深度剖析：Telegram 假 Safeguard 骗局的技术原理与防御策略

查找币:余老师 | 学术研究 | 2026-05-10 04:08 | 2 次浏览 | 0 条回复

查找币学术研究安全研究 Web3安全区块链安全

## 引言近期，查找币安全团队收到大量用户反馈，称遭遇 Telegram 上的“假 Safeguard”骗局并造成资产损失。该骗局利用用户对空投活动的 FOMO 情绪，通过伪造验证流程植入恶意代码，最终实现远程控制受害者设备并窃取加密资产。本文将深入分析该攻击的技术细节，并提供可落地的防护方案。 ## 攻击流程技术拆解 ### 第一阶段：诱饵投放与流量劫持攻击者通常采用两种主流引流方式： 1. **假冒 KOL 账号评论污染**：在知名项目方或 KOL（如 @ethereumfndn、@BTW0205）的 X 平台评论区发布虚假链接，诱导用户加入所谓的“独家”Telegram 群组。 2. **空投活动钓鱼**：利用用户对热门代币空投的 FOMO 心理，在 Telegram Channel 中发布“Tap to verify”验证入口。 ### 第二阶段：伪造验证流程的技术实现当用户点击验证按钮后，攻击链路的执行过程如下： 1. **伪造 Safeguard Bot 界面**：通过 Telegram Bot API 创建一个外观与官方 Safeguard 高度相似的验证机器人，界面包含“Tap to verify”按钮，并设置极短的验证倒计时，制造心理压迫感。 2. **模拟验证失败**：点击验证按钮后，系统“假装”显示验证失败，转而引导用户执行“手动验证”。 3. **剪贴板注入恶意代码**：在用户进行“手动验证”操作前，攻击者已通过 JavaScript 或 Telegram 内置功能，将恶意代码（通常是 PowerShell 指令）写入用户系统剪贴板。 ### 第三阶段：恶意代码执行与木马植入攻击者精心设计了 Step1、Step2、Step3 操作指南，引导用户执行以下危险操作： 1. **打开运行框**：通过 `Win + R` 快捷键打开 Windows 运行窗口。 2. **粘贴恶意代码**：用户按 `Ctrl + V` 粘贴剪贴板内容，此时运行框中显示“Telegram”字样及大量空白，实际恶意代码被隐藏在前方。 3. **执行代码**：用户点击“确定”后，PowerShell 指令被执行，从远程服务器下载并运行更复杂的恶意载荷。 **技术细节**：恶意代码通常采用 Base64 编码或混淆技术，绕过静态检测。最终下载的 payload 多为 Remcos 等远程控制木马（RAT），具备以下功能： - 键盘记录与屏幕截取 - 浏览器凭据窃取（包括钱包扩展、密码管理器） - 文件系统遍历与敏感文件上传（如助记词、私钥文件） - 持久化驻留与反调试机制 ### 跨平台攻击变种值得注意的是，该攻击不仅针对 Windows 系统，macOS 用户同样面临风险。攻击者会检测用户操作系统，推送对应的恶意代码（如 Bash 脚本或 AppleScript），实现跨平台覆盖。 ## 资金流向追踪分析查找币安全团队利用 **查找币追踪系统** 对已知黑客地址进行链上分析，发现以下关键信息： ### 主要黑客地址（Solana 网络） - `HVJGvGZpREPQZBTScZMBMmVzwiaVNN2MfSWLgeP6CrzV` - `2v1DUcjyNBerUcYcmjrDZNpxfFuQ2Nj28kZ9mea3T36W` - `D8TnJAXML7gEzUdGhY5T7aNfQQXxfr8k5huC6s11ea5R` ### 资金归集与洗钱路径根据链上数据，上述地址累计获利超过 **120 万美金**，资产构成包括 SOL 及多种 SPL Token。攻击者的洗钱路径呈现以下特征： 1. **代币兑换**：将窃取的 SPL Token 通过去中心化交易所（如 Jupiter）兑换为 SOL。 2. **跨链桥转移**：部分资金通过 Wormhole 等跨链桥转移至以太坊网络。 3. **混币服务**：使用 Cryptomus.com 等合规性较差的支付平台进行资金混合。 4. **最终提现**：通过中心化交易所（CEX）或场外交易（OTC）完成法币变现。 ## 应急响应与防御指南 ### 立即响应措施（已中招） 1. **资产转移**：立即将受感染设备上所有钱包内的资产转移至新生成的安全地址。**注意**：即使钱包扩展设有密码，木马仍可通过内存读取或键盘记录获取。 2. **凭据重置**： - 修改所有浏览器保存的密码 - 更新 2FA 密钥（建议使用硬件安全密钥） - 撤销 Telegram、Discord 等社交账号的活跃会话 3. **系统清理**： - 备份重要文件后，执行系统重装 - 使用国际知名杀毒软件（如 AVG、Bitdefender、Kaspersky）进行全盘扫描 ### 主动防御策略 1. **验证流程认知**： - 任何要求“手动验证”并涉及代码执行的流程均为可疑行为 - 官方 Safeguard Bot 不会要求用户打开运行框或粘贴代码 2. **剪贴板监控**：安装安全工具监控剪贴板内容变化，防止恶意代码注入 3. **权限最小化**：在 Telegram 设置中关闭“允许自动下载文件”功能，限制 Bot 权限 4. **X 平台防钓鱼**：对评论区出现的“独家消息”链接保持高度警惕，优先通过官方渠道验证信息真实性 ## 总结 Telegram 假 Safeguard 骗局已发展为高度自动化的攻击流水线，从社交工程引流、伪造验证界面到植入木马窃取资产，每个环节都经过精心设计。攻击者利用用户的 FOMO 心理和操作惯性，通过剪贴板注入和 PowerShell 远程执行实现隐蔽攻击。目前该攻击已造成超过 120 万美金的资产损失，且攻击模式仍在持续进化。查找币安全团队建议用户： - 对任何要求“手动验证”的流程保持零信任 - 定期检查 Telegram 活跃会话并清理可疑连接 - 使用硬件钱包存储大额资产，避免私钥暴露于联网设备 **本文由查找币安全团队整理发布**

深度剖析：Telegram 假 Safeguard 骗局的技术原理与防御策略

查找币安全研究院

主题延伸阅读