假钱包黑产全景追踪：技术视角下的深度剖析

查找币:余老师 | 学术研究 | 2026-05-11 00:02 | 2 次浏览 | 0 条回复

查找币学术研究安全研究 Web3安全区块链安全

## 前言 2023年11月，一位用户小A收到某交易所的营销短信后，在浏览器中搜索“xx钱包官方”，点击排名首位的链接下载了App。从创建钱包到转入资产，整个过程看似顺利，但短短几分钟后，小A收到了转账成功的通知——他钱包内价值1000万美元的ERC20-USDT全部归零。事后调查发现，这个App是精心伪装的钓鱼程序。查找币安全团队在2022年11月24日发布的《假钱包App已致上万人被盗，损失高达十三亿美元》报告中，首次系统揭露了假钱包黑产的全貌。时至今日，随着更多受害者案例的曝光，实际损失数据已远超预期。本文将从技术数据层面，深入剖析这一黑色产业链的运作机制。 ## 一、假钱包生态规模分析 ### 1.1 MetaMask：最大攻击目标 MetaMask作为全球用户量最大的浏览器插件钱包，其2021年月活用户已突破500万，2022年官方数据显示累计用户超8000万。如此庞大的用户基数使其成为黑产的首要攻击目标。通过专业搜索引擎对“MetaMask”相关域名进行扫描，我们发现： - **搜索结果**：超过20,000条相关记录 - **虚假域名占比**：高达98%的IP/域名均为钓鱼诈骗链接 - **技术特征**：大量使用888/HTTP、8888/HTTP等端口，这是宝塔面板的默认配置，因其部署便捷性被黑产广泛采用进一步追踪“MetaMask Download”相关关键词，搜索结果中几乎全部为钓鱼站点。这些站点通过仿冒官方界面，诱导用户下载恶意软件或输入私钥。 ### 1.2 黑产管理后台曝光通过搜索“MetaMask 授权管理”等关键词，我们捕获了大量黑产管理后台域名。这些后台通常采用Vue+PHP架构，部署方式包括： - 使用宝塔面板快速搭建 - 配置反向代理隐藏真实IP - 采用动态域名解析规避封禁部分捕获的域名及解析时间如下（脱敏处理）： - domain-a.com → 2023-10-15 - domain-b.net → 2023-11-02 - domain-c.org → 2023-11-20 ### 1.3 其他钱包的仿冒情况 imToken和TokenPocket同样面临严重的仿冒问题： - **imToken**：捕获的授权管理后台域名超过500个 - **TokenPocket**：钓鱼后台采用类似的Vue+PHP架构这些后台的管理界面高度相似，功能模块包括： - 用户管理（查看受害者钱包地址、资产信息） - 授权管理（批量发起恶意交易） - 日志记录（跟踪攻击行为） ## 二、钓鱼技术深度分析 ### 2.1 提币API与代码分析攻击者通过后台获取受害者私钥后，通过提币API接口执行资产转移。我们对捕获的代码进行了逆向分析： ```javascript // 核心转账逻辑 var _0xodo = 'jsjiami.com.v6'; // JS加密混淆 ``` 值得注意的是，黑产已采用JS全加密技术（如jsjiami），安全防护水平甚至超过部分正规Web站点。代码中包含： - **基础Web服务JS**：处理用户交互 - **配置JS**：存储钱包连接参数 - **转账JS**：执行ERC20/ETH等代币转移在配置文件中，我们发现使用了`sc0vu/web3.php: "dev-master"`——这是一个用于与以太坊交互的PHP接口库。攻击者通过`api.html`调用该接口，实现自动化资产转移。 ### 2.2 伪造交易平台黑产不仅伪造钱包，还搭建了完整的钓鱼交易平台。在一个IP地址下，我们同时发现了： - 钓鱼页面（仿冒MetaMask） - 管理后台 - 多个伪造的交易平台这些平台采用不同框架搭建： | 框架 | 仿冒平台 | 特点 | |------|----------|------| | Laravel | 通用加密货币平台 | 模块化设计，支持多币种 | | ThinkPHP | FTX交易所 | 高度还原界面，含K线图 | 更令人震惊的是，黑产已推出SaaS版钓鱼模板，支持在线购买和快速部署。这些模板： - 支持主流钱包（包括伪造版本） - 提供一站式后台管理 - 自动生成钓鱼页面 ### 2.3 云桌面式管理后台进一步侦查发现，攻击者使用云桌面式管理后台控制交易平台。该后台功能包括： - **用户管理**：查看所有钓鱼受害者信息 - **资产监控**：实时追踪被盗资产 - **交易控制**：批量转账、混币操作 - **日志系统**：记录攻击过程这种专业化的后台设计，表明黑产已经实现了全流程自动化运营。 ## 三、产业链全景总结 ### 3.1 技术链条分析 1. **域名注册**：通过批量注册、抢注相似域名 2. **网站搭建**：使用宝塔面板快速部署，采用JS加密、PHP后端 3. **钓鱼分发**：通过SEO优化、短信推广、社交媒体传播 4. **资产窃取**：通过授权管理、私钥获取、API转账 5. **洗钱变现**：使用混币器、场外交易、NFT交易等方式 ### 3.2 攻击手法演变 - **第一阶段**：简单仿冒网站，诱导输入私钥 - **第二阶段**：伪造App，植入恶意代码 - **第三阶段**：SaaS化钓鱼服务，支持快速定制 - **第四阶段**：云桌面式管理，实现全自动化攻击 ### 3.3 防御建议面对日益专业化的钓鱼黑产，用户需要采取以下防护措施： 1. **验证URL**：始终通过官方渠道（官网、官方社交媒体）下载钱包 2. **检查证书**：确认网站使用HTTPS，且证书信息与官方一致 3. **警惕授权**：不要随意授权未知DApp，定期检查已授权合约 4. **使用硬件钱包**：大额资产建议使用Ledger/Trezor等硬件钱包 5. **开启双重验证**：为钱包和交易所账户启用2FA 6. **定期审计**：使用安全工具检查钱包地址是否存在风险 ## 结语假钱包黑产已经发展成为一个高度专业化、流程化的产业链。从域名注册到钓鱼页面搭建，从用户数据窃取到资产转移，每个环节都有成熟的技术方案和商业运作。作为Web3用户，我们必须保持警惕，提高安全意识，才能在这个充满机遇与风险的数字世界中保护好自己的资产。本文由查找币安全团队整理发布

假钱包黑产全景追踪：技术视角下的深度剖析

查找币安全研究院

主题延伸阅读