DC空投核对台DROPCHECK
工具防骗自查空投教程链上科普关于注册 OKX

钱包盗刮器(Drainer)是什么,为什么你签一下币就没了

钱包盗刮器示意:一个看似正常的签名弹窗,点确认后资产被一次转走
盗刮器最狠的地方,是让你亲手把资产签走——弹窗看着人畜无害,点下确认那一刻就再也收不回来。

我第一次被盗刮器咬到,是在一个看着挺正规的“空投领取”页面上。当时钱包弹出一个签名请求,我扫了一眼,心想不就是登录确认嘛,手一抖点了确认。三分钟后,钱包里那只我留了小半年的 NFT 系列,连同同一个合约下的一整类资产,全没了。没有木马,没有病毒,杀毒软件一声没吭——因为不是它们放我进去的,是我自己按了那个“确认”。这篇属于防骗自查,我想把盗刮器这套东西掰开讲清楚:它是什么、怎么就靠你一次签名把币卷走、从哪些渠道找到你,以及最关键的——怎么防,还有万一像我一样中了招,怎么抢那几分钟。

盗刮器到底是什么

先纠正一个最常见的误解:盗刮器(drainer,也叫钱包吸血脚本、盗刮脚本)不是那种偷偷装进你电脑、翻你文件的病毒木马。它更像一套“盗刮即服务”(安全圈常称 drainer-as-a-service,DaaS)的商业化工具——有人专门写好这套恶意脚本,然后按月租、或者按分成的方式租给一批批骗子用。骗子不需要懂技术,交钱拿到一个现成的钓鱼页模板,改改文案挂上去,就能坐等收网。

它的本质,是把你诱导到一个恶意页面,让你亲手签一笔“看似正常、实则把资产转走”的交易或签名。整个盗窃动作发生在链上,用的是区块链本来就允许的授权和转账机制——只不过你以为自己在“登录”“领空投”“验证钱包”,实际签下去的是把资产控制权交出去的一纸授权。想从底层理解“交易”和“授权”到底是什么,以太坊基金会的中文文档讲得比较干净(交易是什么)。

说明

“盗刮即服务”意味着攻击门槛被拉得极低。你面对的往往不是某个高手,而是一个买了工具、批量撒网的普通骗子。这反过来提醒我们:防线不能指望“我又不是大户,骗子看不上我”——脚本是自动扫描的,谁的钱包连上来就吸谁,不挑人。

它是怎么一步到位把币卷走的

盗刮器最反直觉的一点是:钱不是被“黑”走的,是你“自愿”签名转走的。而链上签名一旦确认,通常不可逆——没有客服、没有撤销键、没有“找回密码”。它主要靠三种签名把你套进去,弄懂这三种,你就懂了大半。

  • setApprovalForAll / 无限额度授权。这是针对 NFT 和代币的经典手法。一个 setApprovalForAll 授权,等于一次性把你某个合约下整类资产的转移权限交给对方;代币的无限额度 approve 同理。签完你钱包里看着还在,但对方随时能把它们全搬走。以太坊官方对代币授权有专门说明(ERC-20 与授权)。
  • Permit / 离线签名的 gasless 授权。更隐蔽的一种。Permit 让你不用发一笔链上交易、只做一个“离线签名”就完成授权,你连 gas 都不用付,弹窗看着人畜无害,很多人以为“没花钱=没事”。但这个签名本身就是授权凭证,对方拿去链上一提交,资产照走。基于 Permit2 的钓鱼尤其常见,我们单独写了一篇(Permit2 签名钓鱼)。
  • eth_sign 盲签。最危险的一类。eth_sign 让你签一串看不懂的十六进制数据,钱包往往只能显示乱码、无法翻译成人话,这就是“盲签”。你根本不知道自己签的是什么,可能就是一笔已经拼好的转账授权。正规应用几乎不用它,一旦弹出这种签名,基本可以直接判定是钓鱼。签名到底有哪些坑,可以细看我们这篇(签名风险)。

这三种的共同点是:一次签名,可能授权走的是一整类资产,而不是一笔小额。这也是为什么“签一下就没了”——你以为在授权一件小事,实际交出的是整个抽屉的钥匙。

当心

看到弹窗里出现 setApprovalForAllPermitApprove 且额度是天文数字(或写着“无限/unlimited”)、或者是一串完全看不懂的 eth_sign 数据,先停手。这几个词配上一个你不完全信任的页面,命中率极高。看不懂的签名,宁可错杀,不要放过。

它是怎么找到你的

盗刮器自己不会走路,是骗子把你引过去的。搞清楚投放渠道,你就能在“连钱包”之前多一道警觉。常见的几条路:

