慢雾：2025年Q2 MistTrack被盗资金分析

作者：Lisa

编辑：Sherry

自从 SlowMist 推出了 MistTrack 被盗资金报告提交功能以来，我们每天都收到大量来自受害者的求助请求，寻求资金追踪和恢复方面的支持。 其中包括涉及超过数千万美元损失的案件。

基于此，我们推出了这个季度系列，以收集统计数据并对我们收到的被盗资金报告进行分析，旨在通过真实的（匿名）案例剖析常见和非常见的攻击方法。 目标是帮助行业参与者更好地理解和防范安全风险，并保护他们的资产。

根据统计，MistTrack 团队在 2025 年第二季度共收到 429 份被盗资金报告，其中包括 278 份国内提交和 151 份海外提交。 我们为所有这些案例提供了免费的社区级评估服务。

（Ps. 此数据仅包括通过表格提交的案例，不包括通过电子邮件或其他渠道报告的案例。）

在第二季度，MistTrack 团队协助 11 名受害者成功冻结或追回了约 1195 万美元的被盗资产。

盗窃原因

在 2025 年第二季度观察到的所有恶意策略中，网络钓鱼成为被盗资产的首要原因。 接下来，我们将介绍几个具有代表性的案例，以帮助大家更好地避免陷阱、防止盗窃并保护自己的资产。

1. 假冒硬件钱包

本季度，我们遇到了几起与硬件钱包相关的资产盗窃事件。 几乎所有的受害者都认为他们已经采取了足够的安全措施，但他们的实际操作中存在致命的漏洞。

例如，一位受害者联系 SlowMist 安全团队并报告说，他们从抖音（中国版 TikTok）购买了一个被篡改的冷钱包，导致约 650 万美元的加密资产被盗。

(https://x.com/im23pds/status/1933763989215064545)

在另一个类似的案例中，一位用户从电子商务平台购买了一个硬件钱包，该钱包带有完整的包装和用户手册。 攻击者预先激活了该设备并获得了助记词，然后重新包装了钱包并附上假冒手册，之后通过非官方渠道出售。 用户扫描手册中的二维码以激活钱包并将资产转移到钱包地址后，资金立即被耗尽 —— 遵循与假冒钱包相关的标准资产盗窃流程。

还有一个案例是某人收到一个“赠品”冷钱包。 攻击者在社交媒体上冒充知名制造商，并以“抽奖”或“空投”为幌子免费邮寄冷钱包设备。 尽管该设备看起来是全新的并且是工厂密封的，并且密封看起来完好无损，但用户还是按照随附的“手册”操作并输入了助记词 —— 却没有意识到该设备是一个预先配置好的网络钓鱼陷阱。

(https://x.com/DeFi\_Hanzo/status/1936188462752735587)

一些攻击者甚至利用先前数据泄露中泄露的个人信息来伪造“官方通知信函”，这些信函与“升级后的硬件钱包”一起发送给用户。 信中声称用户的原始设备存在安全漏洞，并指示他们将其助记词迁移到新的“安全设备”。

这些替换设备通常带有预装的恶意固件或引导用户将助记词输入到假冒软件中。 迁移完成后，攻击者立即将资产转移出去。

(https://x.com/intell\_on\_chain/status/1924053862203212144)

总而言之，问题并不真正在于冷钱包本身，而在于用户普遍缺乏关于如何验证硬件钱包的真伪、安全初始化过程以及常见攻击方法的意识。 许多用户在“表面安全”的错觉下成为这些骗局的受害者，他们认为使用冷钱包意味着完全安全 —— 而事实上，这只是另一种形式的社会工程。

2. EIP-7702 网络钓鱼

在第二季度，出现了一种利用 EIP-7702 的新型网络钓鱼技术。 在一个案例中，一名用户在与 EIP-7702 授权互动时，成为 Inferno Drainer 团伙的目标，导致损失超过 14 万美元。

(https://etherscan.io/tx/0x1ddc8cecbcaad5396fdf59ff8cddd8edd15f82f1e26779e581b7a4785a5f5e06/advanced)

攻击者的方法在技术上并不复杂，但确实显示出一些“创造力”。 在这种情况下，用户的 EOA 地址没有通过传统的网络钓鱼被替换为 EIP-7702 合约地址。 事实上，委托的地址根本不是网络钓鱼地址 —— 这是一个已经存在了几天的合法合约：

