加密世界钓鱼产业化：揭秘Scam-as-a-Service与Inferno Drainer运作模式

2025-07-08 04:44:34

摘要生成中

加密世界中的钓鱼攻击产业化：Scam-as-a-Service 生态揭秘

2024年6月以来，安全团队监测到大量类似的网络钓鱼交易，仅6月份涉案金额就超过5500万美元。进入8、9月后，相关钓鱼活动更加频繁，呈现愈演愈烈之势。整个2024年第三季度，钓鱼攻击已成为造成最大经济损失的攻击方式，65次攻击行动中获取超过2.43亿美元。分析显示，近期频发的钓鱼攻击很可能与臭名昭著的钓鱼工具团队Inferno Drainer有关。该团队曾在2023年底宣布"退休"，但如今似乎再度活跃，发动了一系列大规模攻击。

本文将分析Inferno Drainer、Nova Drainer等网络钓鱼团伙的典型作案手法，并详细列举其行为特征，旨在帮助用户提高对网络钓鱼诈骗的识别和防范能力。

Scam-as-a-Service概念

在加密世界中，一些钓鱼团队创造了名为Scam-as-a-Service（诈骗即服务）的新型恶意模式。这种模式将诈骗工具和服务打包，以商品化方式提供给其他犯罪分子，Inferno Drainer就是这一领域的代表。在2022年11月至2023年11月他们第一次宣布关闭服务期间，诈骗金额超过8000万美元。

Inferno Drainer通过向买家提供现成的钓鱼工具和基础设施，包括钓鱼网站前后端、智能合约以及社交媒体账户，帮助他们快速发起攻击。购买服务的钓鱼者保留大部分赃款，而Inferno Drainer收取10%-20%的佣金。这一模式大大降低了诈骗的技术门槛，使得网络犯罪变得更加高效和规模化，导致钓鱼攻击在加密行业内泛滥，尤其是那些缺乏安全意识的用户更易成为攻击目标。

Scam-as-a-Service的运作方式

典型的去中心化应用（DApp）通常由前端界面和区块链上的智能合约组成。用户通过区块链钱包连接到DApp的前端界面，前端页面生成相应的区块链交易，并将其发送至用户的钱包。用户随后使用区块链钱包对这笔交易进行签名批准，签名完成后，交易被发送至区块链网络，并调用相应的智能合约执行所需功能。

钓鱼攻击者通过设计恶意的前端界面和智能合约，巧妙诱导用户执行不安全操作。攻击者通常引导用户点击恶意链接或按钮，欺骗他们批准隐藏的恶意交易，甚至直接诱骗用户泄露私钥。一旦用户签署了这些恶意交易或暴露了私钥，攻击者就能轻松将用户资产转移到自己账户中。

常见手段包括：

伪造知名项目前端：攻击者精心模仿知名项目官方网站，创建看似合法的前端界面，让用户误以为正在与可信项目交互，从而放松警惕，连接钱包并执行不安全操作。
代币空投骗局：在社交媒体上大肆宣传钓鱼网站，声称有"免费空投"、"早期预售"、"免费铸造NFT"等吸引力机会，引诱受害者点击链接。受害者被吸引到钓鱼网站后，往往会不自觉连接钱包并批准恶意交易。
虚假黑客事件与奖励骗局：犯罪分子宣称某知名项目因遭遇黑客攻击或资产冻结，正向用户发放补偿或奖励。他们通过这些虚假紧急情况吸引用户前往钓鱼网站，诱骗连接钱包，最终窃取用户资金。

Inferno Drainer等SaaS工具提供者，完全消除了钓鱼诈骗的技术门槛，为缺乏相应技术的买家提供创建和托管钓鱼网站的服务，并从诈骗所得中抽取利润。

Inferno Drainer与SaaS买家的分赃方式

2024年5月21日，Inferno Drainer在etherscan上公开了一条签名验证消息，宣告回归，并创建了新的Discord频道。

通过分析一笔典型交易，我们可以了解Inferno Drainer的运作方式：

Inferno Drainer通过CREATE2创建一个合约。CREATE2是以太坊虚拟机中的指令，用来创建智能合约，允许根据智能合约字节码和固定salt提前计算出合约地址。Inferno Drainer利用这一特性，为钓鱼服务买家预先计算出分赃合约地址，等受害者上钩后再创建分赃合约，完成代币转移和分赃操作。
调用创建的合约，将受害人的代币批准给钓鱼地址（Inferno Drainer服务的买家）和分赃地址。攻击者通过钓鱼手段，引导受害者无意中签署了恶意的Permit2消息。Permit2允许用户通过签名授权代币转移，而无需直接与钱包交互。
向两个分赃地址和买家转入不同数量的代币，完成分赃。在一笔典型交易中，买家获得82.5%的赃款，而Inferno Drainer保留17.5%。

值得注意的是，Inferno Drainer通过分赃前再创建合约的方式，一定程度上能够绕过一些钱包的反钓鱼功能，因为在受害者批准恶意交易时，该合约尚未被创建。