釣魚新風險：詐騙即服務模式致5500萬美元損失

2025-07-17 02:53:26

揭祕加密世界中的釣魚攻擊產業化

自2024年6月以來，安全團隊監測到大量類似的網絡釣魚和資金抽取交易。僅6月份涉案金額就超過5500萬美元，8、9月份相關釣魚活動更加頻繁。整個2024年第三季度，釣魚攻擊已成爲造成最大經濟損失的攻擊手段，65次攻擊行動中獲取了超過2.43億美元。分析顯示，近期頻發的釣魚攻擊很可能與一個臭名昭著的釣魚工具團隊有關。該團隊曾在2023年底宣布"退休"，但如今似乎再次活躍，制造了一系列大規模攻擊。

本文將分析一些網絡釣魚攻擊團夥的典型作案手法，並詳細列舉其行爲特徵。希望通過這些分析，能夠幫助用戶提高對網絡釣魚詐騙的識別和防範能力。

詐騙即服務(Scam-as-a-Service)

在加密世界中，一些釣魚團隊發明了一種新的惡意模式，稱爲"詐騙即服務"(Scam-as-a-Service)。這一模式將詐騙工具和服務打包，以商品化的方式提供給其他犯罪分子。在2022年11月至2023年11月他們第一次宣布關閉服務期間，其詐騙金額超過8000萬美元。

這些服務提供商通過向買家提供現成的釣魚工具和基礎設施，包括釣魚網站前後端、智能合約以及社交媒體帳戶，幫助他們快速發起攻擊。購買服務的釣魚者保留大部分贓款，而服務提供商收取10%-20%的佣金。這一模式大大降低了詐騙的技術門檻，使得網路犯罪變得更加高效和規模化，導致釣魚攻擊在加密行業內泛濫，尤其是那些缺乏安全意識的用戶更容易成爲攻擊目標。

詐騙即服務的運作方式

一個典型的去中心化應用(DApp)通常由前端界面和區塊鏈上的智能合約組成。用戶通過區塊鏈錢包連接到DApp的前端界面，前端頁面生成相應的區塊鏈交易，並將其發送至用戶的錢包。用戶隨後使用區塊鏈錢包對這筆交易進行籤名批準，籤名完成後，交易被發送至區塊鏈網路，並調用相應的智能合約執行所需的功能。

釣魚攻擊者通過設計惡意的前端界面和智能合約，巧妙地誘導用戶執行不安全的操作。攻擊者通常會引導用戶點擊惡意連結或按鈕，從而欺騙他們批準一些隱藏的惡意交易，甚至在某些情況下，直接誘騙用戶泄露自己的私鑰。一旦用戶簽署了這些惡意交易或暴露了私鑰，攻擊者就能輕鬆地將用戶的資產轉移到自己的帳戶中。

常見的手段包括：

僞造知名項目前端：攻擊者通過精心模仿知名項目的官方網站，創建看似合法的前端界面，讓用戶誤以爲自己正在與可信任的項目進行交互。
代幣空投騙局：他們在社交媒體上大肆宣傳釣魚網站，聲稱有"免費空投"、"早期預售"、"免費鑄造NFT"等極具吸引力的機會，從而引誘受害者點擊連結。
虛假黑客事件與獎勵騙局：網路犯罪分子宣稱某知名項目因遭遇黑客攻擊或資產凍結，現正向用戶發放補償或獎勵。

詐騙即服務模式很大程度上是近兩年釣魚詐騙愈演愈烈的最大推手。這些服務提供者完全消除了釣魚詐騙的技術門檻，爲缺乏相應技術的買家提供了創建和托管釣魚網站的服務，並從詐騙所得中抽取利潤。

詐騙即服務買家的分贓方式

2024年5月21日，某釣魚工具提供商在etherscan上公開了一條籤名驗證消息，宣告回歸，並創建了新的Discord頻道。

通過分析一個具有異常行爲的釣魚地址的交易，我們發現了以下分贓模式：

服務提供商通過CREATE2創建一個合約。CREATE2是以太坊虛擬機中的一條指令，用來創建智能合約，允許根據智能合約字節碼和固定的salt提前計算出合約的地址。
調用創建的合約，將受害人的代幣批準給釣魚地址（服務買家）和分贓地址。攻擊者通過各種釣魚手段，引導受害者無意中籤署了惡意的Permit2消息。
向兩個分贓地址和買家地址轉入相應數量的代幣，完成分贓。

值得注意的是，這種分贓前再創建合約的方式，一定程度上能夠繞過一些錢包的反釣魚功能，進一步降低受害者的戒備。在一個具體案例中，購買釣魚服務的買家拿走了82.5%的贓款，而服務提供商保留了17.5%。