钓鱼授权识别(Drainer 攻击模式)|从 5 个常见套路到防御
Drainer 是 Web3 钓鱼工具——用「Permit 签名 / setApprovalForAll / 仿冒 DEX / NFT 空投陷阱」5 种手法骗用户授权后清空钱包。本文按 6 步识别并防御。
钓鱼授权(Drainer 攻击)的常见模式是什么?直接答:Drainer 是 Web3 钓鱼工具的统称,5 种最常见手法:(1) Permit 离线签名骗(让你签个名进站实际是 ERC20 授权);(2) setApprovalForAll 假装连接钱包;(3) 仿冒 DEX 网站(域名相似的 Uniswap/PancakeSwap);(4) NFT 空投陷阱(点击 NFT 元数据 URL);(5) 假 Telegram/Discord 客服私信发钓鱼链接。核心防御:MetaMask 弹窗永远细看 + 不熟悉网站永不签 Permit + 主钱包永不连陌生 DApp。
如果识别完钓鱼后想转资产到交易所暂存,可顺路准备 币安官网 的实名账号,并用 币安官方App 看充币地址。下载入口在 下载页。
第 1 步:5 大 Drainer 手法
手法 1:Permit 离线签名
| 套路 | 受害者表现 |
|---|---|
| 网站说「签个名验证你不是机器人」 | 用户以为是登录 |
| MetaMask 弹窗显示 0xd505accf 签名 | 多数人不看细节直接 Sign |
| 钓鱼者拿签名调 permit + transferFrom | 你的 USDT/USDC 被偷 |
A:Permit 的隐蔽性来自「不上链不花 Gas」——用户感觉「只是签个名」放松警惕。
手法 2:setApprovalForAll 全权
| 套路 | 表现 |
|---|---|
| 网站「免费 mint 限定 NFT」 | 诱饵 |
| 弹窗 setApprovalForAll(operator, true) | 你以为是 mint 授权 |
| operator 是钓鱼合约或 EOA | 整个 NFT collection 失守 |
手法 3:仿冒 DEX 网站
| 套路 | 表现 |
|---|---|
| 域名变体(如 uniswap-v3.io、pancake-swap.com) | 钓鱼站 |
| UI 与正版 99% 相同 | 用户察觉不到 |
| 兑换功能其实是「骗你 approve 给恶意路由」 | 后续清空 |
A:真实 Uniswap 是 app.uniswap.org;真实 PancakeSwap 是 pancakeswap.finance——其他变体几乎全是钓鱼。
手法 4:NFT 空投陷阱
| 套路 | 表现 |
|---|---|
| 钱包突然多了「点击领取 1000 USDT」NFT | 空投 |
| NFT 元数据里的 URL 指向钓鱼站 | 用户点击 |
| 钓鱼站要求「连钱包验证身份」+ Permit | 钱包清空 |
手法 5:客服私信
| 套路 | 表现 |
|---|---|
| Telegram / Discord 假冒「OpenSea 客服」「MetaMask 助手」 | 私信 |
| 「你的钱包有问题,点这里验证」 | 钓鱼链接 |
| 你点开后被诱导签名 | 钱包清空 |
A:正版项目方客服永远不会主动私信用户——主动私信 = 100% 钓鱼。
第 2 步:MetaMask 弹窗 4 个关键检查
| 检查项 | 看什么 |
|---|---|
| Method(方法名) | 是否 approve / setApprovalForAll / Permit |
| 合约地址 | 是否你预期的 DApp 合约 |
| Spender / Operator | 是否 EOA(钱包地址)or 已知合约 |
| Amount | Unlimited(uint256.max)还是合理数 |
A:任一项可疑都立即点 Reject——慢一点签是最有效防御。
第 3 步:用工具检查目标地址
| 工具 | 用途 |
|---|---|
| Revoke.cash | 输入 spender 看历史 |
| OKLink AML | 检查地址风险评分 |
| Etherscan 合约页 | 看是否 Verified、是否 Proxy |
| Phishfort / Chainabuse | 公开钓鱼数据库查 |
第 4 步:常见 Drainer 工具特征
| 工具名 | 特征 |
|---|---|
| Inferno Drainer | 多链 + Permit + setApprovalForAll |
| Pink Drainer | 主要 ETH 主网 |
| Angel Drainer | 用 multicall 批量偷 |
| Pussy Drainer | NFT 偷 |
A:这些 Drainer 都基于「拿到用户签名后批量清空」原理——核心防御是「不签」。
