多链加密钱包遭恶意工具侵袭，伪造授权成主要手段

一款名为StepDrainer的跨链加密资产窃取程序正在以太坊、BNB链、Arbitrum、Polygon等至少17个主流区块链网络中活跃运作。该工具以伪装成合法Web3服务的形式存在，通过诱导用户误授权转账实现资金转移，部分界面甚至模仿Web3Modal标准连接流程，极具欺骗性。

借道真实合约接口制造信任假象

攻击者利用Seaport与Permit v2等广泛使用的智能合约协议，生成外观合规的钱包授权提示界面，但其中显示的交易内容为虚假构造。有案例显示，受害者界面曾出现“+500 USDT”的误导性收款信息，使授权行为看似无风险，实则完成资产泄露。

该工具采用动态脚本注入机制，从链上分散的账户中实时获取配置参数，避免将恶意代码固化于可被扫描的地址，从而有效规避传统安全检测系统。

黑灰产链条成熟，工具即服务模式泛滥

研究团队确认，StepDrainer并非个体开发，而是依托高度组织化的地下产业链，提供标准化的“攻击套件”。此类工具包允许低门槛攻击者快速集成钱包权限窃取功能至现有诈骗项目中，推动相关犯罪活动规模化扩张。

Windows平台遭遇新式勒索型恶意软件入侵

除针对Web3生态的攻击外，研究人员还发现名为EtherRAT的新一代恶意软件正瞄准Windows系统。该程序伪装成Tftpd64网络管理工具，将Node.js运行环境隐藏于安装包内，并通过修改注册表实现持久化驻留，借助PowerShell执行系统侦察。

此前该恶意软件主要面向Linux环境，现已被重构并扩展至Windows平台。其在后台静默运行时会主动探测杀毒软件状态、系统策略、域控信息及硬件特征，随后启动加密资产窃取流程。

24小时超500个钱包遭劫，资金集中流入单一地址

最新链上数据显示，过去24小时内已有超过500个以太坊钱包遭受攻击，损失金额逾80万美元。分析表明，多数被盗钱包长期处于休眠状态，且所有被窃资金均被统一转入由攻击方控制的单一接收地址，呈现高度集中的洗钱特征。

强化身份验证与授权管控是关键防线

安全专家建议用户在访问未知来源网站时务必核验域名真实性，签署任何交易前必须逐项确认收款方与金额，对已授予的无限额代币授权应及时撤销。保持高度警惕和规范操作习惯，是抵御此类社会工程攻击的核心前提。