Web3常见钓鱼方式分析与安全防范指南<\/h1>

一、Web3钓鱼概述<\/h2>
Web3钓鱼是针对Web3用户的常见攻击手段，通过各种方式窃取用户授权、签名或诱导误操作，目的是盗窃用户钱包中的加密资产。近年来已发展出钓鱼即服务(Drainer as a Service, DaaS)的黑色产业链，安全形势严峻。<\/p>

二、常见钓鱼手法分析<\/h2>

1. Permit链下签名钓鱼<\/h3>

原理<\/strong>：Permit是ERC-20标准的扩展功能，允许通过签名批准其他地址操作Token。<\/p>

攻击步骤<\/strong>：<\/p>

攻击者伪造钓鱼链接诱导用户签名(无合约交互)<\/li>
攻击者调用permit函数完成授权<\/li>
攻击者调用transferFrom函数转走资产<\/li> <\/ol>
特点<\/strong>：<\/p>

签名是链下无Gas操作<\/li>
受害人地址链上记录中看不到授权<\/li>
通常是一次性签名<\/li> <\/ul>
2. Permit2链下签名钓鱼<\/h3>
背景<\/strong>：Uniswap推出的代币审批合约，允许授权在不同DApp中共享管理。<\/p>
攻击前提<\/strong>：用户已授权Uniswap的Permit2合约<\/p>
攻击步骤<\/strong>：<\/p>

诱导用户签名获取签名信息<\/li>
调用Permit2的permit函数完成授权<\/li>
调用transferFrom转走资产<\/li> <\/ol>
特点<\/strong>：<\/p>

接收地址通常有多个<\/li>
最大金额接收者是攻击者<\/li>
其他可能是DaaS供应商地址<\/li> <\/ul>
3. eth_sign盲签钓鱼<\/h3>
特点<\/strong>：<\/p>

开放式签名方法，可对任意哈希签名<\/li>
MetaMask有风险提示<\/li>
许多钱包已禁用此函数<\/li> <\/ul>
4. personal_sign\/signTypedData签名钓鱼<\/h3>
特点<\/strong>：<\/p>

常用签名方式<\/li>
需仔细核对发起者、域名、内容<\/li>
被用作"盲签"时风险高<\/li> <\/ul>
5. 授权钓鱼<\/h3>
常见授权函数<\/strong>：<\/p>

setApprovalForAll<\/code><\/li>
Approve<\/code><\/li>
Increase Approval<\/code><\/li>
Increase Allowance<\/code><\/li> <\/ul> 攻击方式<\/strong>：<\/p> 伪造网站或官网挂马<\/li> 诱导用户确认授权操作<\/li> 获取授权后转移资产<\/li> <\/ul> 6. 地址污染钓鱼<\/h3> 手法<\/strong>：<\/p> 监控链上交易<\/li> 伪造与正确地址前后4-6位相同的恶意地址<\/li> 向目标用户小额转账<\/li> 用户复制历史交易地址时误转<\/li> <\/ol> 典型案例<\/strong>：2024年5月3日1155 WBTC(价值超7千万美元)被盗<\/p> 7. 利用CREATE2绕过检测的钓鱼<\/h3> 原理<\/strong>：CREATE2允许合约部署前计算地址<\/p> 攻击特点<\/strong>：<\/p> 生成无恶意历史的新地址<\/li> 绕过钱包黑名单检测<\/li> 授权时合约未部署，隐蔽性高<\/li> <\/ul> 攻击步骤<\/strong>：<\/p> 诱导用户授权<\/li> 在预先计算地址部署合约<\/li> 转移资产到该地址<\/li> <\/ol> 三、钓鱼即服务(DaaS)产业链<\/h2> 主要服务提供商<\/h3> Inferno Drainer<\/li> MS Drainer<\/li> Angel Drainer<\/li> Monkey Drainer<\/li> Venom Drainer<\/li> Pink Drainer<\/li> Pussy Drainer<\/li> Medusa Drainer<\/li> <\/ul> Inferno Drainer运作模式<\/h3> 通过Telegram频道或网站推广服务<\/li> 攻击者生成钓鱼网站并通过社交媒体传播<\/li> 诱导受害者连接钱包<\/li> 检查高价值资产并初始化恶意交易<\/li> 受害者确认交易<\/li> 资产转移(20%给DaaS开发商，80%给攻击者)<\/li> <\/ol> DaaS服务特点<\/h3> 提供创建和托管钓鱼网站的免费服务<\/li> 收取被骗资金30%的费用<\/li> 客户可自定义Drainer功能<\/li> 提供统计数据(连接数、成功点击数、被盗价值)<\/li> <\/ul> 四、安全防范建议<\/h2> 谨慎点击链接<\/strong>：不点击伪装成奖励、空投的不明链接<\/li> 验证官方信息<\/strong>：官方社媒账户也可能被盗，官方消息不等于绝对安全<\/li> 甄别应用真伪<\/strong>：警惕伪造站点和伪造App<\/li> 谨慎确认交易<\/strong>：拒绝盲签<\/li> 交叉确认目标、内容等信息<\/li> 怀疑一切，确保操作明确安全<\/li> <\/ul> <\/li> 掌握关键知识<\/strong>：了解常见钓鱼攻击方式<\/li> 掌握签名、授权函数及其风险<\/li> 识别关键字段： Interactive(交互网址)<\/li> Owner(授权方地址)<\/li> Spender(被授权方地址)<\/li> Value(授权数量)<\/li> Nonce(随机数)<\/li> Deadline(过期时间)<\/li> transfer\/transferFrom(转账)<\/li> <\/ul> <\/li> <\/ul> <\/li> <\/ol> 五、关键字段解释<\/h2> Permit签名对象示例<\/strong>：<\/p> holder:\/\/签名地址 spender:\/\/钓鱼者地址 nonce:0 expiry:1988064000 \/\/过期时间 allowed:true <\/code><\/pre> <\/li> 授权相关函数<\/strong>：<\/p> setApprovalForAll<\/code>：设置对所有资产的授权<\/li> Approve<\/code>：授权特定数量的代币<\/li> Increase Approval<\/code>：增加授权额度<\/li> Increase Allowance<\/code>：增加允许额度<\/li> <\/ul> <\/li> 转账相关函数<\/strong>：<\/p> transfer<\/code>：直接转账<\/li> transferFrom<\/code>：第三方转账(需授权)<\/li> <\/ul> <\/li> <\/ol> 六、典型案例分析<\/h2> PREMINT挂马钓鱼<\/strong>：<\/p> 官网js文件被注入恶意代码<\/li> 动态创建恶意js文件<\/li> 诱导用户确认setApprovalForAll<\/li> <\/ul> <\/li> 地址污染案例<\/strong>：<\/p> 正确地址：0xd9A1b0B1e1aE382DbDc898Ea68012FfcB2853a91<\/li> 恶意地址：0xd9A1C3788D81257612E2581A6ea0aDa244853a91<\/li> <\/ul> <\/li> CREATE2钓鱼案例<\/strong>：<\/p> 受害者将sfrxETH转给新合约地址<\/li> 合约创建同时完成钓鱼攻击<\/li> <\/ul> <\/li> <\/ol> 七、总结<\/h2> Web3钓鱼手段不断演变，从简单的授权钓鱼发展到利用CREATE2等高级技术绕过检测。同时，钓鱼即服务模式降低了攻击门槛，使威胁更加普遍。用户需提高安全意识，掌握关键知识，谨慎对待每一笔交易和签名操作，才能有效保护资产安全。<\/p>