StepDrainer可跨逾20个网络窃取加密钱包资产

一款名为StepDrainer的加密资产窃取工具正在以太坊、BNB链、Arbitrum、Polygon及其他至少17个区块链网络上盗取用户资金。该工具以恶意软件服务形式运作，通过仿冒真实的Web3钱包弹窗诱导用户授权转账，部分界面伪装成Web3Modal钱包连接页面。

StepDrainer滥用Seaport和Permit v2等真实智能合约工具，展示看似正常的钱包授权弹窗，但其中交易信息实属伪造。网络安全研究人员发现，曾有受害者弹窗显示“+500 USDT”的虚假收款提示，使授权操作显得安全可信。

该工具通过动态脚本加载恶意代码，并从去中心化的链上账户获取配置。这种设计使攻击者能够规避常规安全工具的检测，因为恶意代码并未存储在易于扫描的固定位置。

研究人员指出，StepDrainer并非个人项目，成熟的黑色产业链正在销售即用型窃取工具包，使众多攻击者能轻易为现有诈骗方案添加钱包窃取功能。

除StepDrainer外，研究人员还发现针对Windows系统的EtherRAT恶意软件。该软件通过伪造的Tftpd64网络管理工具传播，将Node.js隐藏于虚假安装程序中，并利用Windows注册表实现持久驻留，通过PowerShell进行系统探测。

EtherRAT最初针对Linux系统，现将其恶意技术与加密资产窃取能力扩展至Windows平台。该软件在后台静默运行时，会先行检测杀毒软件、系统设置、域信息及硬件配置，随后启动窃取流程。

近期数据显示，过去24小时内已有超过500个以太坊钱包遭受攻击，价值逾80万美元的加密资产被窃取后通过跨链协议转移。链上分析表明，多数被盗钱包已休眠超过7年，所有资金均流向攻击者控制的单一钱包地址。

网络安全研究人员建议用户连接未知网站时需核实域名信息，签署交易前仔细核对交易详情，并及时撤销无限额代币授权。保持安全警惕是保护数字资产的首要防线。