22億加密資產被騙走，攻擊者95%來自高中生！詐騙服務「NFT Drainer」是什麼？

7,300萬美元NFT被騙！攻擊者95%是高中生

加密貨幣的詐騙案件層出不窮，詐騙類型也不斷進化，甚至規模化發展成，人人都可以快速建立惡意網站的「惡意軟體即服務」（Malware-as-a-Service，MaaS）。

這類的服務可通稱為「NFT Drainer」。據調查報導，提供服務的業者，會向使用者收取部分盜取的贓款作為手續費，比例最高可達30％，

根據詐騙偵查平台Scam Sniffer的分析，有許多盜幣釣魚事件，與「NFT Drainer」有關。

知名的案例包括，最早期的「Monkey Drainer」，以及本月初（6月）OpenAI技術長推特被駭的「Pink Drainer」，到迷因幣PEPE幣交易員遭盜取近45萬美元的「Inferno Drainer」，被懷疑都是出自同一個詐騙集團。

一位自稱在NFT交易平台OpenSea資安團隊工作的安全研究員表示， 攻擊者中有95%是18歲以下的高中生，這群學生樂於在學校裡，分享自己如何賺錢和花錢，這也是為什麼，暑假期間的詐騙案件，呈現上升趨勢。

攻擊者透過通訊軟體Telegram和社群平台Discord，購買惡意軟體程式碼。

得手贓款後，這些攻擊者通常並不低調，會把錢大量花費在元宇宙遊戲平台Roblox中，用於購買高價的頭像、遊戲和皮膚（外型配件）。

其他常見的消費還有筆記型電腦、手機、名牌、鞋子、Uber Eat等日常用途，甚至花錢請人幫他們做作業，以及還喜歡在Discord上，觀看其他人玩線上撲克遊戲，每次下注金額高達4萬美元。

然而，為了隱藏自己的行蹤，攻擊者通常願意花錢，購買低收入國家國民的身份詳細資訊，在交易所上註冊帳號，讓交易的足跡變得較為複雜，難以捉摸。

常見的「NFT Drainer」詐騙手法有哪些？

「NFT drainers」的詐騙手法，通常會使用被盜用的Discord服務器、Twitter帳號，來進行釣魚攻擊。目前已知有至少900個Discord服務器，在過去的9個月中被入侵。

釣魚攻擊背後的駭客，除了在Telegram和Discord上，購買不同類型的Drainer程式碼外，還會購買錢包外掛程式，以此繞過一些保護措施，並同意將收益的20-30%，回饋給Drainer開發者。

此外，他們還會客製化自己的攻擊方法，例如駭入Discord服務器或Twitter帳號，並發送一個包含NFT Dranier程式碼的假網站，散播假新聞，一旦受害者點擊該連結，則竊取NFT或任何可以從錢包盜取的資產。

以目前Layer 2效率最高的跨鏈橋「Orbiter Finance」為例。上個月（5月），一名自稱來自加密新聞網站的記者，聯繫了其中一位Discord版主，並要求他填寫一份表格。版主沒有意識到，這個簡單的行為，會交出他們Discord服務器的控制權。

在那之後，駭客就封鎖了其他管理員的控制權限，並限制社群成員發送訊息的權限。同時，他們發布了一個假空投公告，將所有人導流到一個竊取他們NFT的釣魚網站，最後，團隊只能眼睜睜看著價值百萬美元的NFT和代幣被偷走。

至於，為什麼這種攻擊模式如此猖獗，也鮮少聽到有人因此被捕？是因為，多數情況下，警方對這樣的犯罪手段缺乏興趣，導致他們可以一直逍遙法外。

「NFT Drainer」的興起與發展

Monkey

「Monkey」是最早期的NFT Drainer之一，從去年8月創立Telegram頻道以來，直到10月才真正開始活躍起來，一直到今年2月底，宣布退役的幾個月中，他們的技術，被用於盜取2,200個，總超過價值930萬美元的NFT，以及額外700萬美元的加密貨幣。

在宣布退役的訊息中，該開發人員表示，「所有年輕網路罪犯，都不應追求容易得來的金錢。」

然而，他們卻告訴客戶，使用另一個競爭對手「Venom」的服務。

Venom

「Venom」也是最早的NFT Drainer之一，從開始以來，影響超過15,000名受害者，盜取了超過2,000件NFT，總共使用了530個釣魚網站，攻擊對象包括Arbitrum、Circle和Blur等加密項，共計賺取了2,900萬美元。

資安專家指出，雖然「Venom」技術不算領先，但他們是第一批可以跨鏈盜取NFT的Drainer之一，也是第一家用來盜取NFT市場Blur的公司。

其他：Inferno、Pussy、Angel

其他服務提供者還有「Inferno」，從11,000名受害者中盜取930萬美元；「Pussy」從3,000名受害者中，盜取了1,400萬美元；源自於俄羅斯駭客論壇的「Angel」，最近入侵加密錢包Zerion的Twitter帳號，從500名受害者中，盜取了100萬美元。

「NFT Drainer」開發者本人意外現身？

根據安全專家兼加密安全公司BlockMage聯合創辦人范特西（Fantasy）所述，去年10月底，當他正在了解，一款名為Wallet Guard的加密產品，可以如何防範釣魚攻擊時，在Discord社群認識到一位名為「BlockDev」的帳號，該帳號聲稱自己是資安研究員，且擁有一個Twitter帳號，主要發布有關漏洞的資安訊息。

BlockDev提出了，利用他自己開發的API，來攻擊惡意軟體開發者「Venom」的加密貨幣錢包，最後成功從Venom那，盜回了14,000美元的加密貨幣。過程中，范特西看著整個過程發生，並記下BlockDev執行攻擊的錢包。

在今年初，新型的NFT Drainer「Pink」問世，因為技術比先前更為先進，讓他很快變得流行起來，陸續攻擊了包括Orbiter Finance、LiFi、Flare和Evmos等Discords以及Steve Aoki的Twitter帳號等。

在范特西的追蹤與調查之後，發現其用於開發的資金來源，與BlockDev當時用於攻擊的錢包相同，且兩者也具有相似的行為模式，判斷「Pink」開發者，可能與BlockDev為同一人。

不久後，BlockDev刪除了他的Discord和Twitter帳號，也切斷了與范特西的聯繫。

然而，使用者的安全意識，是保護自己最好的方法。包括使用多個錢包，將大量資金存放在冷錢包中，將很久沒使用的代幣取消授權，或替錢包安裝外掛資安程式，都對於保護錢包非常有幫助。