作者：Liz & Reborn

背景

昨天，一位用户联系到慢雾安全团队，询问如何取消签名，并附带了一张截图，显示其钱包地址存在风险授权。

该用户表示，自己钱包中有一项授权始终无法撤销，点击多次均无反应，钱包界面也显示了风险提示。他又回忆起多年前曾为某代币的 Swap 操作授权过一次，因此感觉此次风险提示并非空穴来风。

披着安全外衣的骗局

慢雾安全团队使用区块浏览器及Revoke 进行排查，却并未发现截图中地址的风险授权记录。不久后，用户又发来另一张截图，显示其在某工具中查询出的结果。经对比，两张截图中的地址并不一致。我们随即建议用户将该工具的链接与相关地址一并提供。此时，用户也开始疑惑：难道自己两个地址都有风险授权？

我们随即对该工具Signature Checker (http://signature[.]land) 进行分析，一打开便看到，该工具竟然支持用户输入私钥来查询。本来没有风险的地址，在这个网页输入了私钥，也得有风险了。

值得注意的是，这个钓鱼网站的页面设计和Revoke 的界面风格、Logo 极为相似，容易让用户误以为是正规授权撤销平台，从而降低警惕，增加上当受骗的风险。下图为 Revoke 的官网界面：

我们用骗子提供的工具查询用户的两个地址，发现确实有风险授权的记录。不过，黑暗森林里的准则之一是保持怀疑，持续验证。我们接着测试，发现随机贴入地址，该工具都会显示地址有风险授权，而且授权时间与查询时间非常临近，这种设计既给了用户希望，还营造了紧迫感：现在赶紧取消应该没事。

我们随后输入测试用的私钥进行查询，发现页面弹出“格式错误”的提示，但是仍然会传输我们输入的信息。

经过对钓鱼网站前端代码的分析，我们发现这个钓鱼网站使用了 EmailJS 的 API 来传输信息，甚至还会使用 Etherscan API 来检测地址是否真实存在。

这是发送到EmailJS API 的请求接口，可以发现用户输入的地址或者私钥信息会通过该接口发送到骗子的邮箱(abpulimali@gmail[.]com)。

至此，骗局已经相当明确。据用户反馈，骗子最初通过X 平台的评论区和私信联系他，并在对话中声称“你签署了钓鱼签名”，随后主动提供“撤销授权工具”的链接。

从聊天记录来看，骗子深谙社会工程术，特意将未知工具放在前面，而把知名的Revoke 放在后面。大家一般倾向点击前面的链接，查询发现地址“确有风险”后，即使再用 Revoke 交叉验证未见异常，也反而会怀疑是不是 Revoke 没识别出来。

骗子还提供了所谓的“操作教程”，引导用户将私钥粘贴进钓鱼网站的输入框，以“取消与恶意合约的交互”为由行骗，甚至还提供了语音指导服务，全方位催促用户上钩。

用户在察觉异样后并未配合，不过骗子没有放弃，为了进一步施压并取信于人，骗子建议用户去咨询慢雾安全团队。一些警惕性不高的用户，听到对方愿意请安全公司验证，可能会因此放松警惕，误以为对方不是骗子。而骗子则往往赌定用户不会真的去核实，甚至在行骗过程中直接@SlowMist_Team，试图利用安全公司为自己背书。

幸运的是，这位用户足够警惕，并未按对方引导输入私钥，而是主动联系了慢雾安全团队核实情况，最终确认这是一场骗局，成功避免了资产损失。

多重安全专家身份加持

我们进一步调查发现，骗子在Telegram 上盗用了知名链上侦探 ZachXBT 的头像。

由于用户没有继续配合，骗子随后又冒充慢雾员工，继续尝试联系和行骗。

查看骗子的X 账号(@Titanspace3)，该账号拥有 7.4 万粉丝，注册于 2021 年，但直到 2024 年才开始活跃。账号内容以转发安全研究员、安全公司和媒体动态为主，自称专注区块链安全领域，明显是买来的账号。这类账号买卖在灰产中很常见，相关内容我们此前已有分析，见真假项目方 | 警惕评论区高仿号钓鱼。

结合其早期推文语言风格与用户提供的线索，推测该骗子可能来自印尼。

目前，该账号仍活跃在X 平台，不断以“善意提醒”的名义留言，引导 Web3 用户点击钓鱼链接，并诱导他们泄露私钥。Web3 反诈骗平台 Scam Sniffer 已经将该网站标记为恶意。

写在最后

从伪造“授权风险”页面，到冒充安全公司员工，一步步引导用户泄露私钥，这类骗局的手法正变得愈发精细。骗子认为只要自己包装得够专业，大多数人就不会去深究验证，反而会被他们制造的“紧迫感”牵着走。

对此，我们特别提醒广大用户，务必警惕打着安全旗号行不轨之事的人。在区块链这片黑暗森林中，唯有保持零信任态度与持续验证意识，才能守住资产安全的最后一道防线。无论对方自称是谁，无论对方声称情况多紧急，请务必保持冷静，通过官方渠道进行验证，切勿因一时慌乱而交出私钥或助记词。慢雾安全团队也将持续披露此类案例，帮助用户识别风险、提高警惕，共同守护 Web3 世界的安全底线。