自慢雾(SlowMist) 上线 MistTrack 被盗表单提交功能以来，我们每天都会收到大量受害者的求助信息，希望我们提供资金追踪和挽救的帮助，其中不乏丢失上千万美金的大额受害者。基于此，本系列通过对每个季度收到的被盗求助进行统计和分析，旨在以脱敏后的真实案例剖析常见或罕见的作恶手法，帮助行业参与者更好地理解和防范安全风险，保护自己的资产。

据统计，MistTrack Team 于 2025 年 Q2 季度共收到 429 份被盗表单，包括 278 份国内表单和 151 份海外表单，我们为这些表单做了免费的评估社区服务。（Ps. 此数据仅针对来自表单提交的 Case，不包括通过邮箱或其他渠道联系的 Case）

MistTrack Team 在 Q2 季度协助 11 个被盗客户成功冻结/追回约 1,195 万美元的资金。

被盗原因

2025 年 Q2 的作恶手法中，钓鱼成为被盗原因 Top1。接下来我们就挑出几类典型案例，带大家更好地避坑、防盗、保住资产。

1、假硬件钱包

这季度我们遇到多个硬件钱包相关的盗币事件，受害者几乎都觉得自己做足了安全措施，但实际操作中却存在致命漏洞。

(https://x.com/im23pds/status/1933763989215064545)

类似的案例还有用户从电商平台购买了一款硬件钱包，外包装和说明书一应俱全。攻击者通过提前激活设备、获取助记词后，再将硬件钱包重新封装，并配上伪造说明书，通过非官方渠道出售。一旦用户按照说明扫码激活并将资产转入钱包地址，资金便立即被转走，落入假钱包标准盗币流程。

还有人收到了一份“中奖赠送”的冷钱包。攻击者在社交平台上伪装成知名厂商，以“抽奖”“空投”等名义免费寄送冷钱包设备。“全新密封”的真设备看着封条完好，用户也照着“使用手册”输入了助记词，结果根本没想过这是预设好的钓鱼设备。

(https://x.com/DeFi_Hanzo/status/1936188462752735587)

甚至还有攻击者利用部分用户在此前的数据泄露事件中泄露的个人信息，伪造了一封“官方通知信”，连同“升级版硬件钱包”一起寄给用户，声称“原有设备已存在安全隐患”，要求将助记词迁移到新的“安全设备”中。这些设备往往内置恶意固件，或诱导用户输入助记词至伪造软件。一旦迁移，资金即被攻击者转走。

(https://x.com/intell_on_chain/status/1924053862203212144)

我们总结下来，问题其实并不出在“冷钱包”本身，而是用户普遍缺乏对硬件钱包真伪、安全初始化流程以及攻击方式的认知。很多用户在“看起来安全”的假象中中招，觉得用了冷钱包就万事大吉，实际上这只是另一种层面的“社工”。

2、EIP-7702 钓鱼

在 Q2，还有新型的利用 EIP-7702 进行钓鱼的方式出现。有用户在操作 EIP-7702 授权时，被 Inferno Drainer 团伙盯上，损失 14 多万美元。

(https://etherscan.io/tx/0x1ddc8cecbcaad5396fdf59ff8cddd8edd15f82f1e26779e581b7a4785a5f5e06/advanced)

攻击者的手法并不复杂，但有点“创意”，这个案例里并非通过钓鱼方式把用户的 EOA 地址切换为 7702 合约地址，即 delegated address 并非钓鱼地址，而是几天前就存在的 MetaMask: EIP-7702 Delegator (0x63c0c19a282a1B52b07dD5a65b58948A07DAE32B)。钓鱼利用了 MetaMask: EIP-7702 Delegator 里的机制来完成受害者地址有关 Token 的批量授权钓鱼盗币操作。

此类钓鱼攻击之所以高效，根本原因在于 EIP-7702 带来的委托机制变更 —— 用户的 EOA 地址可以被授权给某个合约，使其具备这个合约的特性（如批量转账、批量授权、gas 代付等）。如果用户将地址授权给一个恶意合约，就会存在风险，如果用户将地址授权给一个正规的合约，但被钓鱼网站恶意利用了合约的特性，也会存在风险。

EIP-7702 的确为钱包体验带来了新可能，但新的能力也伴随着新的风险边界。签名之前，尽量做到所见即所签，务必想清楚背后的“授权给谁、能做什么”。更多关于 EIP-7702 的风险防范，可以查看我们之前发布的。

3、恶意浏览器扩展

在 Q2，我们还遇到一个很隐蔽的攻击方式 —— 伪装成安全插件的浏览器扩展。用户向我们举报了一个叫“Osiris”的 Chrome 插件，我们深入分析后证实，该扩展自称能检测钓鱼链接和可疑网站，却具有明显的钓鱼特征。

攻击者通常会通过社交平台以“科普安利”的方式将其推荐给目标用户，骗其主动安装。一旦用户安装了该扩展，它会利用浏览器的某个接口，从攻击者的远程服务器加载网络请求拦截规则。我们发现这些规则专门拦截了所有 .exe、.dmg、.zip 等类型的下载请求，然后偷偷把用户要下载的原始文件替换为恶意程序。

更隐蔽的是，攻击者还会引导用户访问一些大家日常会用到的官网，比如 Notion、Zoom 等。当用户尝试从官网下载安装包时，实际上下载下来的已经是被替换后的恶意程序，但浏览器的下载来源显示依然是“官网”，让人很难察觉异常。

这些恶意代码会打包用户电脑中的关键数据，包括 Chrome 浏览器的本地数据、Keychain 密钥链等敏感信息，并上传至攻击者控制的服务器。攻击者随后可以尝试从这些数据中提取出受害者的助记词、私钥或登录凭据，从而进一步盗取用户的加密资产，甚至接管其交易所账户、社交平台账号等。

