Safe Labs 发现的 5000 个 Drainer 地址说明什么风险?
我看到 Safe Labs 那份 5000 个 Drainer 地址清单的当下,第一反应不是「震惊」,而是「这个数字其实早就该出现了」。市场上能批量抽干钱包的工具就那几套——Inferno Drainer、Pink Drainer、Angel Drainer、再加几个仿盘——每套工具背后都有几百到上千个收款与中转地址。把它们汇总一遍,落到 5000 这个量级,正好。
但这个量级一旦写在报告里、配上链上数据,给普通持币人的认知冲击就完全不一样了。我把它拆开讲一遍。
这份报告到底说了什么
Safe Labs 的这次披露,重点不在「我们发现了 5000 个坏地址」,而在于关联画像:这 5000 个地址不是孤立的,它们之间通过资金归集路径、Gas 充值来源、Tornado-Cash 类混币器使用模式形成了几组互相关联的集群。
报告里我读到比较关键的几条:
- 大约 76% 的地址最终把脏款汇向不到 30 个主归集钱包。
- 这些归集钱包又有相当一部分使用同一类自动化脚本,行为指纹高度一致。
- 在 2025 全年和 2026 前几个月里,这一批地址合计接收的可疑入账金额在数亿美元量级。
也就是说,虽然地址有 5000 个,幕后操作团队大概率只是十几个。这个判断对普通人挺重要:你不是面对一团散沙,你面对的是少数几个组织化运营的工厂。
为什么是 5000 这个量级
5000 这个数字看起来吓人,其实在 Drainer 经济里是「正常配置」。每一套 Drainer 即服务(Drainer-as-a-Service,DaaS)平台,都会给加盟者发几百到上千个一次性收款地址:
- 降低单地址的暴露面:一个地址被标红了,下一笔就换。
- 方便分润:每个加盟者用独立地址,平台抽走固定比例后剩下的归加盟者。
- 方便混淆链上追踪:5000 个地址按几十层中转跳,链上分析工具的追踪成本被人为抬高。
我之前在 钱包 Drainer 工具的防御角度 里写过 Drainer 工具的整体生态。Safe Labs 这次披露相当于把这个生态的「收款层」给量化了。
5000 个地址,等于多少受害人
报告本身没给精确的受害人数,但顺着资金流可以做个粗算。
| 维度 | 估算 |
|---|---|
| 涉案地址数 | ~5000 |
| 主归集钱包 | <30 |
| 链上可疑入账(2025 全年+2026Q1) | 数亿美元 |
| 平均单笔被抽干金额 | $3k–$25k 区间居多 |
| 受害人数量级 | 几万到十几万 |
几万到十几万这个量级,意味着钱包被抽干在 2025–2026 这一波里,已经不是「小概率事件」,而是普通持币人会在自己社交圈听到的事件了。
这份报告对我自己的提醒
读完报告之后,我重新审视了一遍自己的链上习惯,把几条原本「想做但还没固化」的事情做成了规则。
一、降低长期暴露的代币授权
报告里很多被 Drain 的钱包,问题不出在新签的某一笔,而出在几个月甚至一年前的旧授权仍然有效。Drainer 工具只是触发了一次旧 Approval。
我现在把撤销代币授权做成了季度例行,这件事单独写在另一篇里讲,这里就不展开。
二、热钱包余额上限
如果你看 5000 个地址里被抽走金额的分布,会发现单笔抽干越大,越集中在那种「热钱包里囤了主仓位」的人。Drainer 不是对所有钱包都有同样的兴趣,它会优先吃肥羊。
所以一个简单规则:热钱包余额 ≤ 你愿意丢掉的金额。其余仓位放冷或放 多签。
三、不和未知合约做新签名
报告里另一类高频抽干路径是「点开一个看起来正常的 mint / claim 页面,签了一个看似无关的 message」。这就是签名钓鱼。我在 快速识别钓鱼链接 里讲过 URL 层的识别,但更深的一层是永远在硬件钱包屏幕上读完整的 calldata 再点确认。
普通人该怎么用这份报告
5000 个地址完整列表对普通人没用——你不会一个一个去比对。但报告暗含的几个行为信号是可以直接拿来用的:
- 收到带链接的私信,先预设这就是 Drainer 引流,再去找证据排除它。
- 任何 mint、空投、claim,先去revoke.cash 类工具看自己钱包的现有授权,再决定是否新增。
- 单笔大额转账之前,按照大额转账十步清单 走一遍。
- 如果怀疑助记词曾经在网络环境里出现过,立刻按 疑似助记词泄露的应急处理 行动。
报告之外还能看出什么
我觉得这份报告里最被低估的一句话是:「这些 Drainer 团队的运营成本,比绝大多数加密项目方还低」。它意味着:
- 你不会等他们「破产」——这门生意现金流良好。
- 你不会等链上分析机构「全部抓住」——5000 个地址只是露头的一部分。
- 唯一靠得住的,是让自己的钱包不在他们的目标集合里。
这是为什么我反复说,防御不是事件,是习惯。Safe Labs 替我们做完了情报工作,剩下的部分要自己做。
这件事提醒我的一个动作
读这份报告时我顺手做了一件事:把自己常用的几个钱包,挨个粘进 revoke.cash 看一遍授权列表。其中两个钱包里我发现了 2024 年试用某个 DEX 时残留的无限额度授权——那个 DEX 我已经一年多没用过了。如果对应合约今年被劫持或被收购,这笔授权随时可以被调用。
我当场撤掉。这一步不花钱、不花时间,但它是把自己从「5000 个地址未来可能抽干的钱包池」里搬出来的最直接动作。
不读报告,可能再过一年我也想不起来去看它。这就是这份报告对我的真实价值。
本文仅作科普,不构成投资建议。加密资产波动大、风险高——永远只投入你亏得起的钱。