去中心化金融(DeFi)和数字所有权经济的爆炸式增长使电子钱包成为通往 Web3 世界的最重要门户。在此背景下,WalletConnect 确立了其作为开源通信协议的地位,允许用户在不泄露私钥的情况下将个人钱包安全地连接到数以万计的去中心化应用程序(DApp)。然而,该协议的广泛流行也为恶意行为者创造了巨大的攻击面。 Tan Phat Digital 整理的 2025 年和 2026 年初个人钱包入侵数据分析显示,尽管 WalletConnect 协议本身拥有可靠的加密层,但用户缺乏警惕以及交易签名接口存在漏洞,导致资产损失高达数十亿美元。了解 WalletConnect 的运作方式以及潜在风险(例如过多的 DApp 权限和钱包耗尽)是参与当今加密货币市场的任何实体的迫切要求。
WalletConnect 协议的技术架构和安全机制
WalletConnect 不是作为单个应用程序运行,而是作为基础设施层中立消息传递层运行,允许在钱包和去中心化应用程序之间建立加密会话。 WalletConnect安全设计的关键是应用程序存储私钥的权利和发起交易的权利之间的完全分离。用户的私钥始终安全地保存在钱包的安全区域内,而 WalletConnect 仅充当端到端加密 (E2EE) 交易签名请求的“载体”。
当去中心化应用程序根据 WalletConnect 标准生成 URI(通常在桌面上显示为二维码或在移动设备上显示为深层链接)时,连接机制就开始了。当用户扫描该代码时,通过中继服务器系统(Relay Service)建立连接会话。 WalletConnect V2和V3版本的一个重要特性是多链会话管理能力,允许单个会话同时支持以太坊、Polygon、BNB Chain等多个区块链。
主要系统组件和安全角色:
中继服务器:主要功能是在钱包和DApp之间中继加密的JSON-RPC消息。在安全方面,它有助于防止中间人(MITM)攻击,因为中继无法读取消息内容。
URI/QR Code:包含有关会话和对称加密密钥的信息。该组件确保只有扫描代码的实体才能参与通信会话。
WalletKit/AppKit:提供签名和身份验证 API 的开发套件 (SDK)。它标准化了安全流程,例如验证 API,以在连接之前检查域。
智能会话:新功能允许批准可编程交易规则,而不是批准单个订单。这有助于最大限度地减少“交易疲劳”——攻击者经常利用这种情况来欺骗用户随机签名。
查看更多:网络钓鱼加密钱包是什么?
无限代币审批漏洞分析
在Web3生态中,最大的风险不是来自通过连接协议泄露私钥,而是来自ERC-20、ERC-721等代币标准的审批机制。当用户想要在去中心化交易所交换资产时,应用程序会要求用户签署批准交易,该交易赋予智能合约从钱包中获取一定数量代币的权利。
当大多数应用程序需要“无限制批准”以节省汽油费时,就会出现问题。从技术上讲,该命令允许智能合约随时清空目标资产的钱包。如果 DApp 的智能合约被黑客攻击或者 DApp 是钓鱼网站,攻击者可以窃取所有已批准的资产,而无需用户进行任何额外确认。
Session Connect 和 Permission Approval 之间的区别:
数据存储位置:Session Connect 存储在应用程序/钱包缓存中(链下),而 Token Approval 直接记录在区块链账本上(链上)。
授予 DApp 的权限:Session Connect 只允许查看钱包地址和交付翻译提案。批准令牌授予代表用户花费资产的权限。
如何终止:只需按“断开连接”即可终止会话连接。令牌批准需要链上撤销交易并消耗gas。
Drainer Impact:会话连接被利用来重复发送虚假签名请求。代币批准允许攻击者自动提取资金,而无需额外签名。
2026 年的钱包盗取者和网络钓鱼 DApp
2025-2026 年钱包盗取者的演变已达到极高的自动化水平。根据 Tan Phat Digital 的观察,如今网络犯罪团伙使用 MS Drainer 等工具包在几秒钟内扫描并清理受害者的钱包。
当用户扫描钓鱼网站上的二维码时,恶意脚本将执行以下步骤:
资产估值:通过 API 自动确定钱包中所有代币和 NFT 的价值区块链。
目标优先级:将最有价值的资产(ETH、稳定币、NFT蓝筹股)首先放入提现名单。
创建恶意交易:要求用户签署伪装成“身份验证”或“奖励”的批准令
提币系列:将资产转移到攻击者钱包并通过混币服务进行分散。
数据显示,2025年,超过158,000起事件影响了80,000名受害者,损失总价值7.13亿美元。犯罪趋势正在强烈转向通过 DApp 交互中的安全错误来攻击个人目标。
查看更多:热钱包是否适合新手
盲目的危险签名和缺乏接口信息
