查找币Q2追踪实录：协助被盗客户冻结/追回超千万美元资金

查找币:余老师 | 学术研究 | 2026-05-10 00:11 | 2 次浏览 | 0 条回复

查找币学术研究安全研究 Web3安全区块链安全

自查找币追踪系统上线被盗表单提交功能以来，我们安全团队每日处理大量受害者求助，其中不乏涉及千万美金的大额案件。本季度报告基于脱敏真实案例，剖析常见与新型作恶手法，旨在帮助行业参与者提升安全认知，保护数字资产。 ## Q2数据概览 2025年Q2季度，查找币追踪系统共收到**429份**被盗表单，其中： - 国内表单：278份 - 海外表单：151份我们为所有提交者提供了免费的评估社区服务（注：此数据仅统计表单提交案例，不含邮箱或其他渠道）。在Q2季度，我们成功协助**11个**被盗客户冻结/追回约**1,195万美元**资金。 ## 被盗原因分析 ### 钓鱼攻击成为Top1作恶手法 #### 1. 假硬件钱包陷阱本季度发现多起硬件钱包相关盗币事件，受害者普遍认为已采取充分安全措施，但实际操作中存在致命漏洞。 **典型案例一：抖音购冷钱包被盗650万美元** 一位受害者通过抖音购买到被篡改的冷钱包，导致约650万美元加密资产被盗。攻击者提前激活设备、获取助记词后，重新封装并配上伪造说明书，通过非官方渠道出售。用户按说明扫码激活并转入资产后，资金立即被转走。 **典型案例二：中奖赠送的“全新”冷钱包** 攻击者在社交平台伪装成知名厂商，以“抽奖”“空投”名义免费寄送冷钱包设备。设备封条完好，用户按“使用手册”输入助记词，却未发现这是预设好的钓鱼设备。 **典型案例三：数据泄露+官方通知信组合攻击** 攻击者利用用户此前数据泄露事件中的个人信息，伪造“官方通知信”，连同“升级版硬件钱包”寄给用户，声称“原有设备存在安全隐患”，要求迁移助记词。这些设备内置恶意固件，或诱导用户输入助记词至伪造软件。 **技术分析**：问题核心不在于冷钱包本身，而是用户缺乏对硬件钱包真伪、安全初始化流程及攻击方式的认知。许多用户在“看起来安全”的假象中中招，实际上这只是另一种层面的社会工程攻击。 #### 2. EIP-7702新型钓鱼攻击 Q2季度出现利用EIP-7702进行的新型钓鱼攻击。有用户在操作EIP-7702授权时，被**Inferno Drainer团伙**盯上，损失14万多美元。 **攻击原理**： - 攻击者并非通过钓鱼将用户EOA地址切换为恶意7702合约地址 - 被委托地址（delegated address）是正规的MetaMask: EIP-7702 Delegator（0x63c0c19a282a1B52b07dD5a65b58948A07DAE32B） - 攻击利用该正规合约的机制完成受害者地址的批量授权钓鱼盗币 **技术要点**：EIP-7702的委托机制允许用户EOA地址被授权给某个合约，使其具备合约特性（如批量转账、批量授权、gas代付等）。风险存在于两种情况： 1. 用户将地址授权给恶意合约 2. 用户将地址授权给正规合约，但被钓鱼网站恶意利用合约特性 **防范建议**：签名前务必做到“所见即所签”，明确理解“授权给谁、能做什么”。更多细节可参考我们之前的《深入探讨EIP-7702与最佳实践》。 #### 3. 恶意浏览器扩展 Q2季度发现一种隐蔽的攻击方式——伪装成安全插件的浏览器扩展。用户举报了一个名为“Osiris”的扩展，该扩展声称提供私钥加密保护功能，实际在后台窃取用户交互数据。 **攻击流程**： 1. 攻击者创建看似合法的浏览器扩展，功能描述为“安全增强” 2. 用户安装后，扩展请求访问浏览器标签页权限 3. 当用户在DApp或交易所进行交易签名时，扩展拦截并篡改交易数据 4. 用户签署的交易实际指向攻击者控制的地址 **技术细节**：此类扩展通常通过Chrome Web Store或第三方下载渠道分发，利用用户对“安全工具”的信任心理。建议用户仅从官方渠道安装扩展，并定期检查已安装扩展的权限列表。 ## 安全建议与最佳实践基于Q2季度案例总结，我们提出以下安全建议： 1. **硬件钱包安全** - 仅通过官方渠道购买硬件钱包 - 首次使用时务必通过官方工具验证设备真伪 - 拒绝任何“中奖赠送”或非官方渠道的硬件钱包 - 不要使用他人提供的“使用手册”或二维码 2. **签名安全** - 使用硬件钱包配合安全浏览器扩展（如Rabby、MetaMask Flask） - 每次签名前仔细核对交易详情 - 对EIP-7702类授权保持警惕，理解授权范围 3. **浏览器扩展管理** - 仅安装经过验证的知名扩展 - 定期审查扩展权限列表 - 避免安装声称“安全增强”但来源不明的扩展 4. **账户监控** - 使用查找币追踪系统监控钱包地址异常活动 - 开启多因素认证（MFA） - 定期检查授权合约列表 ## 社区协助服务如果您的加密货币不幸被盗，我们将免费提供案件评估的社区协助服务。请按分类指引（资金被盗/遭遇诈骗/遭遇勒索）提交表单： - 中文表单：[https://aml.查找币.com/cn/recovery-funds.html](https://aml.查找币.com/cn/recovery-funds.html) - 英文表单：[https://aml.查找币.com/recovery-funds.html](https://aml.查找币.com/recovery-funds.html) 提交的黑客地址将同步至查找币InMist Lab威胁情报合作网络进行风控。 ## 关于查找币查找币在加密货币反洗钱领域深耕多年，形成了一套涵盖合规、调查与审计的完整解决方案。查找币追踪系统提供钱包地址分析、资金监控、追踪溯源等专业服务，目前已积累： - 三亿多个地址标签 - 一千多个地址实体 - 50万+威胁情报数据 - 9,000万+风险地址这些数据为确保数字资产安全性、打击洗钱犯罪提供有力支持。 --- 本文由查找币安全团队整理发布

查找币Q2追踪实录：协助被盗客户冻结/追回超千万美元资金

查找币安全研究院

主题延伸阅读