  • 假空投站。最主流。仿一个知名项目的领取页,域名差一两个字母,挂上倒计时和“限时领取”,你一急就连钱包、一签就中。假空投这套局的完整拆解在这篇(防假空投与授权钓鱼)。
  • Google / X 搜索广告。骗子买关键词广告,让钓鱼站排在搜索结果最上面,甚至盖过官网。你搜“某某项目 领空投”,第一个点进去就是假的。
  • Discord / Telegram 私信。“恭喜你中签”“限量白名单,点这里认领”,配一个链接。真项目几乎从不私信你去点链接领东西。
  • 假客服。你在群里问个问题,马上有“官方客服”私信你,热情地发来一个“验证钱包”的链接。官方客服不会主动私信,更不会让你签名。
  • 被劫持的官方账号发链接。项目方的 X、Discord 有时会被入侵,用真账号发假链接。这种最难防,所以哪怕来源看着是官方,涉及签名也要多一层核对。怎么核实官方渠道,我们有专门一篇(辨别官方渠道)。
  • 假钱包 App。应用商店里仿冒的钱包,或第三方下载的“钱包”,装上去导入助记词,等于直接把家门钥匙交出去。ScamSniffer 长期追踪这类钓鱼投放,可作参考(scamsniffer.io)。
小提示

给自己定一条铁律:凡是别人主动送到你面前的链接(私信、广告、评论区),一律不点去连钱包。要访问一个项目,自己从官方文档、官方置顶或收藏夹进入。把“主动送上门的都可疑”当默认设置,能挡掉绝大多数盗刮器。

连钱包之前,先过一遍授权风险

盗刮器吃的就是“顺手一签”。花两分钟对照清单,把常见的高危授权和盲签场景在脑子里过一遍,真遇到弹窗时手就不会那么快。

一眼识别与硬防

盗刮器再花哨,防它的动作其实就几条,而且都很硬。把这几条变成肌肉记忆,比记住一百种话术管用。

  • 核对域名,逐字看。连钱包前,把地址栏的域名一个字母一个字母对一遍,警惕 0 冒充 o、多一个连字符、换个后缀这类障眼法。收藏夹里存官方地址,永远从收藏夹进。
  • 绝不盲签。看不懂的签名一律不签。正规操作会把你要签什么讲清楚,MetaMask 官方帮助里也解释了怎么读懂签名请求(MetaMask 支持中心)。
  • 看清签名内容。弹窗里出现 setApprovalForAll、无限额度、Permiteth_sign,都要停下来想清楚这个授权给了谁、给了多大。看不明白就取消。
  • 用硬件钱包。它能保护私钥不外泄,是重要一层。但记住它挡不住盲签——你在它上面按确认,授权照样生效。
  • 交互用小额“隔离钱包”。撸空投、连陌生站,专门开一个只放少量资产的钱包去干,主力资产和这个地址彻底隔开。就算被吸,损失也被框在小额里。
  • 定期撤授权。用 revoke.cash 这类官方工具,隔段时间检查并撤销那些用不上的旧授权(revoke.cash/zh)。授权检查与撤销的完整做法在这篇(授权检查与撤销)。你也能在 Etherscan 的 Token Approval 工具里查自己的授权情况(Etherscan 授权检查器)。
说明

“隔离钱包”这一条被严重低估。它不需要你懂任何技术,只要多建一个地址、平时主力资产不放进去,就能把“连陌生站”这件本质有风险的事,变成一件“最坏也就损失一点”的事。助记词怎么分开管理、别搞混,可以看我们的助记词安全篇(助记词安全)。

万一已经中招怎么办

先别慌,也别自责——我中过,很多老手也中过。关键是签授权≠钱立刻没,很多盗刮器靠机器人盯着,等时机才下手,你手里往往还有几分钟到几十分钟的窗口。抢的就是这个窗口,按顺序做:

  • 立刻撤销授权。用 revoke.cash 之类的官方工具,把刚才那笔可疑授权撤掉,堵住对方“可以转走”的那个口子。这一步是止血。
  • 抢先把剩余资产转走。同时(如果人手够,最好并行)把这个钱包里还没被动的资产,转到一个全新的、从没连过任何陌生站的干净钱包。撤授权是堵漏,转资产是保本,两件事一起抢。
  • 换钱包。中招的这个地址,之后就别再当主力用了。哪怕撤了授权,也当它“脏了”,重要资产迁到新地址。
  • 别信“代追回”。你一旦发帖求助,马上会有一堆“黑客追币”“官方追回”私信你,这些百分之百是二次诈骗——链上转账不可逆,没有任何人能帮你追回,找你的都是来收第二茬的。
当心