第 5 步:被钓鱼后的紧急处置
| 步骤 | 操作 | 时间 |
|---|---|---|
| 1 | 立即在新干净浏览器创建新钱包 | 5 分钟 |
| 2 | 把还能动的资产转到新钱包 | 视 Token 数 |
| 3 | 在 Approval Checker 撤所有授权 | 视授权数 |
| 4 | 关闭可能被钓鱼的浏览器档案 | 即刻 |
| 5 | 检查所有 DApp session | 视情况 |
| 6 | 报告 Phishfort / Chainabuse | 5 分钟 |
| 7 | 长期:换主钱包 | 长期 |
详见 Token approval 分类的 Revoke.cash 教程篇。
第 6 步:长期防御策略
| 策略 | 说明 |
|---|---|
| 多钱包隔离 | 主钱包冷藏,操作钱包小额 |
| 浏览器档案隔离 | DApp 档案与日常档案分开 |
| 硬件钱包 | 大额资产放 Ledger/Trezor |
| 月度审计 | 定期看 Approval Checker |
| 不点社交媒体不明链接 | 包括 Twitter / Telegram / Discord |
| 不签 Permit | 除非你 100% 信任目标 |
详见 Token approval 分类的多链统一撤销篇。
实战:被钓鱼后 5 万 USD 的损失追溯
| 信号 | 解读 |
|---|---|
| 受害者签了「免费 NFT mint」的 Permit | 第 1 步 |
| 30 分钟后 USDC 被 transferFrom 转走 5 万 | 第 2 步 |
| 钓鱼者立即用 Stargate 跨链到 BSC | 第 3 步 |
| BSC 上分散到 10 个地址 | 第 4 步 |
| 部分进 Binance 热钱包被冻结 | 第 5 步 |
A:被钓后 30-60 分钟内监管能介入冻结一部分——但大部分会通过混币器丢失。预防永远比追回容易。
风险提示
钓鱼是 Web3 最大资产损失源之一——2024 年全年个人钱包钓鱼损失超 5 亿 USD。MetaMask 弹窗永远细看是核心防御——养成习惯。
如果资产想出金,可借助 币安官网 走 C2C。
实操核对清单
- [ ] 已了解 5 大 Drainer 手法
- [ ] MetaMask 弹窗 4 项检查养成习惯
- [ ] Permit (0xd505accf) 永远警觉
- [ ] setApprovalForAll 给陌生合约/EOA = 立即拒绝
- [ ] 仿冒 DEX 域名识别能力
- [ ] 多钱包隔离已实施
一站式回顾
A:Drainer 攻击 = 5 种钓鱼手法 + 单点防御。核心 5 大手法:Permit / setApprovalForAll / 仿冒 DEX / NFT 空投 / 客服私信。核心 1 个心法:永远不在 MetaMask 弹窗里盲签——慢 10 秒看清细节,能防 90% 钓鱼。
如果想了解 Unlimited Approval 的更多风险与替代方案,下一步建议看 Unlimited Approval 风险与防范篇。
常见问题
我已经签了钓鱼 Permit 怎么办?
A:立即在 Approval Checker 撤所有授权 + 转走资产。Permit 的攻击窗口取决于 deadline——通常几分钟到几天,越快撤损失越小。
钓鱼网站长什么样?
A:与正版几乎相同——这就是钓鱼的难点。唯一可靠识别:URL(域名变体)。任何不是项目方官网域名的「DEX 站」都是钓鱼。
MetaMask 警告功能能防钓鱼吗?
A:能防一部分。新版 MetaMask 集成 Blockaid 等服务,对已知钓鱼合约会 banner 警告——但新出现的钓鱼可能滞后几小时检测到。
硬件钱包能完全防钓鱼吗?
A:不能完全。硬件钱包让你「签名前在硬件屏幕看清内容」——但仍可能被诱导签错。Ledger 系列在 2023.12 也曾被攻击——没有 100% 安全的方案。
我能不能用钱包扩展拦截钓鱼?
A:能装一些。Pocket Universe、Wallet Guard、Stelo 等预审签名内容——对小白用户极有价值。新装的弹窗如果工具警告就拒签。
报告钓鱼站有用吗?
A:有。Phishfort、Chainabuse、Etherscan 自己的 Phish Report 都接受举报——举报后该地址会被加入公开黑名单,保护后续用户。
链上能反向追踪 Drainer 吗?
A:部分能。OKLink Trace、Phalcon、Chainalysis 等都能追踪资金流向——但混币器之后追踪难度大幅上升。专业链分析公司(合规执法)能拼出 60-80%。
文档发布于 2026-05-08,下次复测计划 2026-08-08(约每 90 天回访一次,确认 Drainer 工具特征与防御工具 MetaMask Blockaid 集成未变)。