面具之下：慢雾揭露虚假安全专家如何欺骗加密货币用户

作者：Liz & Reborn

编辑：Liz

背景

昨天，一位用户联系慢雾安全团队，询问如何撤销签名，并提供了一个截图，显示与其钱包地址相关的“有风险的授权”。

该用户解释说，他们的钱包中有一个授权无法撤销——多次点击没有效果——并且界面上显示警告。他们还回忆起几年前授权过一次 token 交换操作，这使得警报感觉更可信。这似乎并非毫无根据的警告。

伪装成安全性的诈骗

慢雾团队使用区块链浏览器和 Revoke 检查了钱包，但没有找到截图中有风险授权的记录。不久之后，用户发送了另一张截图——这次来自不同的工具。经过比较，我们注意到两张截图中的钱包地址不匹配。然后，我们建议用户分享该工具的 URL 和相关地址。用户也开始感到困惑——他们的两个地址真的都有风险授权吗？

我们立即分析了有问题的工具：Signature Checker (http://signature\[.\]land)。在首页上，我们注意到它允许用户输入他们的私钥来“检查风险”。如果将私钥输入到这样的站点，那么原本没有风险的钱包也可能受到损害。

更重要的是，该钓鱼网站密切模仿了合法 Revoke 平台的视觉设计和 Logo。这很容易误导用户，让他们认为自己在一个官方撤销站点上，从而降低警惕性，增加上当受骗的风险。以下是真正的 Revoke 站点的首页：

使用诈骗者提供的工具，我们测试了两个钱包地址，不出所料，它们都被标记为具有风险授权。但在 Web3 的黑暗森林中，怀疑是一种生存本能。我们继续测试，发现粘贴任何地址都会触发相同的警告——并且“授权时间”总是非常接近检查时间。这造成了一种紧迫感：它使用户相信，现在撤销可能仍然可以挽救他们。

然后，我们尝试输入一个测试私钥，结果弹出一个错误：“invalid format”。但是，我们的输入仍然被传输了。

在分析钓鱼网站的前端代码后，我们发现它使用 EmailJS API 发送输入的数据——甚至调用 Etherscan 的 API 来检查钱包地址是否有效。

这是对 EmailJS API 的请求，显示了任何输入——无论是钱包地址还是私钥——是如何直接发送到诈骗者的收件箱 abpulimali@gmail[.]com 的。

至此，诈骗非常清楚了。根据用户所述，诈骗者首先通过 X（以前的 Twitter）上的回复和私信联系他们，声称：“You signed a phishing signature（你签署了一个钓鱼签名）”，然后提供了一个“撤销工具”的链接。

从聊天记录中可以看出，诈骗者精通社交工程：他们故意首先列出未知的工具，然后列出合法的 Revoke 站点。大多数用户更有可能点击第一个链接。当虚假工具显示风险警报，而 Revoke 没有时，他们可能会开始怀疑真正的工具。

诈骗者甚至提供了分步教程，指示用户在“撤销与恶意合约的交互”的幌子下，将他们的私钥粘贴到钓鱼网站中。还提供了语音支持——显然是一种高压销售手段，目的是引诱用户上钩。

尽管用户开始感到不安并停止合作，但诈骗者并没有放弃。为了建立可信度，他们甚至建议用户通过慢雾安全团队验证风险。对于不太懂安全知识的用户来说，诈骗者“愿意”咨询一家知名的安全公司这一事实，可能会产生一种虚假的信任感。诈骗者甚至在对话中直接提到了 @SlowMist_Team，试图将自己与慢雾错误地联系起来。

幸运的是，这位用户保持了警惕。他们没有输入自己的私钥，而是联系了慢雾团队来确认情况，最终避免了资产损失。

冒充多位安全专家

进一步调查显示，诈骗者还通过在 Telegram 上使用 ZachXBT（一位知名的链上侦探）的头像来冒充他。

在该用户拒绝合作后，诈骗者改变策略，假装成慢雾员工，试图继续诈骗。

我们检查了诈骗者的 X 账号 (@Titanspace3)，该账号有 74,000 名粉丝。虽然注册于 2021 年，但直到 2024 年才开始活跃。该账号主要转发安全研究人员、公司和媒体的更新，声称专注于区块链安全。很明显，这是一个购买的“老号”——这是灰色市场中的一种常见做法。（有关相关内容，请参阅我们之前的文章。）

根据早期帖子的语言风格和其他用户提供的线索，我们怀疑诈骗者可能来自印度尼西亚。

目前，该账号仍然在 X 上活跃，反复以“友好提醒”的名义发表评论，引诱 Web3 用户访问钓鱼链接，并诱骗他们泄露自己的私钥。Web3 反诈骗平台 Scam Sniffer 已经将该网站标记为恶意。

最后的想法

从捏造“有风险授权”警告到冒充安全公司员工，这些诈骗正变得越来越复杂——有时甚至披上了一层半官方的外衣。驱动这一切的是一种经典的“富贵险中求”的心态：诈骗者认为，如果他们的行为看起来足够专业，大多数用户就不会去验证细节，而是会被紧迫感驱使而顺从。

因此，我们强烈敦促所有用户警惕那些“挥舞着安全旗帜却在作恶”的人。在区块链的黑暗森林中，保护你资产的唯一方法是保持零信任并进行持续验证。无论对方声称是谁，或者情况听起来多么紧急——保持冷静，通过官方渠道进行验证，并且永远不要与任何人分享你的私钥或助记词。

慢雾安全团队将继续揭露此类诈骗，帮助用户了解情况，提高意识，并共同维护 Web3 安全的底线。

关于慢雾

慢雾是一家成立于 2018 年 1 月的区块链安全公司。该公司由一支拥有超过十年网络安全经验的团队创立，旨在成为一股全球力量。我们的目标是使区块链生态系统对每个人都尽可能安全。我们现在是一家著名的国际区块链安全公司，曾参与过各种知名项目，如 HashKey Exchange、OSL、MEEX、BGE、BTCBOX、Bitget、BHEX.SG、OKX、Binance、HTX、Amber Group、Crypto.com 等。

慢雾提供多种服务，包括但不限于安全审计、威胁情报、防御部署、安全顾问和其他与安全相关的服务。我们还提供 AML（反洗钱）软件、MistEye（安全监控）、SlowMist Hacked（加密货币黑客档案）、FireWall.x（智能合约防火墙）和其他 SaaS 产品。我们与国内外公司建立了合作伙伴关系，如 Akamai、BitDefender、RC²、TianJi Partners、IPIP 等。我们在加密货币犯罪调查方面的大量工作已被国际组织和政府机构引用，包括联合国安全理事会和联合国毒品和犯罪问题办公室。

通过提供根据各个项目定制的全面安全解决方案，我们可以识别风险并防止它们发生。我们的团队能够发现并发布多个高风险的区块链安全漏洞。通过这样做，我们可以传播意识并提高区块链生态系统中的安全标准。

• 原文链接： slowmist.medium.com/behi...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～