自 2024 年开始，慢雾 (SlowMist) 推出了被盗表单分析系列，通过对每个季度收到的被盗表单进行统计和分析，以脱敏后的真实案例剖析常见或罕见的作恶手法。今年，我们继续延续这一系列，希望帮助行业参与者更好地理解和防范安全风险，保护自己的资产。

据统计，MistTrack Team 于 2025 年 Q1 季度共收到 5,830 份被盗表单，包括 417 份国内表单和 5,413 份海外表单，我们为这些表单做了免费的评估社区服务。（Ps. 本文内容仅针对来自表单提交的 Case，不包括通过邮箱或其他渠道联系的 Case）

MistTrack Team 在 Q1 季度协助 13 个被盗客户在 7 个平台成功冻结约 261 万美元的资金。

被盗原因

2025 年 Q1 的作恶手法中，私钥泄露成为被盗原因 Top1，我们一起来看下具体的情况：

假 Safeguard 验证

此类骗局主要分为两种，一种是盗取 Telegram 账号，骗子通过诱导用户输入手机号、验证码，甚至 Two-Step Verification 密码来窃取其 Telegram 账号，另一种是往用户电脑植入木马，也是近期出现较多的手法。

骗子常常创建假冒 KOL 的 X 账号，并在评论区附上 Telegram 链接，邀请用户加入“独家” Telegram 群组以获得投资信息。进入该 Telegram Channel 后，用户会被引导进行验证。点击 Tap to verify 后，会打开一个假冒的 Safeguard bot，表面上显示正在进行验证，该验证窗口持续时间极短，营造出一种紧迫感，迫使用户继续操作。

继续点击，结果“假装”显示验证不通过，最终让用户手动验证的提示界面出现了：

骗子很”贴心“地配置了 Step1, Step2, Step3，此时用户的剪贴板里已经有恶意代码，如果用户真的按照指南打开运行框，并 Ctrl + V 把恶意代码内容粘贴进运行框里，此时的状态就如下图，在运行框里并看不到全部内容，一大片空白的前面是 Telegram 字样及恶意代码。这些恶意代码通常是 Powershell 指令，执行后会悄无声息地下载更复杂的恶意代码，最终使电脑感染远程控制木马（如 Remcos）。一旦电脑被木马控制，黑客便能远程窃取电脑中的钱包文件、助记词、私钥、密码等敏感信息，甚至进行资产盗窃。

如果你是手机上打开的，骗子会一步步拿到你的 Telegram 权限：

如果你不是 Windows 电脑，而是 Mac 电脑，也一样有类似的方式来诱导你电脑中毒，套路类似，感兴趣可阅读新型手法｜Telegram 假 Safeguard 骗局。

恶意 Telegram Bot

近期，多位用户报告在使用交易机器人时被盗：

根据表单，最为常见的是在频道顶部出现了一个新的机器人，以为是官方新推出的，于是点进新机器人导入私钥绑定钱包，结果导致被盗。仔细一看，这个机器人前面有个 Ad 广告 (advertisement) 的字眼，这是 Telegram 自带的广告提示，由于这个恶意交易机器人出现在官方频道，用户很容易下意识认为是官方发布的，请大家仔细甄别。

此外，骗子还会假装是 Telegram 官方给你发送消息，以账号异常或登录过期等诈骗话术引导你点击诈骗链接：

建议用户首先确认自己的 Telegram app 是否通过官方渠道安装；在使用交易机器人时，如果遇到需要直接输入私钥的情况，请多一份怀疑；同时请不定期检查 Telegram 是否授权了假冒 bot，最好选择信誉良好的交易机器人，定期检查交易机器人平台的安全性，确保使用的是最新版本，增强私钥管理的能力。

