揭露假安全專(zhuān)家的行騙過(guò)程

2025年5月31日 18:24

作者：Liz&Reborn背景

昨天，一位用戶(hù)聯(lián)系到慢霧安全團(tuán)隊(duì)，詢(xún)問(wèn)如何取消簽名，并附帶了一張截圖，顯示其錢(qián)包地址存在風(fēng)險(xiǎn)授權(quán)。

該用戶(hù)表示，自己錢(qián)包中有一項(xiàng)授權(quán)始終無(wú)法撤銷(xiāo)，點(diǎn)擊多次均無(wú)反應(yīng)，錢(qián)包界面也顯示了風(fēng)險(xiǎn)提示。他又回憶起多年前曾為某Tokens的Swap操作授權(quán)過(guò)一次，因此感覺(jué)此次風(fēng)險(xiǎn)提示并非空穴來(lái)風(fēng)。披著安全外衣的*騙*局

慢霧安全團(tuán)隊(duì)使用區(qū)塊瀏覽器及 Revoke進(jìn)行排查，卻并未發(fā)現(xiàn)截圖中地址的風(fēng)險(xiǎn)授權(quán)記錄。不久后，用戶(hù)又發(fā)來(lái)另一張截圖，顯示其在某工具中查詢(xún)出的結(jié)果。經(jīng)對(duì)比，兩張截圖中的地址并不一致。我們隨即建議用戶(hù)將該工具的鏈接與相關(guān)地址一并提供。此時(shí)，用戶(hù)也開(kāi)始疑惑：難道自己兩個(gè)地址都有風(fēng)險(xiǎn)授權(quán)？

我們隨即對(duì)該工具 SignatureChecker(http://signature[.]land)進(jìn)行分析，一打開(kāi)便看到，該工具竟然支持用戶(hù)輸入私鑰來(lái)查詢(xún)。本來(lái)沒(méi)有風(fēng)險(xiǎn)的地址，在這個(gè)網(wǎng)頁(yè)輸入了私鑰，也得有風(fēng)險(xiǎn)了。

值得注意的是，這個(gè)釣魚(yú)網(wǎng)站的頁(yè)面設(shè)計(jì)和 Revoke的界面風(fēng)格、Logo極為相似，容易讓用戶(hù)誤以為是正規(guī)授權(quán)撤銷(xiāo)平臺(tái)，從而降低警惕，增加上當(dāng)受騙的風(fēng)險(xiǎn)。下圖為Revoke的官網(wǎng)界面：

我們用騙子提供的工具查詢(xún)用戶(hù)的兩個(gè)地址，發(fā)現(xiàn)確實(shí)有風(fēng)險(xiǎn)授權(quán)的記錄。不過(guò)，黑暗森林里的準(zhǔn)則之一是保持懷疑，持續(xù)驗(yàn)證。我們接著測(cè)試，發(fā)現(xiàn)隨機(jī)貼入地址，該工具都會(huì)顯示地址有風(fēng)險(xiǎn)授權(quán)，而且授權(quán)時(shí)間與查詢(xún)時(shí)間非常臨近，這種設(shè)計(jì)既給了用戶(hù)希望，還營(yíng)造了緊迫感：現(xiàn)在趕緊取消應(yīng)該沒(méi)事。

我們隨后輸入測(cè)試用的私鑰進(jìn)行查詢(xún)，發(fā)現(xiàn)頁(yè)面彈出“格式錯(cuò)誤”的提示，但是仍然會(huì)傳輸我們輸入的信息。

這是發(fā)送到 EmailJSAPI的請(qǐng)求接口，可以發(fā)現(xiàn)用戶(hù)輸入的地址或者私鑰信息會(huì)通過(guò)該接口發(fā)送到騙子的郵箱(abpulimali@gmail[.]com)。

騙子還提供了所謂的“操作教程”，引導(dǎo)用戶(hù)將私鑰粘貼進(jìn)釣魚(yú)網(wǎng)站的輸入框，以“取消與惡意合約的交互”為由行騙，甚至還提供了語(yǔ)音指導(dǎo)服務(wù)，全方位催促用戶(hù)上鉤。

