Back to Blog

钓鱼网站如何绕过数字钱包安全警报:策略揭秘

May 10, 2024
4 min read

概述

近期,Web3 钓鱼网站已导致众多用户总计损失数百万美元。在这些钓鱼网站上,用户在不知情的情况下签署了交易,授权将其代币转移到诈骗者控制的账户中。为了保护用户免受网络钓鱼攻击,许多 Web3 钱包已实施了黑名单机制,以主动拦截涉及已知钓鱼账户的交易。

然而,根据我们的观察,这种策略在拦截钓鱼账户方面已被证明是无效的。诈骗者已经开发出多种方法来绕过这种安全机制。第一种方法是利用 Create2 函数预测钓鱼合约的地址,并在成功窃取代币后再部署该钓鱼合约。第二种方法是每日部署新的钓鱼合约,其更新速度超过了黑名单的更新频率。

现有的钱包安全预警机制

关于钓鱼网站的警报
关于钓鱼网站的警报

钱包内部的安全预警机制包含针对网站和账户的两重检查。目前,所有此类系统都维护着网站域名和账户的黑名单。当用户访问网站时,钱包会检查该域名是否在黑名单中。如果是,则拒绝访问该网站。同样地,在用户签署交易之前,钱包会验证交易涉及的账户是否被列入黑名单。如果被列入,交易将被拦截,以防止用户继续操作。这类安全功能以 MetaMask 等系统为典型代表。

利用 Create2 绕过安全预警

以太坊中的 Create2 操作码允许在合约实际部署之前预测其地址。这是通过以下公式实现的:

address = hash(deployer address, bytecode, salt)

有了部署者的地址、合约的字节码以及指定的盐值(salt),就可以提前确定合约地址。

显然,有了部署者地址、字节码和一个盐值,我们就可以在部署前预测合约地址。在钓鱼网站上,用户会被诱导向一个外部拥有账户(EOA)发送 ETH 或批准代币。该账户是通过 Create2 预期的,且不在黑名单中。随后,在成功窃取代币后,钓鱼合约会被部署,受害者的代币将被转移到另一个账户进行后续处理。整个过程都是自动发生的。

以下是 Phalcon Explorer 展示的一个示例

钓鱼网站最初请求用户向 0x0ddb 批准代币。然后,诈骗者发起一笔钓鱼交易,该交易由两笔内部交易组成。第一笔内部交易使用 Create2 部署钓鱼合约。第二笔内部交易调用钓鱼合约以转移受害者的代币。

频繁部署钓鱼合约以绕过安全预警

由于从钓鱼合约部署到黑名单更新之间存在时间差,诈骗者可以利用这一空窗期来规避安全预警。他们通过每日部署新的钓鱼合约来实现这一点。因此,当用户访问钓鱼网站时,这些合约尚未被列入黑名单,从而在某些钱包中避开了预警。

这是一个由 Phalcon Explorer 展示的 Pink Drainer 的案例0x5d77 的部署函数被每日调用以部署新的钓鱼合约。

总结

钓鱼网站开发者正在不断建立新策略,以规避 Web3 钱包所采用的安全检测机制。我们始终保持警惕,持续监测他们的最新手段。我们敦促用户务必保持谨慎,并在签署交易前仔细检查交易详情。

相关阅读


关于 BlockSec

BlockSec 是一家领先的区块链安全公司,由一群全球知名的安全专家于 2021 年创立。公司致力于提升新兴 Web3 世界的安全性和易用性,以促进其大规模应用。为此,BlockSec 提供智能合约和 EVM 链的安全审计服务、用于安全开发和主动封锁威胁的 Phalcon 平台、用于资金追踪和调查的 MetaSleuth 平台,以及帮助 Web3 构建者在加密世界中高效冲浪的 MetaSuites 扩展插件。

迄今为止,公司已服务了包括 MetaMask、Uniswap Foundation、Compound、Forta 和 PancakeSwap 在内的 300 多家知名客户,并从 Matrix Partners、Vitalbridge Capital 和 Fenbushi Capital 等顶级投资者那里在两轮融资中获得了数千万美元的资金。

官方网站:https://blocksec.com/

官方 Twitter 账户:https://twitter.com/BlockSecTeam

Sign up for the latest updates
简讯 - 2026年6月
Security Insights

简讯 - 2026年6月

本月报告涵盖2026年6月三起最大安全事件,确认损失共约2200万美元。一次精密蜜罐攻击利用未检查的代币授权,从JaredFromSubway的MEV机器人中盗取约1500万美元。两个旧版Aztec rollup部署因证明结算边界漏洞损失约435万美元。SecondFi的Ed25519实现缺陷导致钱包私钥泄露,374个钱包共损失约240万美元。三起事件有一个共同规律:表面完好但从未真正执行的安全保障。

约400万美元损失:Taiko与SecondFi遭受攻击 | BlockSec周报
Security Insights

约400万美元损失:Taiko与SecondFi遭受攻击 | BlockSec周报

本周区块链安全报告涵盖2026年6月22日至28日的两起安全事件,确认损失约410万美元,涉及Ethereum和Cardano两条链。Taiko桥攻击中,攻击者利用泄露的SGX enclave签名密钥与attestation策略中缺失的属性验证,注册恶意prover并在Ethereum上伪造L2状态证明。SecondFi钱包漏洞源于Ed25519 nonce派生中的密码学实现缺陷,秘密输入被遗漏,使攻击者可从公开的Cardano链上交易数据离线恢复私钥。

~$1800万损失:jaredFromSubway、Aztec等项目受损 | BlockSec周报
Security Insights

~$1800万损失:jaredFromSubway、Aztec等项目受损 | BlockSec周报

本周区块链安全报告涵盖2026年6月15日至21日,以太坊和BNB链共发生3起重大事件,总损失约1830万美元,其中2起进行详细分析。jaredFromSubway事件揭示了一种反向授权攻击模式:MEV机器人主动将自身资产授权给不可信第三方合约套利,攻击者构造虚假包装代币和流动池,触发真实事件但从未消耗授权额度,损失约1500万美元。Aztec事件中,逃生舱ZK电路对`old_data_root`的两个见证值缺少相等约束,攻击者得以针对伪造Merkle树证明虚假票据所有权并通过链上根验证。