盲目签名是最致命的弱点之一。当 DApp 通过 WalletConnect 发送交易请求时,数据通常以不可读的十六进制代码的形式传输。如果钱包界面只显示一长串字符的“合约交互”,则用户正在签署并批准一个他们并不真正理解的操作。
技术原因是因为钱包无法访问合约的ABI(应用程序接口)。攻击者通过创建未注册 ABI 的新智能合约来利用此漏洞,在用户无法识别的情况下执行恶意命令。 Tan Phat Digital 建议用户改用具有强大解密工具(例如 Rabby Wallet)的钱包,以限制这种风险。
通过 App Store 进行应用程序假冒攻击和恶意代码分发
一个新的危险发展是 Google Play 上出现了假冒 WalletConnect 应用程序。 “Mestox Calculator”或“Walletconnect | Web3Inbox”等应用程序通过虚假的 5 星级评论欺骗了数万次下载。
这些应用程序的机制极其复杂:它们最初充当绕过审查的普通计算工具,然后从外部服务器下载 Drainer 脚本。 Tan Phat Digital 强调一个重要事实:WalletConnect 是一种协议,而不是最终用户应用程序。 App Store 上任何声称是“官方 WalletConnect 应用程序”的应用程序都是骗局。
下一代安全解决方案:智能会话和验证 API
WalletConnect V3 引入了重要的增强功能,可通过协议主动保护用户:
智能会话(条件权限控制):允许定义会话切换规则。例如,24小时内最多允许签署10笔小额交易。这有助于最大限度地减少“交易疲劳”,并限制 DApp 受到损害时的损害范围。
验证 API(反诈骗域名):系统执行域名匹配(Domain Match)和黑名单检查(Scam Check)。
需要注意的验证状态:
VALID:带有绿色复选标记的应用程序名称。操作:交易可能会正常谨慎地进行。
无效:有关域不匹配的警告。操作:很可能是假的,立即断开连接。
威胁:已报告恶意网站的红色警报。操作:退出网站并向社区报告。
未知:未经验证的实体的通知。操作:务必谨慎,检查域名年龄。
2026年MetaMask与Rabby Wallet安全性对比
WalletConnect的安全性很大程度上取决于钱包的解密能力。通过实际落地,Tan Phat Digital评估Rabby钱包相比MetaMask具有突出的安全优势:
自动网络切换:Rabby根据DApp请求自动检测并切换网络,而MetaMask每次转账都需要人工确认。
合约风险提示:Rabby深入检查合约历史和透明度; MetaMask主要基于第三方黑名单。
硬件钱包集成:Rabby平滑支持多个账户同时; MetaMask 有时会在连接 Ledger/Trezor 等设备时出现错误。
解码指令(ABI):Rabby 使用 DeBank 的数据来解码大多数 DApp;如果 ABI 未经验证,MetaMask 通常会显示十六进制代码。
交易模拟:Rabby 在交易后显示准确的资产负债表(例如“-100 USDC,+0.03 ETH”),如果钱包有被清空的风险,则会发出极其清晰的警告。
Tan Phat 的多层防御策略Digital
为了保护资产,Tan Phat Digital建议用户应用以下安全规则:
资产分离模型:使用硬件钱包(Vault)长期存储95%的资产,绝对不连接陌生网站。使用具有最低余额的热钱包(Burner)与DApp进行日常交互。
定期授权控制:每月至少使用一次Revoke.cash等工具撤销未使用的DApp的支出授权。始终将批准令牌的数量调整为实际需要的数量。
域名黄金法则:始终从您的个人书签或 CoinMarketCap 等信誉良好的来源访问您的 DApp。切勿点击电子邮件、私信 (DM) 或 Google 广告中的链接。
断开会话:养成在完成交易后按钱包 WalletConnect 设置中的“全部断开连接”的习惯,以防止会话劫持风险。
15 有关 WalletConnect 风险的常见问题解答 (FAQ)
1. WalletConnect 是我需要下载的钱包应用程序吗? 不需要。WalletConnect 是一种通信协议,而不是应用程序。 App Store/Google Play 上声称是“官方 WalletConnect 应用程序”的应用程序通常是旨在窃取资产的“流失”恶意软件。
2.为什么我已经断开连接 (Disconnect),但钱仍然从我的钱包中提取? 按“断开连接”只会结束通信会话。代币审批权限(授权)仍然存在于区块链上。攻击者可以使用此权限随时提取资金,直到您执行“撤销”交易。
3. “无限代币批准”有多危险?它允许智能合约从您的钱包中花费几乎无限数量的代币($2^{256}-1$)。如果该合同被黑客攻击或欺诈,您将丢失该代币,而无需签署任何更多订单。
4.如何发现 WalletConnect 诈骗 DApp?