MetaMask：EIP-7702 Delegator (0x63c0c19a282a1B52b07dD5a65b58948A07DAE32B)。

网络钓鱼方案滥用了 MetaMask EIP-7702 Delegator 中的机制，使攻击者能够执行与受害者地址相关联的批量代币批准操作 —— 最终耗尽资产。

这种网络钓鱼方法如此有效的原因在于 EIP-7702 引入的委托机制 —— 它允许用户的 EOA 地址在委托后继承合约的行为（例如批量转账、大规模批准、gas 抽象等）。 如果用户将其地址委托给恶意合约，则会引入明显的风险。 然而，即使合约本身是合法的，网络钓鱼站点仍可能滥用委托的功能，从而导致资产损失。

EIP-7702 肯定为钱包功能带来了新的可能性，但这些功能也带来了新的风险边界。 在签署任何内容之前，用户应力求“所见即所签” —— 并且始终清楚地了解你授权的对象以及他们被允许做什么。

有关如何降低与 EIP-7702 相关的风险的更多信息，请参阅我们之前的文章：“深入讨论 EIP-7702 和最佳实践”。

3. 恶意浏览器扩展

在第二季度，我们观察到一种特别隐蔽的攻击媒介 —— 伪装成安全插件的浏览器扩展。 我们收到的一个此类 Chrome 扩展名为“Osiris”。 经过深入调查，我们确认虽然它声称可以检测网络钓鱼链接和可疑网站，但它本身也表现出明显的网络钓鱼迹象。

攻击者通常在社交平台上使用教育性或“安全建议”内容来推广此扩展程序，从而诱骗用户自愿安装它。 安装后，该扩展程序会利用浏览器界面从远程攻击者控制的服务器获取网络拦截规则。 我们发现这些规则专门设计用于拦截所有 .exe、.dmg、.zip 和类似的文件类型的下载。 然后，它会默默地将用户预期的下载替换为恶意程序。

更阴险的是，攻击者会引导用户访问知名、常用的网站，如 Notion 或 Zoom。 当用户尝试从这些官方网站下载软件时，传送的文件已被恶意替换 —— 但浏览器仍然显示下载源自合法来源，使用户几乎不可能发现任何可疑之处。

恶意程序会从受害者的计算机收集敏感信息 —— 包括本地 Chrome 浏览器数据和 macOS Keychain 凭据 —— 并将其上传到攻击者的服务器。 从那里，攻击者可以提取种子短语、私钥或登录凭据，从而窃取加密资产并可能劫持交易所帐户、社交媒体个人资料等。

建议：

• 避免安装陌生人推荐的浏览器扩展程序或应用程序 —— 即使它们看起来是“官方的”。
• 定期审核和删除未使用或可疑的扩展程序。
• 考虑使用信誉良好的扩展程序管理器或防病毒工具来提高检测和保护能力。

4. 微信账号劫持

在第二季度，我们收到了大量用户报告，他们的微信账号已被盗用。 在获得对帐户的控制权后，攻击者会冒充用户并以折扣价购买 USDT 为诱饵来诈骗他们的联系人 —— 导致朋友和熟人遭受经济损失。 在更严重的情况下，攻击者甚至更改了帐户密码，悄无声息地完全控制了帐户。

与传统的链上安全风险不同，这种类型的攻击利用了社交平台中固有的信任关系。

(https://x.com/EnHeng456/status/1935155663635956085)

我们尚未明确确认这些劫持是如何发生的，但测试和用户反馈表明可能存在以下路径：

• 攻击者获得受害者的微信用户名和密码，很可能是由于其他平台的凭据泄露、密码重用或暴力攻击。
• 从不熟悉的设备登录时，微信会触发二次验证过程，其中一种选择是要求“常用联系人”验证登录。
• 我们的测试表明，微信对“常用联系人”的定义非常广泛 —— 有时只是在同一个群聊中或发送了几条消息就可以符合资格。
• 如果攻击者之前已将受害者添加为联系人并耐心等待，他们可以在晚上或用户离线时发起登录 —— 并要求“同谋联系人”批准登录。 这大大增加了成功劫持的机会。

虽然这种情况仍然是推测性的，但它突出了一个重要的一点：Web3 用户的安全边界现在已扩展到链之外 —— 进入社交网络和联系人圈子。

5. 社会工程攻击

在第二季度，我们还收到一位用户的联系，该用户报告了其钱包中存在 不可撤销的“风险授权” 问题。 他们曾多次尝试撤销该授权，但均未成功。 他们认为这可能与过去的代币交换有关，因此联系了 SlowMist 以寻求帮助。

使用常见的浏览器和撤销工具，我们无法找到他们提到的授权。 后来，用户分享了另一张截图 —— 但我们注意到钱包地址已更改。 我们请他们发送用于检查的工具的 URL，这时我们发现了问题。

该网站名为 Signature Checker (signature[.]land)，几乎是流行的 Revoke Cash 界面的完美克隆 —— 包括一个具有欺骗性的相似徽标。 但是，该网站要求用户输入他们的私钥以“检查风险签名”，这显然是网络钓鱼的危险信号。

