钱包 Drainer 工具是什么?怎么防住它一键清空地址
“Drainer”(清空器)这个词在 2024 年还是小圈子的术语,到 2026 年已经变成新闻常客。Safe Labs 在 2026 年初的链上分析报告里,把全网约 5,000 个地址直接标签为"Drainer 工具相关",这些工具被打包出售,最便宜的版本几百美元,订阅制按月收费,自带 UI 与统计后台,已经完全产品化。攻击者不用懂代码,只要会运营钓鱼前端,就能把任意受害人钱包里"看见的、能签的、有授权的"东西,几秒之内卷走。这不是夸张,这是 Inferno、Pink、Angel、Rugged 等几家公开运营过的 Drainer 套件每天都在做的事。
一、Drainer 工具到底干什么
一句话定义:Drainer 是一套把"诱导签名"和"自动转账"打包在一起的链上窃取脚本。运营者负责搞流量与钓鱼前端,工具自动完成下面这套链上动作:
- 识别受害人钱包里值钱的资产:原生币、稳定币、NFT、Staked 资产、LP token。
- 对每一类资产按"性价比"排序:先卷流动性好的稳定币、再卷可秒杀的 NFT、最后处理 staked / LP。
- 自动生成对应的签名请求弹窗:
permit、permit2、setApprovalForAll、safeTransferFrom、delegatecall全部都用上。 - 用户一签,脚本立刻调用预设的合约,把资产推到中转地址,再快速过桥、混币。
整套流程在用户视角就是一次签名,一次签名清空整个钱包。
二、Drainer 利用的签名类型与典型危害
下面这张表把 2026 年我亲眼追踪过的几类签名套路并列起来:
| 签名类型 | 名义用途 | 实际效果 | 典型受害金额 |
|---|---|---|---|
permit / permit2 |
“免 gas 授权” | 一次签名把无限额度送给攻击者 | 5 位 - 7 位美金 |
setApprovalForAll |
“NFT 授权” | 整套 NFT collection 全部可被转走 | 6 位 - 8 位美金 |
safeTransferFrom |
“签名领空投” | 直接把 NFT 转给攻击者 | 4 位 - 6 位美金 |
错误 eth_sign |
“登录签名” | 签出一份可被复用的转账消息 | 5 位 - 7 位美金 |
高级 delegatecall |
“智能合约升级” | 整个智能合约钱包被替换控制 | 7 位 - 9 位美金 |
排在最危险位置的不是单笔金额最大的,而是 permit2:因为它伪装成"免 gas 授权",给用户的心理预期是"这玩意儿不用花钱所以肯定也没事",但其实它一次能给攻击者无限期、无限额度的 USDT、USDC、DAI 等热门稳定币转移权限。
三、Drainer 攻击链拆解
一次完整的 Drainer 行动通常长成这样。
- 流量端:钓鱼网站常见伪装成新空投、新铸造、热门项目快照、CEX 充值入口、签名验证页面。延伸阅读 2026 新型加密钓鱼模式。
- 诱饵端:网站连接钱包后,瞬间用
walletconnect或 EIP-1193 注入一个签名弹窗,文案高度模糊(“Click sign to continue”),不展示任何金额。 - 执行端:受害人签名后,脚本立刻调用 Drainer 合约。Drainer 合约里写好了"按资产价值从高到低自动 transferFrom"的逻辑。
- 洗币端:所有资金推到中转地址,几分钟内通过跨链桥拆散,进入 Tornado Cash 类混币器。
整条链路从受害人点击到资产消失,通常少于 60 秒。
四、三层防御——把单点风险拆掉
我把可执行的防御按三层组织:钱包层、签名层、习惯层。每一层都能挡掉一类。
第一层:钱包层
- 大额资产放冷钱包,日常交互钱包永远只放一周内会用的金额。
- 使用 Rabby、Pocket Universe、Wallet Guard 这类签名风险预警插件,它们能在签名弹出前给出资产流向预估。
- 关键资产用智能合约钱包(Safe、Argent)+ 多签,参考 多签钱包是什么。
第二层:签名层
- 看到
permit / permit2 / setApprovalForAll一律先停,确认是哪个 token、哪个合约、是否真的需要。 - 任何"免 gas 签名"都默认是 Drainer。真正的项目方不会让你签一份你看不懂的消息。
- 签名前看清楚
spender是不是项目方公开的官方合约地址。
第三层:习惯层
- 每周对常用钱包跑一次 钱包安全自查,撤销不再使用的授权。
- 任何"紧迫感强"的签名都先离开页面 5 分钟再决定。
- 不在主钱包上参与任何"刚发布的新协议"。
五、如果你刚签了一笔可疑签名
按下面这个最小操作集来处理:
- 立刻打开 revoke.cash(或 etherscan token approval 页面),按时间倒序撤销最近授权。如果资产还没被卷走,争分夺秒。
- 同时把钱包里剩余资产推到一个全新地址。哪怕只是临时新地址,也比留在原地强。
- 检查所有跨链桥与 staking 协议是否仍有委托。某些 Drainer 会先撤 stake 再卷走。
- 隔离这个钱包,从此不再使用,把私钥与助记词作废,参考 疑似助记词泄漏的应急处理。
六、为什么 2026 年 Drainer 会变成"标准产品"
最让我警惕的不是 Drainer 多狡猾,而是它的商业化。Inferno Drainer 在 2024 年公开"退役"后,源码与 UI 被多次分叉,形成了一个SaaS 风格的黑色市场:买方按月订阅、按成交分成、有客服群、有数据报表、有"竞品对比图"。Safe Labs 2026 报告里 5000 个地址只是冰山一角,真正在野的 Drainer 节点数远高于这个数字。
这意味着普通用户面对的不再是"某个坏人",而是一个产品化的黑色行业。防御也必须从"靠运气"升级为"靠流程"。
七、把今天读完的东西落到具体三步
如果你愿意把今晚的二十分钟用在最值的地方,请按下面三步:
- 打开 revoke.cash,把你主钱包过去六个月所有授权过一遍,凡是不再用的项目,全部撤销。
- 把日常交互钱包换成 Rabby 或安装 Pocket Universe / Wallet Guard 一类插件。
- 把超过 $1,000 的资产从热钱包移到硬件钱包或多签 Safe。
做完这三步,你已经把市面上 90% 的 Drainer 攻击挡在门外。剩下的 10%,靠的是你愿意在每次签名前多停 30 秒。这 30 秒的成本,是骗子设计整条产品线时唯一没法降低的成本——所以请把这 30 秒,永远留给自己。
本文仅作科普,不构成投资建议。加密资产波动大、风险高——永远只投入你亏得起的钱。