什麼是 Wallet Drainer 惡意軟體及其運作方式？

定義及核心機制

1. 錢包流失惡意軟體是一類專門針對網路瀏覽器和桌面應用程式中的加密貨幣錢包介面、私鑰輸入和會話令牌而設計的犯罪軟體。

2.它的運作方式是向受感染的網站或瀏覽器擴充功能注入惡意JavaScript，從而在涉及錢包位址的複製貼上操作期間即時攔截剪貼簿內容。

3. 惡意軟體會監視活動瀏覽器標籤中的已知錢包域模式（例如 metamask.io、phantom.app 或 trustwallet.com），並僅在偵測到這些網域時才觸發有效負載執行。

4.一旦激活，它就會覆蓋模仿合法錢包用戶界面的虛假交易確認模式，誘騙用戶批准向攻擊者控制的地址進行轉賬，而不會出現篡改的視覺跡象。

5. 與一般木馬不同，錢包盜取者不會持續存在於主機系統上；它們完全在內存中執行，並在瀏覽器關閉時消失，留下最少的取證痕跡。

加密生態系中的感染載體

1. 受損的 npm 套件經常充當交付機制 - 開發人員在不知不覺中安裝了惡意依賴項，這些依賴項會掛接到建置流程中，並將 Drainer 腳本注入到生產前端套件中。

2. 透過非官方 Chrome Web Store 映像或 Telegram 管道分發的假錢包瀏覽器擴充功能包含混淆程式碼，僅在偵測到 MetaMask 注入網頁後才會啟動。

3. 釣魚網站冒充去中心化交易所 (DEX) 介面（例如欺騙性的 Uniswap 或 PancakeSwap 登陸頁面），在渲染任何功能性 UI 元素之前載入耗盡邏輯。

4. 標記為“智能合約審計工具”或“gas 優化實用程式”的惡意 GitHub 儲存庫提示用戶連接錢包進行“分析”，然後立即啟動未經授權的轉帳。

5. 當使用者造訪被駭的加密貨幣新聞入口網站或論壇線程時，會發生偷渡式下載，其中註入的 iframe 會從防彈託管提供者加載遠端排水器有效負載。

執行期間的技術行為

1. 惡意軟體劫持ethereum.request() API 調用，在所有交易請求到達用戶的錢包擴展之前攔截所有交易請求，並用攻擊者控制的位址替換目標位址。

2. 它修改 DOM 以通過將其顯示屬性設置為 none 來抑制原始錢包彈出窗口，同時渲染看起來相同但在其他地方路由批准的克隆 UI 元素。

3. 剪貼簿監控是透過document.addEventListener('copy', ...)實現的，捕獲每個複製的字串並即時用攻擊者擁有的等效地址替換以太坊或 Solana 地址。

4.會話令牌竊取的目標是包含錢包連線狀態的瀏覽器本機儲存項目，允許攻擊者在多個 dApp 之間重複使用經過驗證的會話，而無需重新核准。

5. 某些變體將 WebSocket 連線部署到 Tor 隱藏服務上託管的命令和控制伺服器，在會話中接收動態位址清單和設定更新。

防禦對策

1. 切勿在官方商店之外安裝瀏覽器擴充功能 - 在授予「讀取和更改網站資料」等權限之前，請驗證發布者名稱、評論計數和更新頻率。

2. 停用錢包擴充中的自動連接功能，並手動批准每個 dApp 連接，而不是允許跨網域持續存取。

3. 使用具有基於螢幕的交易驗證功能的硬體錢包－惡意軟體無法更改裝置顯示器上實際顯示的內容。

4. 簽名後立即使用 Etherscan 或 Solscan 等區塊鏈瀏覽器監控傳出交易，在區塊確認前檢查收件人地址和值。

5. 使用瀏覽器沙箱工具（例如 Firefox 多帳戶容器）將錢包互動與一般瀏覽活動隔離。

常見問題解答

Q：錢包耗盡惡意軟體會影響行動錢包嗎？是的。據觀察，偽裝成錢包更新程式或區塊鏈瀏覽器的 Android APK 會安裝覆蓋權限，以攔截運行過時作業系統版本的裝置上的交易確認。

Q：使用 VPN 是否可以防止錢包耗盡攻擊？不會。錢包流失者在瀏覽器或擴充環境內的應用程式層運作； VPN 提供的網路層級加密不會幹擾 DOM 操作或剪貼簿掛鉤。

Q：開源錢包專案是否不受 Drainer 整合的影響？不會。後來發現幾個經過審計的 GitHub 儲存庫包含受損的 CI/CD 管道，這些管道在自動建置期間插入了排水器邏輯，而不會改變原始碼可見性。

Q：防毒軟體可以偵測錢包耗盡腳本嗎？很少。大多數排水器透過使用多態混淆、域生成演算法和逃避啟發式分析引擎的零日利用技術來避免基於簽名的檢測。