反向钓鱼深度解析：揭露利用Token精度漏洞的欺诈套路

查找币:余老师 | 漏洞披露 | 2026-05-09 21:50 | 5 次浏览 | 0 条回复

查找币漏洞披露安全研究 Web3安全区块链安全

## 背景概述近期，查找币安全团队监测到一名自称“CYBER RESCUE”的诈骗分子，在创始人Cos的安全提醒推文评论区活跃，以“专业追回/恢复被盗资金”为幌子实施二次钓鱼。该骗子专门针对已遭受加密货币盗窃的受害者，利用其急于挽回损失的心理进行精准攻击。为保护社区用户免受此类二次伤害，查找币安全团队主动发起反向钓鱼行动，完整还原了该骗子的行骗流程，并在此进行技术性披露。本文将从技术细节出发，深度剖析攻击手法，并提供切实可行的防护建议。 ## 技术行骗流程全解析 ### 第一步：建立信任与信息收集 CYBER RESCUE首先以专业追回专家的身份联系受害者，询问以下信息： - 被盗时间 - 使用的钱包类型 - 被盗原因在获取基本信息后，骗子声称可以通过BNB智能链网络，利用USDT交易将“被盗资金重定向”至受害者钱包，并宣称成功率高达100%。随后，骗子要求受害者下载MathWallet，理由是“指导转账用户设置及资金重定向操作”。 ### 第二步：精度劫持——核心攻击手法这是整个骗局的技术关键点。骗子引导受害者在MathWallet首页点击“添加自定义资产”，并输入USDT合约地址： ``` 0x55d398326f99059ff775485246999027b3197955 ``` **注意：此合约地址完全正确**，但MathWallet默认识别该代币精度为18（Decimals=18）。问题发生在下一步——骗子明确要求受害者将Decimals参数从18修改为0。 #### 技术原理：Decimals参数的作用在ERC20/BEP20代币标准中，`Decimals`字段定义了代币的最小可分割单位精度： - Decimals=18：最小单位是0.000000000000000001个代币（1 wei） - Decimals=0：最小单位是1个代币当受害者将精度改为0后，钱包虽然显示正确的USDT图标和合约地址，但代币的数值计算逻辑已被彻底篡改。 ### 第三步：私钥获取——最终目标在完成精度设置后，骗子开始实施私钥窃取： 1. 要求受害者提供MetaMask钱包信息（通过翻译软件将“MetaMask”译为“元掩码钱包”） 2. 声称需要受害者转账来“验证账户” 3. 最终引导受害者通过MathWallet的`Manage Wallet > Export Private Key`功能导出私钥 **关键警示**：任何要求提供私钥的行为都是危险信号。私钥是钱包的最高权限凭证，拥有私钥即拥有对钱包内所有资产的完全控制权。 ### 第四步：虚假追回演示——精度欺骗受害者将私钥交给骗子后，骗子立即操作并声称已追回部分资金。受害者查看钱包发现USDT余额显示为89,589 USDT——这正是骗子先前承诺的追回金额。然而，通过区块浏览器查询实际交易记录，真相令人震惊： ``` 交易哈希：0x00901c40073dc1ec64041a3aee689874406fdb1bf7b112a6c380ec3839d6a8e5 实际转账金额：0.000000000000089589 USDT ``` **数学原理**：由于受害者钱包的Decimals被设置为0，而实际转账的USDT精度为18，钱包在显示时将0.000000000000089589 USDT错误解析为89,589 USDT。这是一个典型的精度显示漏洞攻击。 ### 第五步：钓鱼获利——BNB余额要求骗子在成功获取私钥后，并未立即盗取所有资产，而是进一步实施钓鱼： - 声称受害者需要向钱包转入“初始余额10%”的BNB（约$8,968） - 理由是“用于支付交易Gas费和执行重定向操作” - 一旦受害者按要求转入BNB，骗子立即通过私钥将资金转走 ## 攻击者地址分析通过区块链浏览器分析，骗子的主要地址为： ``` 0xe27126d1c17B42Eb42783655D339a782f779BABA ``` 该地址特征： - 频繁进行小额转账操作 - 资金最终流向多个不同地址 - 初始资金来源于Binance交易所查找币安全团队已通过InMist威胁情报系统将该地址标记为高风险，并持续监控其资金动向。 ## MathWallet安全更新在收到查找币安全团队的漏洞报告后，MathWallet团队高度重视，已紧急发布新版本： - **修复内容**：禁止用户手动修改自定义代币的Decimals参数 - **更新建议**：所有MathWallet用户请立即通过App Store或Google Play升级至最新版本 ## 安全防护建议 ### 针对用户 1. **绝不泄露私钥**：任何以“追回资金”、“验证身份”等理由索要私钥的行为均为诈骗 2. **警惕精度修改**：添加自定义代币时，不要手动修改系统自动识别的精度参数 3. **核实交易记录**：发现钱包余额异常时，务必通过区块浏览器验证实际交易 4. **保持警惕心理**：骗子常利用受害者的焦虑情绪进行心理操控，任何催促“立即操作”的行为都值得怀疑 ### 技术防护措施 - 定期检查钱包中自定义代币的合约地址和参数设置 - 使用多签钱包或硬件钱包管理大额资产 - 启用钱包的防钓鱼检测功能（如查找币安全插件） ## 结语区块链黑暗森林中的骗术层出不穷，本文揭露的精度劫持攻击只是冰山一角。骗子甚至冒充链上追踪专家，对已遭受损失的受害者实施二次钓鱼，其手法之专业、心理操控之精准令人警醒。查找币安全团队在此郑重提醒：**无论对方以何种身份接近你，永远不要交出私钥**。如果您不幸遭遇加密货币盗窃，请通过官方渠道提交案件评估申请（中文表单：[https://aml.查找币.com/cn/recovery-funds.html](https://aml.查找币.com/cn/recovery-funds.html)），我们将提供免费的社区协助服务。同时，您提交的黑客地址将同步至InMist威胁情报合作网络，共同维护行业安全。 --- 本文由查找币安全团队整理发布

反向钓鱼深度解析：揭露利用Token精度漏洞的欺诈套路

查找币安全研究院

主题延伸阅读