加密牛市不仅为投资者带来了造富效应，同时也成为了黑客的丰收季节。近期，链新闻脸书专页上便出现了大量诈骗留言。为此，资安机构慢雾特别整理了多种钓鱼手法及诈骗过程，旨在帮助加密参与者更好地防范安全风险。 那么，Drainer-as-a-Service（DaaS）究竟是什么？慢雾创办人余弦指出，DaaS可以理解为针对加密产业的钓鱼工具。以下是一些知名的Drainers工具：Pink、Angel、Pussy、Venom、Medusa、Monkey和Inferno。恶意攻击者花费金钱购买了这些工具，并结合了成千上万的钓鱼网站、营销账号、各种骗术、漏洞利用、渗透、垃圾广告等手段，如潮水般涌入加密产业。 以下是加密领域常见的钓鱼手法： 余弦列举了多种钓鱼工具背后的机制，包括原生签名利用（如eth_sign、personal_sign、eth_signTypedData_*等），其中eth_sign已被众多钱包封阻。此外，还包括授权函数利用（Token/NFT中的approve/permit）、TX data 4byte利用（如Claim Rewards/Security Update）、授权签名（使用Create2预创建资金接收地址，绕过相关检测）、比特币铭文一键批量钓鱼、UTXO机制、各EVM链/Solana/Tron等切换钓鱼等。 钓鱼路径及诈骗入局手段： 余弦强调，“钓鱼”是一个广泛的概念，尽管手法众多，但基本原理大同小异。尽管这些手段已经相当泛滥，但仍有用户上当受骗。他呼吁大家务必保持警惕。 钓鱼路径包括： 1. Google、X等广告投毒、X评论或私信投毒。 2. 钩入官方账号（X、Discord、Telegram等）发布钓鱼链接。 3. BGP/DNS等劫持方式，在官网植入恶意代码。 4. 隐蔽的陷阱合约（如貔貅盘、套利陷阱等）。 5. 伪造事件/零转账等障眼法。 6. 硬件钱包售卖渠道被中间人动手脚。 7. 诱骗用户直接“上供”自己的助记词。 8. 伪装记者、资方、项目方等，诱骗用户下载中毒文件。 余弦最后提到了ZeroTransfer诈骗手法，即刻意生成与用户头尾相同的地址，发送小额交易，等待用户下次误认此地址并进行转账。币安也曾遭遇过类似事件。

标签: 比特币挖矿