這項研究已被頂級計算機科學會議 SIGMETRICS 2025 錄用,我們亦已將資料集開源至 https://github.com/blocksecteam/phishing_contract_sigmetrics25。
自去中心化金融 (DeFi) 興起以來,區塊鏈領域吸引了大量的資本與用戶投資。然而,隨著成長而來的卻是釣魚攻擊的激增,導致用戶蒙受巨額損失。為了規避偵測,詐騙者不再僅僅依賴外部擁有帳戶 (EOAs),而是轉向部署智慧合約。在本文中,我們介紹了關於釣魚合約的最新研究,並展示了我們及時、全面且精確的釣魚情報如何協助加密貨幣項目保護用戶資產並維持合規性,進而強化區塊鏈的整體安全性。
釣魚攻擊的演進:從 EOA 到惡意智慧合約
傳統上,詐騙者會誘騙用戶簽署交易,將 ETH 或代幣直接發送至他們的 EOA。但這種策略如今已極易被識破:MetaMask 和 Coinbase 等錢包現在會警告用戶不要將資金發送至已知的惡意 EOA。這種防範意識的提高迫使攻擊者不斷創新,導致了釣魚合約的氾濫。
作為回應,詐騙者現在利用釣魚合約來模仿合法的項目行為並掩蓋其意圖。受害者不再是將資產直接轉移到攻擊者的 EOA,而是被誘騙簽署與惡意合約互動的交易,這實際上是在不知不覺中交出了代幣的控制權。這種新型攻擊媒介對 DeFi 安全構成了重大挑戰。
這些釣魚合約通常包含:
- 欺騙性的 payable 函數: 以
Claim或SecurityUpdate等命名,這些函數誘騙用戶將 ETH 直接發送到攻擊者的合約中。 - 多重調用 (Multicall) 函數: 設計用於將多個代幣轉帳批次合併為單一交易——非常適合在用戶不知情的情況下授予授權後,耗盡 ERC20 代幣或 NFT。這是加密貨幣詐騙中的常見手法。
BlockSec 的研究:偵測與分析釣魚合約
本研究專注於以太坊上的釣魚合約。為了實現大規模的釣魚合約偵測,我們設計了一套系統,從合約位元組碼中提取可疑的函數選擇器、模擬交易並分析結果。透過這種方法,我們識別出在 2022 年 12 月 29 日至 2025 年 1 月 1 日期間部署的 37,654 個釣魚合約。這份詳盡的資料集對於了解智慧合約安全威脅的形勢至關重要。
財務影響:用戶損失分佈
釣魚合約導致了巨大的用戶損失。從 2022 年 12 月 29 日到 2025 年 1 月 8 日,我們發現了 211,319 筆釣魚交易,影響了 171,984 名受害者,總損失高達 1.907 億美元。值得注意的是,89.9% 的受害者損失金額未超過 1,000 美元。許多用戶多次成為釣魚詐騙的受害者,通常是因為未撤銷代幣授權或重複簽署惡意交易。其中,經驗不足的 Web3 用戶尤其容易遭受這些加密貨幣詐騙。
了解攻擊者:釣魚合約與部署者的分佈
大多數釣魚合約 (86.5%) 同時擁有「空」的 payable 函數與多重調用函數,以針對各類代幣。其中 70.9% 的合約獲利低於 1,000 美元,且 96.2% 的合約活躍時間不足一天。詐騙者會迅速部署新合約以繞過帳戶標記機制,這凸顯了即時威脅情報的必要性。
我們的研究進一步揭示了關於攻擊者本身的關鍵洞察。有 9 個帳戶部署了 91.1% 的所有釣魚合約。詐騙者經常使用從受害者處竊取的代幣來資助新釣魚合約的部署。值得注意的是,這 9 個主要部署者中有 8 個顯示出資金流向關聯,表明他們作為一個協調的釣魚團體在運作。他們總共部署了 85.7% 的釣魚合約,顯示許多區塊鏈安全事件背後存在著高度組織化的犯罪企業。
緩解策略:防禦釣魚合約
我們的工作揭示了釣魚合約在以太坊上的普遍性及其給用戶帶來的重大損失。因此,我們提出了切實可行且有效的策略來保護用戶免受這些威脅,並強化區塊鏈的整體安全性。
用戶如何自我保護
從用戶角度來看,警惕性是防範加密貨幣詐騙的關鍵。在存取去中心化應用程式 (dApp) 並請求服務時,用戶應仔細檢查網站,包括 URL、首頁、子連結以及 Twitter 和 Discord 連結。在簽署交易前,用戶應謹慎審查交易明細,包括帳戶和函數調用參數。此外,他們可以驗證 Etherscan 上的位址標籤,以確認其是否為官方帳戶。對任何主動提供的提議或授權請求都應保持懷疑態度。
服務提供商如何應對:利用進階威脅情報
服務提供商(包括中心化交易所 CEX、去中心化交易所 DEX、錢包、PayFi 平台、穩定幣和跨鏈橋)應積極維護並更新釣魚網站和帳戶清單,以保護用戶免受潛在威脅。當發現某些帳戶在其平台上部署釣魚合約時,這些提供商應限制或拒絕其存取服務。然而,區塊鏈固有的匿名性與鏈上互動的複雜性——尤其是在跨鏈活動中——為機構進行有效的風險評估和確保 DeFi 安全帶來了重大挑戰。
為應對這些挑戰,BlockSec 將這些研究成果整合到了 Phalcon Compliance APP 中。該平台利用擁有超過 4 億個位址標籤的海量資料庫、無限層級的交易追蹤功能,以及由 AI 驅動的行為分析引擎。憑藉這些功能,該 APP 能協助機構快速識別釣魚位址及與之互動的可疑實體,並提供關鍵的鏈上取證。
除了釣魚位址外,Phalcon Compliance APP 還能偵測其他風險實體,例如攻擊者、受制裁實體、混幣器、洗錢者和暗網,以及高頻轉帳、大額轉帳和中轉位址等可疑行為。當偵測到非法活動時,該 APP 會透過七種不同管道即時通知機構,確保其能採取立即行動。此外,該 APP 還提供一系列功能,包括任務委派、留言添加、黑名單設定,以及一鍵生成可疑交易報告 (STR)。總體而言,這些工具為識別與緩解風險提供了全方位的解決方案,同時簡化了合規流程並加強了 Web3 安全性。
