揭祕加密世界中的釣魚攻擊產業化

2024年6月以來，一系列類似的釣魚攻擊事件引起了安全專家的注意。僅6月一個月，相關攻擊造成的損失就超過5500萬美元。隨着時間推移，這類攻擊愈演愈烈，到了8、9月份更是頻繁發生。在2024年第三季度，釣魚攻擊已成爲造成最大經濟損失的攻擊手段，65次攻擊行動共造成超過2.43億美元的損失。分析顯示，這些攻擊很可能與臭名昭著的釣魚工具團隊Inferno Drainer有關。該團隊曾在2023年底宣布"退休"，但如今似乎卷土重來，發起了一系列大規模攻擊。

本文將深入分析Inferno Drainer、Nova Drainer等網絡釣魚團夥的典型作案手法，詳細介紹其行爲特徵，以幫助用戶提高對網絡釣魚詐騙的識別和防範能力。

Scam-as-a-Service的出現

在加密貨幣世界中，一種新型的惡意商業模式正在興起，稱爲Scam-as-a-Service（詐騙即服務）。這一模式將詐騙工具和服務打包，以商品化的方式提供給其他犯罪分子。Inferno Drainer就是這一領域的代表性團隊，在2022年11月至2023年11月期間，其詐騙金額超過8000萬美元。

Inferno Drainer通過向買家提供現成的釣魚工具和基礎設施，包括釣魚網站前後端、智能合約以及社交媒體帳戶，幫助他們快速發起攻擊。購買服務的釣魚者可保留大部分贓款，而Inferno Drainer則收取10%-20%的佣金。這一模式大大降低了詐騙的技術門檻，使網路犯罪變得更加高效和規模化，導致釣魚攻擊在加密行業內泛濫，尤其是那些缺乏安全意識的用戶更容易成爲攻擊目標。

Scam-as-a-Service的運作機制

爲了理解Scam-as-a-Service的運作方式，我們先來了解一下典型的去中心化應用（DApp）的工作流程。一個典型的DApp通常由前端界面（如Web頁面或移動應用）和區塊鏈上的智能合約組成。用戶通過區塊鏈錢包連接到DApp的前端界面，前端頁面生成相應的區塊鏈交易，並將其發送至用戶的錢包。用戶隨後使用區塊鏈錢包對這筆交易進行籤名批準，籤名完成後，交易被發送至區塊鏈網路，並調用相應的智能合約執行所需的功能。

釣魚攻擊者通過設計惡意的前端界面和智能合約，巧妙地誘導用戶執行不安全的操作。他們通常引導用戶點擊惡意連結或按鈕，從而欺騙用戶批準隱藏的惡意交易，甚至在某些情況下，直接誘騙用戶泄露私鑰。一旦用戶簽署了這些惡意交易或暴露了私鑰，攻擊者就能輕鬆地將用戶的資產轉移到自己的帳戶中。

常見的釣魚手段包括：

1. 僞造知名項目前端：攻擊者精心模仿知名項目的官方網站，創建看似合法的前端界面，讓用戶誤以爲正在與可信任的項目交互。

2. 代幣空投騙局：攻擊者在社交媒體上大肆宣傳"免費空投"、"早期預售"、"免費鑄造NFT"等吸引力極大的機會，引誘受害者點擊連結並連接錢包。

3. 虛假黑客事件與獎勵騙局：犯罪分子宣稱某知名項目遭遇黑客攻擊或資產凍結，正在向用戶發放補償或獎勵，以此吸引用戶前往釣魚網站。

Scam-as-a-Service模式極大地降低了釣魚詐騙的技術門檻。在此之前，攻擊者每次進行攻擊都需要準備鏈上啓動資金、創建前端網站和智能合約，盡管大多數釣魚網站都是粗制濫造的，但網站的運維和頁面設計仍需要一定的技術能力。Inferno Drainer等Scam-as-a-Service工具提供者完全消除了這些技術障礙，爲缺乏相應技能的買家提供了創建和托管釣魚網站的服務，並從詐騙所得中抽取利潤。

Inferno Drainer的回歸與分贓機制

2024年5月21日，Inferno Drainer在etherscan上公開了一條籤名驗證消息，宣告回歸，並創建了新的Discord頻道。他們使用的一個主要釣魚地址是0x0000db5c8b030ae20308ac975898e09741e70000。

通過分析該地址的交易，我們可以了解Inferno Drainer的分贓機制：

1. Inferno Drainer通過CREATE2創建一個合約。CREATE2是以太坊虛擬機中的一條指令，用來創建智能合約。它允許根據智能合約字節碼和固定的salt提前計算出合約的地址。Inferno Drainer利用這一特性，爲釣魚服務的買家預先計算出分贓合約的地址，等到受害者上鉤後再創建合約，完成代幣轉移和分贓操作。

2. 調用創建的合約，將受害人的代幣批準給釣魚地址（Inferno Drainer服務的買家）和分贓地址。攻擊者通過各種釣魚手段，引導受害者無意中籤署了惡意的Permit2消息。Permit2允許用戶通過籤名授權代幣的轉移，而不需要直接與錢包進行互動。

3. 向分贓地址和買家轉入相應比例的代幣，完成分贓。在一個具體案例中，買家獲得了82.5%的贓款，而Inferno Drainer保留了17.5%。

值得注意的是，Inferno Drainer通過分贓前再創建合約的方式，一定程度上能夠繞過一些錢包的反釣魚功能，進一步降低受害者的戒備。因爲在受害者批準惡意交易時，該合約甚至還沒有被創建出來，對該地址進行分析和調查也就無從談起了。

創建釣魚網站的簡單步驟

在Scam-as-a-Service的幫助下，攻擊者創建釣魚網站變得異常簡單：

1. 進入Drainer提供的Telegram頻道，使用一個簡單的命令就能創建免費域名和對應的IP地址。

2. 從機器人提供的上百種模板中選擇一個，幾分鍾後就能生成一個看似專業的釣魚網站。

3. 尋找受害者。一旦有人進入網站並連接錢包批準惡意交易，受害者的資產就會被轉移。

整個過程僅需幾分鍾，大大降低了犯罪成本和技術門檻。

總結和防範建議

Inferno Drainer的回歸爲加密貨幣用戶帶來了巨大的安全隱患。用戶在參與加密貨幣交易時，需要時刻保持警惕，牢記以下幾點：

• 不要相信任何"天上掉餡餅"的宣傳，例如可疑的免費空投、補償，僅信任官方網站或接受過專業審計服務的項目。
• 在連接錢包前仔細檢查URL，警惕模仿知名項目的網站。可使用WHOIS域名查詢工具查看網站註冊時間，註冊時間過短的網站很可能是欺詐項目。
• 不要向任何可疑網站或應用提交助記詞、私鑰。在錢包要求籤名消息或批準交易前，仔細檢查是否涉及Permit或Approve等可能導致資金損失的操作。
• 關注安全預警信息。如發現不慎向詐騙地址授權了代幣，及時撤回授權或將剩餘資產轉移至其他安全地址。

通過提高安全意識和採取必要的預防措施，用戶可以更好地保護自己免受日益復雜的釣魚攻擊。