恶意授权
通常能看到 Approve、Permit、setApprovalForAll 或陌生 spender。重点是撤销授权、分析钓鱼入口和追踪后续转移路径。
Crypto Incident Response
加密资产安全事件响应流程
资产异常转出后的前几个小时非常关键。正确顺序不是先到处求助或公开地址,而是先保护剩余资产、保全证据、锁定时间线,再决定链上追踪、平台申诉和法律协作路径。
第一小时处置
- 断开风险入口:停止继续签名,关闭可疑网页,断开钱包连接,保留页面和链接证据。
- 保护剩余资产:如怀疑私钥泄露,应尽快转移未被盗资产到全新钱包;如是授权风险,先撤销高危授权。
- 记录交易哈希:保存异常交易、授权交易、受害地址、攻击地址和发生时间。
- 保全设备证据:不要急着重装系统或清理浏览器,先截图、导出日志、记录插件和下载历史。
分类判断
私钥泄露
多链资产可能被批量转空,攻击者可持续控制地址。重点是转移剩余资产、排查泄露来源和废弃旧钱包。
项目或平台攻击
可能涉及合约漏洞、热钱包异常、后台权限或前端供应链。重点是暂停业务、固定版本、保全日志和用户通报。
证据清单
- 受害地址、攻击地址、交易哈希、链名称和区块时间。
- 钓鱼链接、社群私信、邮件、客服记录或假网站截图。
- 钱包弹窗截图、签名内容、授权对象和额度。
- 设备、浏览器、插件、下载文件和最近安装软件记录。
后续路径
根据资金流向,可进一步整理链上证据摘要、交易所入口线索、平台申诉材料和执法协作资料。对于机构事件,还需要进行根因分析、权限收敛、监控补强、复盘公告和用户补救方案。