2025年Web3钓鱼手法解析报告.docx

Thinking@Cos@

Web3钓鱼攻击现状与防御挑战

攻击现状

攻击者通常选择热度高的项目进行精心伪装，通过空投、高回报等诱饵吸引用户。手法包括域名仿冒、社交媒体欺诈、虚假应用程序等。攻击者擅长运用社会工程学，通过明修栈道，暗度陈仓的策略隐藏真实意图。

防御挑战

用户难以持续保持高度警惕，即使安全意识较强也可能遭受攻击。攻击手法不断创新，识别真伪难度大。攻击者善于隐匿身份并清除证据，

增加了追踪难度。

披沙拣金：筛选目标项目并进行伪装

攻击者通过调研近期趋势热度的方向，热点项目方的社区活跃情况，以及目标项目的用户规模等，筛选出“关注度高”的热点项目，并构建伪装。

伪装包括：

?相似(真实)的域名和网页

?相似(真实)的社交媒体账号或TGBot

?相似(真实)的管理员马甲

?

.....

明修栈道：吸引流量（）的手段

在Web3领域，“明修栈道，暗度陈仓”的手法被广泛运用。

表面上攻击者伪装项目方通过发布AMA、空投等活动吸引流量，实则借此分发“饵料”，为后续的钓鱼攻击做准备，让用户防不胜防。

伪装身份：可能是伪装项目官方社交媒体账号，应用程序，Web站点，TGBot等，也可能是知名的Web3KOL等。

暗度陈仓：隐藏攻击的智慧

攻击者最终的意图：盗取资产/盗取权限-盗取资产

由于有前面的铺垫，用户安全意识较差的就容易在后续的攻击意图中“中招”，安全意识较高的也难免“常在岸边走哪有不湿鞋”，实时保持最高的警惕性很难。

暗度陈仓：隐藏攻击的智慧

攻击会将真实的意图进行隐藏：

?盗取用户助记词私钥，如：欺骗用户输入助记词或私钥等

?欺骗用户使用钱包签名，如：授权签名，转账签名等

?盗取用户账号密码，如：Telegram，Gmail，X，Discord等

?盗取用户社交应用权限：如：X，Discord等

?诱导安装恶意程序，如：假钱包APP，假社交APP，假会议APP等

?

......

创建饵料：好康（有利可图）

攻击者构建“好康”的饵料

创建饵料：好康（有利可图）

构建话术为饵料推广，诱导交互赋予故事

?让用户觉得有利可图，如：Airdrop资格白名单，挖头矿，财富密码等

?给予用户方便，如：薅空投工具，AI量化工具，一键挖矿薅羊毛等

投放饵料：精准覆盖的策略

投放渠道

?社交APP：X，Telegram，Discord等

?有哪些信誉好的足球投注网站引擎：Google，Baidu，Bing等

?邮箱：SMTPServer(Google，AWS)批量邮件分发等

?APP商城，，，

APKCombo等

传播诱饵：在社交媒体/有哪些信誉好的足球投注网站引擎排名中传播

攻击者利用Web3社群在Web3社交媒体上发布诱人的TokenAirdrop活动链接，引诱用户点击访问，从而开始“演绎剧本故事”，通常会以完成一系列任务才能够获得奖励等话术，诱导用户“上钩”。

投放方式

?社交平台：群聊，私信，评论留言，发tweet，打广告等

?有哪些信誉好的足球投注网站引擎：SEO/打广告刷排名

?APP商城：上架仿冒APP或虚假APP

传播诱饵：在社交媒体/有哪些信誉好的足球投注网站引擎排名中传播

引导诱骗：社会工程学--让用户在无意中掉入陷阱

引导诱骗：社会工程学--让用户在无意中掉入陷阱

引导诱骗：社会工程学--让用户在无意中掉入陷阱

引导诱骗：社会工程学--让用户在无意中掉入陷阱

黑客通过和受害者在社交平台上聊天，向用户推荐“优质”项目，引导受害者访问恶意的钓鱼站点https[:]//wasper[.]app，下载恶意的应用程序。

引导诱骗：社会工程学--让用户在无意中掉入陷阱

引导诱骗：社会工程学--让用户在无意中掉入陷阱

攻其不备：趁虚而入的时机-让目标“起心动念”

?好奇/贪婪

无惧卖飞的逃顶策略，不容错过潜在100倍币，今晚10点不见不散，会议链接https://us04-zoom.us/

?好奇/贪婪

$PENGU空投白名单不容错过，

/

?恐惧

紧急告警：XX项目被黑，请使用

revake.cash取消授权避免资金损失

......

隐匿行踪：隐藏网络身份

VPN