或 Scam Sniffer 等能够映射此类基础设施的服务。同时,也要诚实地评估资金恢复的可能性。链上转账是不可逆的,被盗资金很少能够追回,因此真正的制胜之道在于迅速止损。
钱包杀手需要你的签名,而不是你的钥匙。
抛开那些花里胡哨的仪表盘和工具包名称,钱包窃贼其实只有一种武器:你批准的签名。在你点击确认之前,它无法获取你的私钥,无法破坏交易链,也无法挪走你一分钱。好消息是——反制措施也同样简单。将大部分资金存放在冷钱包中,把每一次“连接钱包”的提示都当作陌生人索要你的私钥,并在签名前仔细阅读授权条款。这样做,就能让这个价值数十亿美元的产业在你眼前碰壁。所以,下次当某个免费挖矿程序要求你签名时,问问自己唯一重要的问题:我究竟在授权什么?
