# RugTrace 调查报告

![Case-level investigation graph](/case-reports/bonkfun-domain-drainer-2026-03/graph.svg)

## 1. 执行摘要
本报告基于提供的交易数据、图谱信息和模式匹配结果，对一起涉及 BONK.fun 域名劫持和钱包窃取器的事件进行分析。分析表明，一个被标记为“BONK.fun wallet drainer”的受害者钱包，疑似因前端妥协或钓鱼攻击，向一个被标记为“Merged attack source”的聚合攻击源地址转移了资金。该事件与已知的“前端钱包窃取器”模式高度相关。由于缺乏经过验证的链上交易签名，本次分析主要基于案例级报告和图谱推断，置信度有限。

## 2. 输入交易
- **签名**: `case:bonkfun-domain-drainer-2026-03`
- **时间**: 2026-05-01T10:19:47.732Z
- **签名者**: `BONK.fun wallet drainer`
- **原生转账**:
    - 从 `BONK.fun wallet drainer` 向 `Merged attack source` 转移了 50 单位（标记为 USD/SOL）。
    - **原因**: 报告称前端妥协/钱包窃取器钓鱼。
- **程序交互**:
    - 与 `BONK.fun warning source` (类别: launchpad) 交互。
    - 与 `Raydium` (类别: dex) 交互。

## 3. 受害者侧资金流向
- **受害者钱包**: `BONK.fun wallet drainer` (风险评分: 0.35)
- **资金流出**: 该钱包向 `Merged attack source` 转移了 50 单位（USD/SOL）。
- **事件背景**: 据报告，此转移源于一次前端妥协或钱包窃取器钓鱼攻击，导致用户资金损失（报告损失示例在10至50 SOL之间）。

## 4. 嫌疑人侧资金流向
- **主要嫌疑人钱包**: `Merged attack source` (风险评分: 0.78)
- **资金流入**: 收到来自受害者钱包的 50 单位（USD/SOL）。
- **关联活动**:
    - 与 `BONK.fun warning source` (警告源) 存在交互。
    - 与 `Raydium` (去中心化交易所) 存在交互。
    - 与 `Wallet-drainer source` (窃取器源，风险评分: 0.84) 存在交互。
- **行为模式**: 该地址被识别为案例级聚合节点，汇集了来自多个来源的可疑资金流。

## 5. 涉及钱包
| 节点ID | 类型 | 角色 | 标签 | 风险评分 | 备注 |
| :--- | :--- | :--- | :--- | :--- | :--- |
| `victim-bonkfun-domain-drainer-2026-03` | wallet | victim | BONK.fun wallet drainer | 0.35 | 案例级受害者上下文 |
| `case-bonkfun-domain-drainer-2026-03` | wallet | suspect | Merged attack source | 0.78 | 案例级合并节点 |
| `memory-bonkfun-domain-drainer-2026-03` | pattern | memory | Frontend Wallet Drainer | 0.86 | 匹配模式：前端钱包窃取器，新钱包扇出 |
| `tx-source-bonkfun-domain-drainer-2026-03` | transaction | transaction | Source-level case node | N/A | 置信度低，未附加已验证的Solana交易签名 |
| `entity-bonkfun-domain-drainer-2026-03-0-bonk-fun-warning-source` | wallet | program | BONK.fun warning source | 0.52 | 类别：launchpad，来源文章 |
| `entity-bonkfun-domain-drainer-2026-03-1-raydium` | program | program | Raydium | 0.52 | 类别：dex |
| `entity-bonkfun-domain-drainer-2026-03-2-wallet-drainer-source` | wallet | suspect | Wallet-drainer source | 0.84 | 类别：drainer，窃取器行为摘要 |

## 6. 证据表
| 签名 | 来源 | 目标 | 数量 | 代币 | 解释 |
| :--- | :--- | :--- | :--- | :--- | :--- |
| `case:bonkfun-domain-drainer-2026-03` | `victim-bonkfun-domain-drainer-2026-03` | `case-bonkfun-domain-drainer-2026-03` | 50 | USD/SOL | 报告称前端妥协/钱包窃取器钓鱼 |

## 7. 模式匹配
系统在持久化记忆中识别出以下与当前案例图谱相似的模式：
1.  **Split-and-Scatter Exit** (相似度: 0.52, 置信度: 0.52)
    - **证据**: 图谱中存在已知的Solana程序交互；存在50单位的大额单跳移动。
2.  **OTC Counterparty Risk** (相似度: 0.83, 置信度: 0.83)
    - **证据**: 图谱中存在已知的Solana程序交互。
    - **来源案例**: Meteora OTC buyback loss。
3.  **Fast Fund -> Launch -> Drain** (相似度: 0.56, 置信度: 0.56)
    - **证据**: 图谱中存在已知的Solana程序交互。
4.  **Protocol Exposure Cascade** (相似度: 0.80, 置信度: 0.80)
    - **证据**: 图谱中存在已知的Solana程序交互。
    - **来源案例**: Carrot Drift exposure。
5.  **Fast Fund -> Launch -> Drain** (相似度: 0.71, 置信度: 0.71)
    - **证据**: 图谱中存在已知的Solana程序交互。
    - **来源案例**: $HAWK media-reported launch collapse。

## 8. 置信度与限制
- **置信度**: **低**。
- **主要限制**:
    1.  **数据来源混合**: 案例图谱结合了来源报告的实体和候选交易数据。候选交易在被视为已验证的漏洞利用交易之前，需要人工审查其角色。
    2.  **缺乏链上证据**: 当前分析未附加经过审查的Solana交易签名。提供的签名 `case:bonkfun-domain-drainer-2026-03` 是一个案例标识符，而非可验证的链上交易哈希。
    3.  **推断性质**: 受害者和嫌疑人的角色分配基于案例级报告和推断，而非直接的链上证据链。
    4.  **模式匹配仅为参考**: 匹配的模式表明行为相似性，但不能直接证明当前案例与历史案例的关联。

## 9. 建议下一步
1.  **获取并验证交易签名**: 首要任务是获取与此次资金转移相关的、可在Solana区块链浏览器上验证的真实交易签名。
2.  **追踪资金去向**: 一旦获得有效签名，应追踪从 `Merged attack source` 钱包流出的资金，分析其是否被拆分、转入交易所或混币器。
3.  **分析窃取器合约**: 深入调查 `Wallet-drainer source` 实体，尝试识别其关联的恶意智能合约或钓鱼网站。
4.  **用户教育**: 建议受影响的用户检查钱包授权，并撤销对可疑合约

## 6. Evidence Table
| Signature | From | To | Amount | Token | Timestamp | Interpretation |
|---|---|---|---:|---|---|---|
| `case:bon...026-03` | `victim-b...026-03` | `case-bon...026-03` | 50.000000 | USD/SOL | unknown | reported frontend compromise / wallet drainer phishing |