以太坊影子经济内幕:新研究揭开价值 1.35 亿美元的 "洗钱即服务 "产业的神秘面纱

以太坊影子经济内幕:新研究揭开价值 1.35 亿美元的 "洗钱即服务 "产业的神秘面纱

一篇新的学术论文《揭开影子经济的面纱:深入研究以太坊上的 "泄密者即服务 "网络钓鱼》首次系统地揭示了困扰 Web3 领域的复杂犯罪团伙。这项由浙江大学穆罕默德-本-扎耶德人工智能大学(MBZUAI)联合开展的研究揭示了 "Drainer-as-a-Service"(DaaS)的机制--这是一种蓬勃发展的地下经济,已从76582名受害者窃取了超过💲1.35亿

我们BlockSec团队感到特别自豪的是,论文的第一作者何博文在我们团队实习期间进行了这项关键研究的部分工作。

DaaS商业模式:网络犯罪产业化

与传统的、临时性的网络钓鱼不同,DaaS 的运作方式就像一家结构化的 B2B 软件公司。本文详细介绍了一个清晰的运营管道: 1.操作员(开发人员):他们是开发和维护复杂的 "钱包吞噬者 "工具包的主谋。这些工具包包括钓鱼网站模板,以及至关重要的自动利润分享智能合约。 2.2. 加盟商(分销商):他们 "租赁 "或获取这些工具包。他们的工作是部署钓鱼网站并推动流量,通过社交媒体、虚假空投和受损账户引诱受害者。 一旦受害者被骗签署了恶意交易,被盗资金就会被智能合约自动分割。论文发现,最常见的分账方式是运营商20%,联盟商80%。这种高额佣金有力地激励了联盟成员最大限度地扩大他们的影响力和攻击规模,为整个生态系统推波助澜。

绘制 1.35 亿美元劫案图:"滚雪球取样 "法

为了量化这种影子经济,研究人员开发了一种创新的**"滚雪球取样 "方法**。从已知网络钓鱼地址的种子集开始,他们追踪链上的利润分享交易,以递归方式发现新的运营商、附属公司和合同。

从 2023 年 3 月到 2025 年 4 月的研究结果令人震惊:

  • 被盗总额:1.35 亿美元**(运营商 2,310 万美元,附属公司 1.119 亿美元)

  • ** 犯罪基础设施:1,910** 份利润分享合同和 87,077 次利润分享交易。

  • ** 犯罪网络:** 56个核心运营商账户和6087个附属账户。

这些攻击在技术上非常复杂。文件显示,泄密者根据不同的资产使用不同的方法:

  • 对于 ETH:** 受害者被诱骗调用一个应付款函数(如名为 "claim "或 "mint "的函数)。

  • 对于 ERC-20 和 NFT: 钓鱼网站会提示受害者将其资产批准给放水者合约。然后,操作员使用TransferFrom 功能在一次交易中执行多个转账呼叫,一次性提取各种资产。

主导犯罪家族

DaaS 市场并非支离破碎。研究确定了九个主要 "家族",其中三个集团在网络中占主导地位,攫取了93.9%的非法利润: 1.天使泄密者(5310 万美元) 2.地狱泄密者(5900 万美元) 3. 3.粉色排水器(1470 万美元) 这些不仅仅是品牌名称,它们还是具有独特运营战略的不同组织。本文重点介绍了它们是如何管理其联盟网络的:

  • ** 高级管理:** Angel 和 Inferno Drainer 等顶级家族为联属会员提供专门的管理面板,以实时跟踪他们的收益。

  • 游戏化激励:** 它们采用等级制度。例如,Inferno Drainer 根据利润(1 万美元、10 万美元、100 万美元)将联属会员分为不同等级,为顶级会员提供更好的支持和奖励。

  • ** 奖励:** 为激励表现,Angel Drainer 会随机向高收益的联盟成员发放 NFT,而 Inferno Drainer 则会定期向表现优异的成员发放 ETH 甚至 BTC 奖励。 ##巨大的安全盲点 研究人员利用工具包文件指纹和监控证书透明度日志可疑域名,积极搜寻 DaaS 网站。他们成功识别并报告了32,819个钓鱼网站。

然而,最令人震惊的发现是当前行业防御措施的不足。研究发现,在他们的数据集中,只有10.8%的DaaS相关地址**以前在Etherscan等公共跟踪器上被标记过。这揭示了一个巨大的盲点,使得这些犯罪网络可以相对肆无忌惮地运作。

为什么这项研究是一个关键的警钟?

DaaS 现象证明,Web3 网络钓鱼已经从一个简单的骗局发展成为一个工业化的、以服务为基础的犯罪经济。它巧妙地利用了 DeFi 的无权限和可组合性来达到恶意目的。

这项研究强调了对多层次安全的迫切需求:

  • 主动威胁检测:** 超越简单的黑名单,在犯罪基础设施建立之初就对其进行识别。

  • 高级钱包安全:在用户签收其资产之前,实施强大的交易模拟和清晰易读的警告。

  • 全生态系统协作:** 为共享威胁情报和标记恶意地址创建更快、更全面的渠道。

这项研究标志着一个转折点。以太坊上的网络钓鱼不再是副业--而是一种在众目睽睽之下运作的产业化收入共享经济。在 BlockSec,我们将继续利用前沿研究来构建下一代安全工具,以有效应对这些不断发展的专业化威胁。

See the paper: https://assets.blocksec.com/pdf/1761189308551-2.pdf

Sign up for the latest updates
Weekly Web3 Security Incident Roundup | Feb 9 – Feb 15, 2026

Weekly Web3 Security Incident Roundup | Feb 9 – Feb 15, 2026

During the week of February 9 to February 15, 2026, three blockchain security incidents were reported with total losses of ~$657K. All incidents occurred on the BNB Smart Chain and involved flawed business logic in DeFi token contracts. The primary causes included an unchecked balance withdrawal from an intermediary contract that allowed donation-based inflation of a liquidity addition targeted by a sandwich attack, a post-swap deflationary clawback that returned sold tokens to the caller while draining pool reserves to create a repeatable price-manipulation primitive, and a token transfer override that burned tokens directly from a Uniswap V2 pair's balance and force-synced reserves within the same transaction to artificially inflate the token price.

Top 10 "Awesome" Security Incidents in 2025

Top 10 "Awesome" Security Incidents in 2025

To help the community learn from what happened, BlockSec selected ten incidents that stood out most this year. These cases were chosen not only for the scale of loss, but also for the distinct techniques involved, the unexpected twists in execution, and the new or underexplored attack surfaces they revealed.

#10 Panoptic Incident: XOR Linearity Breaks the Position Fingerprint Scheme

#10 Panoptic Incident: XOR Linearity Breaks the Position Fingerprint Scheme

On August 29, 2025, Panoptic disclosed a Cantina bounty finding and confirmed that, with support from Cantina and Seal911, it executed a rescue operation on August 25 to secure roughly $400K in funds. The issue stemmed from a flaw in Panoptic’s position fingerprint calculation algorithm, which could have enabled incorrect position identification and downstream fund risk.