我们使用各种地址测试了该网站。 无论我们输入哪个地址，它总是显示最近的“风险批准”并警告说需要紧急撤销 —— 营造一种虚假的紧迫感。 即使输入带有格式错误的虚假私钥，该网站仍然通过网络请求提交数据。

在分析前端代码后，我们确认此网络钓鱼网站使用 EmailJS 将用户的输入（包括私钥和地址）发送到攻击者的电子邮件收件箱。 它还调用 Etherscan API 来检查地址是否有效，从而增强其合法性外观。

受害者是如何找到这个网站的？ 这一切都始于社交平台上的评论或私信，内容如下：

“你签署了一项网络钓鱼交易。 请立即取消授权。”，后跟指向虚假工具的链接。

更糟糕的是，当用户变得可疑时，攻击者冒充 SlowMist 员工试图进行第二轮社会工程。 这不是一个普通的网络钓鱼骗局 —— 这是一个精心策划的设置。

这些社会工程攻击在技术上并不复杂，但它们擅长利用紧迫性和信任感。 攻击者知道诸如“检测到风险签名”之类的短语会引发恐慌，促使用户采取草率的行动。 一旦触发了这种情绪状态，就更容易操纵他们做他们通常不会做的事情 —— 例如点击链接或分享敏感信息。

最后的想法

回顾第二季度，一个趋势脱颖而出：攻击者的方法在技术上可能没有变得更先进，但它们在心理上变得更具操纵性。 我们看到从纯粹的链上攻击到链下入口点的明显转变 —— 浏览器扩展、社交媒体帐户、身份验证流程和用户行为都正在成为常见的攻击面。 最终，无论技术如何发展，以下两个原则仍然是永恒的：

1. 保持怀疑态度并验证一切。
2. 将每次授权或签名都视为打开一扇门 —— 确保你知道门后面是谁。

我们还强烈建议重新阅读区块链黑暗森林自卫手册。 本指南不仅是关于在攻击中生存下来 —— 而是关于理解避免成为数字丛林中猎物的思维方式。

如果你不幸成为加密货币盗窃的受害者，我们将提供免费的社区协助来帮助评估你的案件。 只需根据事件类型（被盗资金、诈骗或勒索）提交相应的表格即可。 你提供的黑客地址也将与 SlowMist InMist Lab 的威胁情报网络 共享，以采取进一步的风险控制措施。

• 在此处提交中文表格：https://aml.slowmist.com/cn/recovery-funds.html

• 在此处提交英文表格：https://aml.slowmist.com/recovery-funds.html

SlowMist 多年来一直深入参与反洗钱 (AML) 领域，开发了一个全面而高效的解决方案，涵盖合规性、调查和审计。 我们致力于创建一个健康的加密货币生态系统，并为 Web3 行业、金融机构、监管机构和合规部门提供专业的服务。 我们的 MistTrack 平台提供合规性调查服务，包括钱包地址分析、资金监控和追踪。 迄今为止，MistTrack 已积累了超过 3 亿个地址标签、1,000 多个地址实体、500,000 多个威胁情报数据点和 9,000 万多个风险地址，为防止洗钱和确保数字资产安全提供了强大的保护。

关于 SlowMist

SlowMist 是一家成立于 2018 年 1 月的区块链安全公司。该公司由一个拥有超过十年网络安全经验的团队创立，旨在成为全球力量。 我们的目标是让区块链生态系统对每个人都尽可能安全。 我们现在是一家著名的国际区块链安全公司，曾与 HashKey Exchange、OSL、MEEX、BGE、BTCBOX、Bitget、BHEX.SG、OKX、Binance、HTX、Amber Group、Crypto.com 等各种知名项目合作。

SlowMist 提供各种服务，包括但不限于安全审计、威胁信息、防御部署、安全顾问和其他与安全相关的服务。 我们还提供 AML（反洗钱）软件、MistEye（安全监控）、SlowMist Hacked（加密黑客档案）、FireWall.x（智能合约防火墙）和其他 SaaS 产品。 我们与 Akamai、BitDefender、RC²、天际伙伴、IPIP 等国内外公司建立了合作伙伴关系。 我们在加密货币犯罪调查方面的大量工作已得到国际组织和政府机构的引用，包括联合国安全理事会和联合国毒品和犯罪问题办公室。

通过提供针对各个项目定制的全面安全解决方案，我们可以识别风险并防止它们发生。 我们的团队能够发现并发布几个高风险的区块链安全漏洞。 通过这样做，我们可以传播意识并提高区块链生态系统中的安全标准。

• 原文链接： slowmist.medium.com/slow...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～