揭秘 3.7 万钓鱼合约的欺诈手法与防御策略！

本研究已被计算机领域顶会 SIGMETRICS 2025 收录，相关数据集已开源：https://github.com/blocksecteam/phishing_contract_sigmetrics25

区块链的快速发展不仅吸引了大量用户和投资者，也使其成为钓鱼诈骗的重灾区。我们的最新研究发现，钓鱼团伙的作案手段正在不断升级——诈骗地址从 EOA 账户转向更加复杂的智能合约。

本文将分享我们关于钓鱼合约的最新研究成果，以及我们如何通过最及时、全面、精准的钓鱼情报，帮助机构保护用户资金安全，同时确保合规运营。

一、钓鱼合约的主要特征

早期钓鱼攻击主要依赖 EOA 实施：诈骗者诱导用户签署交易，该交易会将 ETH 或代币转入钓鱼团伙的 EOA 地址。但随着主流钱包（如 MetaMask、Coinbase）内置安全检测机制，这种模式已逐渐失效——平台在检测到用户向恶意 EOA 转账时，会向用户发起警示。

为了绕过主流钱包的安全检测机制，钓鱼团伙将诈骗手法进行了升级，通过部署钓鱼合约并伪装成合法项目方来掩盖其诈骗意图。这种方式不再是直接将资产转移到攻击者的 EOA，而是诱骗受害者签署与恶意合约交互的交易，进而在不知情的情况下将代币控制权拱手相让。

这些钓鱼合约通常包含以下特点：

迷惑性的可支付函数：以诸如“Claim”或“SecurityUpdate”等名称伪装，诱骗用户发送 ETH，以盗取 ETH 资产。
多重调用函数：将多个代币转账操作打包成一笔交易，在用户不知情授权后，通过单笔交易批量转移用户已授权的 ERC20 代币及 NFT，从而盗取用户资产。
二、钓鱼合约检测手段及发现

本研究聚焦于以太坊钓鱼合约。为实现大规模钓鱼合约检测，我们首先从一个合约的字节码中提取可疑函数，然后进行交易模拟执行，根据模拟结果判断其是否为钓鱼合约。通过该方法，我们成功识别出 2022 年 12 月 29 日至 2025 年 1 月 1 日期间部署的 37654 个钓鱼合约。

2.1 用户损失概况

为了进一步了解钓鱼合约对用户带来的危害，我们从钓鱼合约的所有交易中收集了 211319 笔钓鱼交易。这些钓鱼交易造成了171984 名用户共计 1.907 亿美元的资产损失。其中，89.9% 的受害者损失低于 1000 美元。不少用户因未撤销代币授权或签署多笔钓鱼诈骗交易而反复受害。经验较少的 Web3 用户成为了钓鱼诈骗的主要目标。

2.2 钓鱼合约分布

大多数钓鱼合约（86.5%）同时包含上文提到的两类钓鱼诈骗函数，用于针对不同类型的代币发起攻击。70.9% 的诈骗合约收益低于 1000 美元；96.2% 的合约活跃时间不足一天。我们发现钓鱼团伙通过不断部署新的诈骗合约来绕过现有的诈骗地址标签安全机制。

2.3 合约部署者分布

在分析钓鱼合约的部署者时，我们发现 91.1% 的钓鱼合约是由 9 个账户部署的。钓鱼团伙通常利用从受害者处窃取的代币为新钓鱼合约的部署提供资金。值得注意的是，这 9 个主要部署者中有 8 个账户存在资金往来关联，表明他们是一个协同作案的巨大钓鱼团伙，该团伙部署了 85.7% 的钓鱼合约。

三、钓鱼合约防范策略

我们的研究揭示了以太坊上广泛存在的钓鱼合约对用户造成的重大损失。因此我们提出以下策略，希望能帮助用户防范这些威胁。

3.1 我们对用户的安全建议

用户在日常操作中建议采取以下防护措施：当访问 DApp 时，应着重核查目标网站的多维度信息，包括但不限于网址、主页、子页链接以及官方社媒（如 Twitter、Discord 等）。在签署交易之前，用户应认真查看交易详情，包括账户信息和函数调用参数。此外，用户还可以在 Etherscan 上核实地址标签，以确认是否为经认证的官方账户。

3.2 我们对服务提供商的安全建议

CEX、DEX、钱包、支付平台、稳定币项目以及跨链桥在内的服务提供商，需持续维护并实时更新钓鱼网站及高风险账户数据库。对于部署钓鱼合约的账户，应限制或终止其使用相关服务的权限。然而，区块链的匿名性以及链上交互（特别是跨链交互）中资产流动路径的复杂性，为机构进行风险评估带来了挑战。

为解决这些痛点，我们已将上述研究成果应用到Phalcon Compliance APP中。该平台通过涵盖 4 亿 + 地址标签的实时数据库、支持无限跳交易追踪和 AI 驱动的行为分析引擎，帮助机构快速识别钓鱼地址以及与其交互的可疑实体。

除钓鱼风险外，Phalcon Compliance APP 还可以检测其他高风险实体，例如攻击者、受制裁实体、混币器、洗钱地址和暗网地址，以及一些可疑行为，比如高频转账、大额转账和中转地址。在系统识别到非法活动后，机构可以通过 7 种通知渠道收到告警信息，迅速获知相关风险，并通过任务委派、添加评论、黑名单管理、一键导出可疑交易报告等功能识别和降低风险，轻松实现合规。

🔥 点击文章左下角「阅读原文」或访问下方链接，立即预约 Phalcon Compliance APP 产品演示！前 30 位预约用户可免费试用！

🔗 https://blocksec.com/book-demo

关于 BlockSec

BlockSec 是全球领先的区块链安全公司，于 2021 年由多位业内知名专家联合创立。BlockSec 致力于提升 Web3 世界的安全性和易用性，并提供一站式安全服务，包括安全审计服务、安全与合规管理平台 BlockSec Phalcon、资金追踪调查平台 MetaSleuth 等。

目前，BlockSec 已服务全球逾 500 家客户，既涵盖 Web3 知名公司 Coinbase、Cobo、Uniswap、Compound、MetaMask、Bybit、Mantle、Puffer、FBTC、Manta、Merlin、PancakeSwap 等，也包括了权威监管机构及咨询机构，如联合国、FBI、SFC、PwC、FTI Consulting 等。

官网：https://blocksec.com/
Twitter：https://twitter.com/BlockSecTeam

推荐专栏