被盗后最危险的不是第一次损失,而是慌乱中的第二次。骗子专门盯着受害者,用“我能帮你追回”“交点保证金就解冻”把你再割一刀。记住一句话:钱丢了就是丢了,任何声称能追回的都是新的骗局。该做的是撤授权、转资产、报个平安然后止损,不是到处找“大神”。

常见误区速查表

盗刮器能得手,很大程度上靠的是几个流传很广的错误安全感。逐条拆掉它们,比记住招式更重要。

常见说法实际情况
“我只是点了链接、没签名,所以没事”连接≠签名,确实没直接被盗,但要立即断开连接并检查有没有误签授权
“有硬件钱包就绝对安全”硬件钱包防私钥外泄,但盲签一样会被盗,签授权照样生效
“这是小号,被盗无所谓”小号的授权也可能被连带利用,且暴露的资产照样是真金白银
“Permit 签名不花 gas,应该很安全”离线签名本身就是授权凭证,不花钱不代表没风险,反而更隐蔽
“杀毒软件没报警,页面就是安全的”盗刮器跑在网页里、靠你亲手签名,杀毒软件通常拦不住
“被盗了找‘追回服务’能要回来”链上转账不可逆,所有‘代追回’都是二次诈骗

这几条里,最害人的是“小号无所谓”和“硬件钱包绝对安全”。前者让人对隔离钱包掉以轻心,结果小号里也放了不该放的资产、或授权被连带利用;后者让人以为按了硬件确认就万无一失,恰恰在盲签上翻车。把这两个错觉去掉,你的防线就稳了一大半。如果你还想更系统地建立“怎么安全参与”的整体框架,撤授权、辨渠道、防钓鱼这几篇串起来看会更完整(授权检查与撤销辨别官方渠道)。OKX 帮助中心也整理过一些防钓鱼的基础提示可作交叉参考(okx.com/help)。

怀疑签过危险授权?先自查,别干等

盗刮器的授权往往不会立刻动手。趁这个窗口,把授权和助记词的安全状况过一遍,该撤的撤、该迁的迁。

回到开头那只被卷走的 NFT。事后我想明白一件事:盗刮器从头到尾没有攻破任何技术防线,它攻破的是我那一秒的“反正应该没事”。技术上你能做的——隔离钱包、硬件钱包、定期撤授权——都是在给这一秒买保险;而真正决定成败的,是弹窗跳出来时你有没有停下来把它看清楚。把“看不懂就不签、主动送来的链接不点”刻进本能,盗刮器再便宜再泛滥,也很难在你身上得手。

陈默
空投核对台编辑组 · 编辑(笔名)

自己撸过空投也踩过假空投的坑,现在专门把“怎么安全参与”写清楚。文章只讲方法、不荐项目、不预测价格。

常见问题

盗刮器和普通病毒木马有什么区别?

传统木马偷的是你电脑里的文件或密码,得先在你机器上跑起来。盗刮器不一样,它多数时候根本不碰你的电脑,而是跑在一个网页里,靠你在浏览器插件钱包里亲手点“确认”来完成盗窃。它偷的不是密码,而是你的一次签名或一次授权,之后它用这个授权去链上把资产转走。所以杀毒软件常常拦不住它,真正的防线是你自己那一下要不要签。

我只是连接了钱包、没签任何东西,会被盗吗?

单纯的“连接钱包”只是让网站读到你的地址、看到你的余额,本身不会转走资产,真正动你钱的是之后的签名或授权。但连接是盗刮器的第一步:它会立刻扫描你钱包里最值钱的资产,然后弹出一个专门针对这些资产的授权或签名请求,把话术设计得让你顺手就点。所以正确做法是连了发现不对就马上断开连接,并且绝不在这种页面上签任何看不懂的东西。

用硬件钱包(冷钱包)是不是就绝对安全了?

不是。硬件钱包能防住的是私钥被偷,因为私钥从不离开设备。但盗刮器要的往往不是私钥,而是你的一次授权或离线签名——只要你在硬件钱包上按了确认,这笔授权照样生效,资产照样能被转走。硬件钱包上的小屏幕看不清复杂签名内容,反而容易盲签。它是重要一层防护,但不能替代“看清再签、绝不盲签”这条底线。

已经签了危险授权,钱还在,还来得及补救吗?

有可能来得及,要抢时间。授权只是给了对方“可以转走”的权限,不等于资产已经没了,很多盗刮器是靠机器人监控、等余额变多或时机合适才动手。所以第一时间做两件事:一是用 revoke.cash 之类的官方工具撤销那笔授权,二是抢在对方之前把钱包里剩下的资产转到一个全新的、干净的钱包。两件事同时抢,撤授权是堵住漏洞,转资产是保住本金。之后这个地址就别再当主力用了。