用戶(hù)在察覺(jué)異樣后并未配合，不過(guò)騙子沒(méi)有放棄，為了進(jìn)一步施壓并取信于人，騙子建議用戶(hù)去咨詢(xún)慢霧安全團(tuán)隊(duì)。一些警惕性不高的用戶(hù)，聽(tīng)到對(duì)方愿意請(qǐng)安全公司驗(yàn)證，可能會(huì)因此放松警惕，誤以為對(duì)方不是騙子。而騙子則往往賭定用戶(hù)不會(huì)真的去核實(shí)，甚至在行騙過(guò)程中直接 @SlowMist_Team，試圖利用安全公司為自己背書(shū)。

幸運(yùn)的是，這位用戶(hù)足夠警惕，并未按對(duì)方引導(dǎo)輸入私鑰，而是主動(dòng)聯(lián)系了慢霧安全團(tuán)隊(duì)核實(shí)情況，最終確認(rèn)這是一場(chǎng)*騙*局，成功避免了資產(chǎn)損失。

多重安全專(zhuān)家身份加持

我們進(jìn)一步調(diào)查發(fā)現(xiàn)，騙子在 Telegram上盜用了知名鏈上偵探ZachXBT的頭像。

由于用戶(hù)沒(méi)有繼續(xù)配合，騙子隨后又冒充慢霧員工，繼續(xù)嘗試聯(lián)系和行騙。

查看騙子的 X賬號(hào)(@Titanspace3)，該賬號(hào)擁有7.4萬(wàn)粉絲，注冊(cè)于2021年，但直到2024年才開(kāi)始活躍。賬號(hào)內(nèi)容以轉(zhuǎn)發(fā)安全研究員、安全公司和媒體動(dòng)態(tài)為主，自稱(chēng)專(zhuān)注Blockchain安全領(lǐng)域，明顯是買(mǎi)來(lái)的賬號(hào)。這類(lèi)賬號(hào)買(mǎi)賣(mài)在灰產(chǎn)中很常見(jiàn)，相關(guān)內(nèi)容我們此前已有分析，見(jiàn)真假項(xiàng)目方|警惕評(píng)論區(qū)高仿號(hào)釣魚(yú)。

結(jié)合其早期推文語(yǔ)言風(fēng)格與用戶(hù)提供的線(xiàn)索，推測(cè)該騙子可能來(lái)自印尼。

目前，該賬號(hào)仍活躍在 X平臺(tái)，不斷以“善意提醒”的名義留言，引導(dǎo)Web3用戶(hù)點(diǎn)擊釣魚(yú)鏈接，并誘導(dǎo)他們泄露私鑰。Web3反詐騙平臺(tái)ScamSniffer已經(jīng)將該網(wǎng)站標(biāo)記為惡意。

寫(xiě)在最后

從偽造“授權(quán)風(fēng)險(xiǎn)”頁(yè)面，到冒充安全公司員工，一步步引導(dǎo)用戶(hù)泄露私鑰，這類(lèi)*騙*局的手法正變得愈發(fā)精細(xì)。騙子認(rèn)為只要自己包裝得夠?qū)I(yè)，大多數(shù)人就不會(huì)去深究驗(yàn)證，反而會(huì)被他們制造的“緊迫感”牽著走。

對(duì)此，我們特別提醒廣大用戶(hù)，務(wù)必警惕打著安全旗號(hào)行不軌之事的人。在Blockchain這片黑暗森林中，唯有保持零信任態(tài)度與持續(xù)驗(yàn)證意識(shí)，才能守住資產(chǎn)安全的最后一道防線(xiàn)。無(wú)論對(duì)方自稱(chēng)是誰(shuí)，無(wú)論對(duì)方聲稱(chēng)情況多緊急，請(qǐng)務(wù)必保持冷靜，通過(guò)官方渠道進(jìn)行驗(yàn)證，切勿因一時(shí)慌亂而交出私鑰或助記詞。慢霧安全團(tuán)隊(duì)也將持續(xù)披露此類(lèi)案例，幫助用戶(hù)識(shí)別風(fēng)險(xiǎn)、提高警惕，共同守護(hù)Web3世界的安全底線(xiàn)。