建议用户不要随意安装陌生人推荐的浏览器插件、应用程序，哪怕它看起来“很官方”。同时，定期清理浏览器中不常用或不明来源的插件，尽量使用知名插件管理工具或杀毒软件增强检测。

4、微信盗号

在 Q2，我们收到不少用户反馈：自己的微信账号疑似被盗，攻击者控制账号之后，会冒充本人用低价收 USDT 等方式行骗，导致受害者的好友被骗资产。更严重的是，有些攻击者还会修改微信密码，彻底接管账户，控制权转移得悄无声息。与传统的链上安全风险不同，这类事件利用了社交平台的熟人信任机制。

(https://x.com/EnHeng456/status/1935155663635956085)

目前我们还不能完全确认攻击者是如何实现微信盗号的，但通过测试和观察，这类盗号行为可能存在这样一种操作路径：

• 攻击者已经拿到你的微信账号和密码 —— 可能是你注册时用过的邮箱、手机号、密码在别的平台泄露过，或者使用了弱密码、被撞库等；

• 登录微信时，如果系统检测到“非常用设备”，就会触发二次验证，其中一种方式是：让“常联系好友”帮你验证；

• 我们实际测试发现，这个“常联系好友”的定义非常宽松，哪怕只是加了好友、偶尔在群里说过几句话，系统也可能认定为“常联系”；

• 如果攻击者事先加过你好友，并悄悄潜伏着，等拿到你账号密码后，深夜或你不在线的时候发起登录请求，请“共犯好友”配合验证码验证，盗号就可能成功。

上述路径只是一种可能性的猜测，具体原因还需进一步调查分析。但至少说明 Web3 用户的安全边界已经扩展到了链下社交层。

5、社交工程攻击

在 Q2，我们收到了一位用户的求助。他表示自己的钱包提示存在“风险授权”，而且无法撤销，尝试点击多次都没有反应。他一开始以为是之前做过某个代币 Swap 授权的问题，就联系慢雾(SlowMist)，希望能排查一下。

我们通过区块浏览器和常见的 Revoke 工具进行核查，却并没有发现他说的授权记录。不久后，他又发来另一张截图，但我们注意到：这次截图里的地址和他最初发的并不是同一个。我们随即建议他把查询工具的网址发过来，一并核对相关信息。

我们打开这个叫 Signature Checker 的网站（signature[.]land），一看就觉得不对劲。这个网站页面做得非常像老牌授权管理工具 Revoke Cash，甚至连 Logo 都仿得很像。但仔细一看，它居然允许用户直接输入私钥来“检测风险签名” —— 这已经是非常明确的钓鱼行为了。接下来我们用不同地址进行测试，发现不管输入哪个地址，这个网站都会“检测出”有风险授权，而且授权时间都跟查询时间非常接近，给人一种“现在赶紧撤销还来得及”的错觉。我们又尝试随便输入一个测试用的私钥，虽然页面提示“格式错误”，但网络请求依然发送了出去。分析前端代码后我们确认，这个钓鱼网站会通过 EmailJS 把用户输入的信息（包括地址和私钥）发送到攻击者的邮箱。甚至它还调用了 Etherscan API 来验证地址是否存在，进一步提高可信度。

而这一切的开端，仅仅是攻击者在社交平台的评论区或私信里，对受害者说了一句：“你签署了钓鱼签名，请尽快取消授权。”随后便贴上了这个伪造工具的链接。更可怕的是，当用户开始怀疑对方身份时，对方居然还能摇身一变，冒充慢雾员工，试图进行二次社工攻击。这已经不是简单的钓鱼，是连环设局。

这类社交工程攻击的套路并不复杂，甚至不涉及什么高深技术，但他们非常擅长营造紧迫感和信任感。他们知道，大多数用户遇到“授权风险”这种模糊但恐怖的提示时，会下意识地慌张，急于解决。而一旦这种情绪被操控，后续很多不该点、不该填的东西，就很容易一步步配合了。

写在最后

回顾 Q2，我们看到一个很明显的趋势：攻击者的手段似乎没有变得更高深，但他们越来越懂“人性”，攻击手段正在从链上慢慢向链下延展，浏览器扩展、社交账号、验证流程、用户习惯都成了攻击切入点。归根结底，不论技术如何演变，有两条原则始终适用：

• 始终保持怀疑和持续验证；

• 谨慎授权签名操作，每一次签名都可能是一次“开门动作”，你需要确认门外是谁。

此外，我们建议大家反复阅读《区块链黑暗森林自救手册》(https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md)，这本手册讲的不仅是生存技巧，更是在“黑暗森林”中避免成为猎物的基本认知。

如果您的加密货币不幸被盗，我们将免费提供案件评估的社区协助服务，仅需要您按照分类指引（资金被盗 / 遭遇诈骗 / 遭遇勒索）提交表单即可。同时，您提交的黑客地址也将同步至慢雾 InMist Lab 威胁情报合作网络进行风控。（注：中文表单提交至 https://aml.slowmist.com/cn/recovery-funds.html，英文表单提交至 https://aml.slowmist.com/recovery-funds.html）

慢雾(SlowMist) 在加密货币反洗钱领域深耕多年，形成了一套完整且高效的解决方案，涵盖了合规、调查与审计三个方面，积极助力构建加密货币健康生态环境，也为 Web3 行业、金融机构、监管单位以及合规部门提供专业服务。其中，MistTrack 是一个提供钱包地址分析、资金监控、追踪溯源的合规调查平台，目前已积累三亿多个地址标签，一千多个地址实体，50 万 + 威胁情报数据，9,000 万 + 风险地址，这些都为确保数字资产的安全性、打击洗钱犯罪提供有力的保护。