一篇新的学术论文《揭开暗影经济的面纱:对以太坊上的“Drainer-as-a-Service”网络钓鱼的深入研究》首次系统性地揭示了一个困扰Web3领域的复杂犯罪活动。这项由浙江大学和穆罕默德·本·扎耶德人工智能大学(MBZUAI)联合进行的研究,揭示了“Drainer-as-a-Service”(DaaS)——一个蓬勃发展的地下经济——的运作机制,该经济已从76,582名受害者手中窃取了超过1.35亿美元。
我们BlockSec尤其自豪的是,该论文的第一作者何博文(Bowen He)在与我们团队实习期间,完成了这项关键研究的一部分。
DaaS 商业模式:网络犯罪的工业化
与传统的、临时性的网络钓鱼不同,DaaS的运作方式类似于一个结构化的B2B软件公司。该论文详细介绍了一个清晰的运营流程:
- 运营者(开发者):他们是开发和维护复杂的“钱包Drainer”工具包的幕后主使。这些工具包包括网络钓鱼网站模板,以及至关重要的自动化利润分成智能合约。
- 联盟成员(分销商):他们“租赁”或收购这些工具包。他们的任务是部署网络钓鱼网站并吸引流量,通过社交媒体、虚假空投和被盗账户来诱骗受害者。
一旦受害者被欺骗签署恶意交易,被盗资金将由智能合约自动分配。研究发现,最常见的分配比例是20%给运营者,80%给联盟成员。这种高佣金有力地激励了联盟成员最大化他们的覆盖范围和攻击规模,从而推动了整个生态系统的发展。
绘制1.35亿美元盗窃案:采用“滚雪球抽样”法
为了量化这个暗影经济,研究人员开发了一种创新的**“滚雪球抽样”方法**。从已知的网络钓鱼地址种子集开始,他们追踪链上利润分成交易,以递归地发现新的运营者、联盟成员和合约。
从2023年3月到2025年4月的研究结果令人震惊:
-
● 总计被盗:1.35亿美元 (2310万美元归运营者,1.119亿美元归联盟成员)。
-
● 犯罪基础设施:1910个 利润分成合约和87,077笔 利润分成交易。
-
● 犯罪网络:56个 核心运营者账户和6087个 联盟成员账户。
这些攻击在技术上非常复杂。论文揭示,Drainer会根据资产的不同采用不同的方法:
-
● 针对ETH:受害者被诱骗调用一个
payable函数(例如,命名为“claim”或“mint”)。 -
● 针对ERC-20和NFT:网络钓鱼网站会提示受害者将他们的资产
approve给Drainer合约。然后,运营者使用TransferFrom函数在一个交易中执行多个transfer调用,一次性耗尽各种资产。
主要犯罪家族
DaaS领域并非一个零散的市场。研究确定了九个主要的“家族”,其中三个组织主导了该网络,并捕获了93.9%的非法利润:
- Angel Drainer(5310万美元)
- Inferno Drainer(5900万美元)
- Pink Drainer(1470万美元)
这些不仅仅是品牌名称;它们是具有独特运营策略的独立组织。该论文强调了它们如何管理其联盟网络:
-
● 高级管理:Angel和Inferno Drainer等顶级家族为联盟成员提供专用的管理面板,以实时跟踪其收益。
-
● 游戏化激励:它们采用等级系统。例如,Inferno Drainer根据利润(1万美元、10万美元、100万美元)将联盟成员分为不同级别,为顶级成员提供更好的支持和奖励。
-
● 奖金奖励:为了激励业绩,Angel Drainer随机向高收入联盟成员颁发NFT,而Inferno Drainer则会定期向表现最佳者发放ETH甚至BTC奖励。
巨大的安全盲点
研究人员利用工具包文件指纹和监控证书透明度日志中的可疑域名,积极搜寻DaaS网站。他们成功识别并报告了32,819个网络钓鱼网站。
然而,最令人震惊的发现是当前行业防御的不足。研究发现,在他们的数据集中,只有10.8%的DaaS相关地址之前在Etherscan等公共追踪器上被标记过。这揭示了一个巨大的盲点,使得这些犯罪网络能够相对逍遥法外。
为什么这项研究是一个关键的警钟
DaaS现象证明,Web3网络钓鱼已从简单的诈骗演变成一个工业化、服务化的犯罪经济。它巧妙地利用了DeFi的无许可和可组合特性来实现恶意目的。
这项研究强调了对多层安全措施的迫切需求:
-
● 主动威胁检测:超越简单的黑名单,在犯罪基础设施构建过程中就进行识别。
-
● 高级钱包安全:在用户签署授权资产之前,实施强大的交易模拟和清晰、易于人类阅读的警告。
-
● 生态系统范围内的协作:创建更快、更全面的渠道,用于共享威胁情报和标记恶意地址。
这项研究标志着一个转折点。以太坊上的网络钓鱼不再是副业,而是一个在众目睽睽之下运作的、工业化、收入共享的经济体。在BlockSec,我们将继续利用尖端研究来构建下一代安全工具,以有效应对这些不断演变、日益专业的威胁。