电脑投毒

近期，多个用户向我们报告了电脑投毒事件，手法依旧是社会工程 + 恶意软件投毒，主要手法如下：

• 伪装身份：攻击者常伪装成知名 VC 或商业合作伙伴，通过 Telegram、LinkedIn 或电子邮件联系目标，以投资或合作为由提出投资或合作意向。

• 发送会议链接：攻击者诱骗目标加入“会议”，提供一个假的软件下载链接，如 talksy[.]ca。

• 引导安装恶意软件：一旦受害者下载并安装该软件，恶意脚本便会执行。

• 窃取数据：恶意软件会窃取系统密码、浏览器数据、加密钱包信息等敏感数据，部分变种会伪装成 MacOS 安全验证，要求受害者输入密码，从而获得更高级权限。

• 远程上传数据：攻击者会打包所有收集到的信息，并通过加密通道上传至 C2（攻击者控制的服务器）。

此外，攻击者还会通过盗取受害者的 Telegram 账户，冒充其本人向联系人发送消息，邀请对方加入虚假视频会议，进一步扩大攻击范围。Telegram 盗号目前都是老技巧，无非就是骗 Login code，骗二维码登录授权，电脑投毒，发现及时的话，需要尽快在 Telegram 设置里的 Privacy and Security -> Active sessions -> Terminate all other sessions，然后加上或修改 Two-Step Verification。

貔貅币

根据表单的统计，用户被诱导购买貔貅币的骗局只增不减。大部分都是有人私聊用户，获取信任后向用户推荐“貔貅币”，由于貔貅币本身没有实际的市场流通，投资者无法出售或者兑换，骗子会将获利资金转移至自己的钱包地址。在一些情况下，骗子会通过庞氏骗局的方式，使用新投资者的资金来支付给早期投资者，制造币种上涨的假象，从而吸引更多的投资者入场。当资金池达到一定规模后，骗子便会携款跑路。

此外，部分骗局还结合社交工程手法，例如通过虚假新闻、社群舆论操纵来制造 FOMO（害怕错过）的心理，迫使用户匆忙投资。建议用户在参与前，使用 Token 检测工具如 Goplus 对相关代币进行核查，最好查阅相关项目的白皮书、团队信息等，避免投资任何未经充分验证的 ICO 或新兴币种。同时，保持警惕，对于任何“保本高收益”的投资机会都应保持怀疑态度。

恶意软件 BOM

2 月，多名用户集中反馈钱包资产被盗。经 SlowMist AML 团队和 OKX Web3 安全团队分析，被盗案例均符合助记词 / 私钥泄漏的特征。进一步回访受害用户后发现，他们大多曾安装并使用过一款名为 BOM 的应用。深入调查表明，该应用实为精心伪装的诈骗软件，不法分子通过该软件诱导用户授权后，非法获取助记词 / 私钥权限，进而实施系统性资产转移并隐匿。

具体来说，该恶意 App 在进入合约页面后，以应用运行需要为由，欺骗用户授权本地文件以及相册权限。同时，获取用户授权后，该应用在后台扫描并收集设备相册中的媒体文件，打包并上传至服务端。如果用户文件或相册中有存储助记词、私钥相关信息，不法分子有可能利用该应用收集到的相关信息盗取用户钱包资产。感兴趣可阅读 OKX & SlowMist 联合发布｜Bom 恶意软件席卷上万用户，盗取资产超 182 万美元。

小红书诈骗

Q1 季度，用户在小红书遭遇诈骗的案例有所增加，且损失金额较大，达上百万美元。我们在小红书上搜索“加密货币”、“比特币”、“交易所”等关键词，可以看到许多用户在上面分享自己盈利 / 亏损的情况，比如“一天翻了 X 倍”、“勇闯币圈”、“百 U 战神”等，评论区里有不少用户“求带”，在骗子眼里，这就是一大片“鱼塘”。骗子在评论区钓鱼，自称提供交易所安装服务，接下来的套路相信大家可以猜到了，用户在进入 Web3 的第一步便中了骗子的圈套，下载了假的交易所，资金受损。有的骗子冒充所谓的“行业专家”或“投资达人”，向用户展示虚假的投资成功案例，建立“可信度”。接着私信向用户发送所谓的加密货币投资机会，声称有内部消息可以带领用户“稳赚不赔”，同时将沟通渠道转移到其他平台，继续行骗。请广大用户提高警惕，不要轻信他人，避免出现你想赚利息，而对方盯上本金的情况。

写在最后

在区块链安全的世界里，攻击者无处不在，防御者稍有疏忽便可能被盯上。关于如何应对设备感染了恶意软件，我们建议用户参考《区块链黑暗森林自救手册》中的建议：

(https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md)

如果您的加密货币不幸被盗，我们将免费提供案件评估的社区协助服务，仅需要您按照分类指引（资金被盗 / 遭遇诈骗 / 遭遇勒索）提交表单即可。同时，您提交的黑客地址也将同步至慢雾 InMist Lab 威胁情报合作网络进行风控。