地狱提款机重出江湖：新型加密钓鱼攻击席卷全球，盗取超900万美元

事件概述

网络安全公司Check Point最新报告揭露，曾一度"关闭"的加密货币盗取工具**Inferno Drainer（地狱提款机）不仅死灰复燃，还大幅升级攻击手法，演变为更隐蔽的"Drainer-as-a-Service"（提款机即服务）**模式。据统计，2024年9月至2025年3月期间：超3万个加密钱包遭盗取损失金额突破900万美元单笔最高损失达76.1万美元

攻击手法拆解：从Discord到钱包清空

Step 1: 钓鱼入口——伪造的Discord验证

攻击者首先入侵合法Web3项目官网，植入恶意Discord邀请链接。用户加入服务器后，会遭遇假冒的Collab.Land机器人，要求"验证钱包权限"。

Step 2: 李代桃僵——伪装的签名请求

受害者被诱导访问高仿真钓鱼网站，界面与真实Collab.Land完全一致，但实际调用的却是恶意智能合约。当用户点击**"Approve"（授权）时，攻击者即获得钱包全部控制权**。

“连经验丰富的加密用户也可能中招，因为他们默认这类服务需要签名授权。” —— Check Point警告

技术升级：四重隐匿架构

为规避检测，Inferno Drainer采用以下黑客“隐身术”：

1. 短生命周期OAuth2令牌
   ：使基于URL的黑名单失效
2. 智能合约混淆
   ：关键数据采用Base64+ROT13编码（常见于币安智能链）
3. 四级AES加密
   ：JSON传输载荷全程加密
4. C2隐匿于区块链
   ：命令控制服务器地址藏在合约代码中

资金流转：防追踪的“套娃”洗钱术

赃款通过三层合约架构转移：

1. 伪造的ERC-20代币合约
   （接收初始资金）
2. 中转合约
   （混淆流向）
3. 一次性销毁合约
   （最终提现，使冻结无效）

黑色产业链：15%抽成的犯罪SaaS

Inferno Drainer已形成完整的地下商业模式：

• 开发者抽成15–20%
• 剩余80%归作案团伙
• 基础设施托管于Cloudflare Workers
  ，利用代理服务器躲避封禁

防御建议：用户自救指南

1. 警惕Discord机器人授权
   ：验证官方链接域名（如connect.collab.land）
2. 审查智能合约
   ：使用Etherscan等工具检查合约代码再签名
3. 启用钱包防护
   ：MetaMask等插件可设置交易确认延迟
4. 小额测试转账
   ：大额操作前先发送极小金额验证安全性