注意迹象:有几个字符缺失的 URL、不寻常的代币批准请求(例如薄荷 NFT 网站的 USDT)或使用仓促的“免费空投”优惠。
<强>5。 WalletConnect V3 中的智能会话是什么?此功能允许您为 DApp 设置特定的支出规则(例如金额或时间限制)。 DApp只能在您授权的范围内进行交易,有助于将DApp受到攻击时的损失降到最低。
6.使用 WalletConnect 时是否应该在网站中输入种子短语? 绝对不。主流WalletConnect只需要扫描二维码或在钱包上签署交易即可。任何输入 12/24 恢复词的请求都是骗局。
7.什么是“盲签名”?为什么它有风险?当钱包无法解码智能合约数据并且仅显示无意义的十六进制代码时,就会发生盲签名。您可能在以为自己正在确认正常交易时,不小心签署了“耗尽”订单。
8. Rabby Wallet 如何帮助防范 WalletConnect 风险?Rabby 集成了交易模拟工具,可在您签名之前准确显示您的余额将如何变化(例如 -100 USDC、+0.1 ETH)。如果您正在与恶意合约交互,它还会发出警告。
9.如果我不小心将钱包连接到疑似诈骗网站,该怎么办? 现在采取 3 个步骤: 1. 访问 Revoke.cash 撤销所有代币批准; 2. 在钱包设置中断开会话; 3. 如果您觉得风险较高,请将资产转移到新的钱包地址。
10. “验证 API”如何保护我?
它执行两层检查:域匹配以确保您没有访问虚假网站,诈骗检查以警告域是否已被报告存在欺诈行为。
11.批准 NFT (setApprovalForAll) 有哪些风险? 此命令授予 DApp 移动特定集合的全部 NFT 的权限。诈骗者经常以“免费铸币 NFT”为幌子,诱骗您签署此订单以窃取有价值的 NFT。
12.为什么使用 WalletConnect 时硬件钱包仍然会被提现? 硬件钱包可以保护私钥不被暴露,但并不妨碍你“手动”为坏人签署代币审批交易。一旦您签名,攻击者就拥有链上合法权利来拿走您的资金。
13.什么是“Mestox Calculator”?
这是 2025 年 Google Play 上著名的诈骗应用程序,冒充 WalletConnect 诱骗用户安装并激活 MS Drainer 恶意软件到相应的资产。
14.如何检查我的有效批准列表?
您可以使用 Revoke.cash、Etherscan 的检查器或 Rabby Wallet 的内置批准管理功能等工具。
15. WalletConnect 的 WCT 代币的作用是什么?
WCT 代币用于协议治理、质押以确保网络安全,以及作为操作系统钱包/节点合作伙伴的奖励。
WalletConnect 并不危险;正是对运行机制缺乏了解才造成了致命的缺陷。 2026时代,在Tan Phat Digital等专家的支持下,掌握代币审批、盲签名、使用先进安全工具的知识是最有力的盾牌。 Web3 中的网络安全不是静态,而是一个持续保持警惕和采取负责任行动的过程。
分享
