假空投与钓鱼识别大全:授权钓鱼、假领取页、助记词骗局

Q: 我点开了一个钓鱼链接,但什么都没签名,会丢币吗?

只是打开网页、连接钱包,通常还不至于丢币。真正危险的是你之后又点了「确认」「签名」「授权」之类的钱包弹窗。区块链上的钱不会因为你看了一眼网站就动,它只会因为一笔你亲手签过的交易或授权而动。所以连了钱包没签任何东西,先别慌,断开连接、关掉页面、去 revoke.cash 检查一下这个网址有没有骗到授权即可。

Q: approve 授权和直接转账有什么区别,为什么授权更隐蔽?

转账是把币直接转走,你转多少就走多少,当场看得见。授权(approve)是你允许某个合约「以后可以动你这个币」,额度可能是无限。它的隐蔽在于签的时候你的币没少,弹窗也不显眼,危险是延迟兑现的:骗子拿到无限授权后,可以挑你钱包里余额最多的时候一次性划走。这就是为什么很多人是「过了好几天才被盗」。

Q: 被钓走授权后用 revoke.cash 撤销,能把已经被偷的币追回来吗?

不能。撤销授权(revoke)只能切断「以后」继续被划走的通道,已经转走的资产是追不回来的,链上交易不可逆。所以 revoke 的意义是止血:如果授权还在、币还没被划光,赶紧撤销能保住剩下的;如果连私钥助记词都泄露了,撤销也没用,得整个钱包弃用、把资产转到全新钱包。

Q: 钱包里突然多了一个不知名代币,我该怎么处理?

别动它,尤其别去点它附带的任何「官网」「领取」链接。这种主动空投到你地址的陌生代币,绝大多数是诱饵:它把你引到一个钓鱼站,等你授权或签名。正确做法是当它不存在,既不交互也不授权,需要的话在钱包里把它隐藏掉。它不会自己偷你的币,只有你去碰它给出的链接、签了东西才会出事。

我认识不少人,撸毛半年没碰上一次像样的空投,却在某个深夜手一抖,把钱包里攒了大半年的东西签没了。说出来都一个套路:看到一条"你符合资格,限时领取"的消息,点进去,连钱包,弹窗,确认——三秒钟的事。链上交易不可逆,签完那一下,谁也救不回来。所以这一关我把它叫"怪物图鉴":撸毛真正的敌人不是没领到,是被钓走。下面这几只怪物,长什么样、怎么咬人、怎么躲、万一被咬了怎么自救,我一只一只给你拆开。

先记住一句话:钱不会因为你看了网站就动

开打之前,先把一个底层认知钉进脑子里,它能帮你在慌乱时不犯致命错误:区块链上的资产,只会因为一笔被你亲手签名的交易或授权而移动。你光是打开一个网页、连上钱包、看广告、看倒计时,这些动作本身都不会让你掉一分钱。真正危险的永远是下一步——你的钱包弹出一个框,让你点"确认""签名""授权",而你点了下去。

骗局千变万化,但它们的终点只有两个:要么骗你签一笔授权或转账,要么骗你直接交出助记词、私钥。前者偷的是某个币、某次资产,后者偷的是整个钱包。把这两条主线认清,后面所有花样你都能归类。所以遇到任何"领取""验证""同步""解锁"的弹窗,先停三秒,问自己一句:我现在到底在签什么?这一停,能救你大半身家。

▶ 心法

新手最容易犯的不是"被高明的技术黑了",而是在着急和兴奋里随手点了确认。所有钓鱼都靠两样东西催你:稀缺(限时、名额、错过就没)和权威(伪装成官方)。一旦你感到"我得赶紧",那大概率正是该停下来的时刻。

怪物一号:假空投与假领取页

这是最常见的开局。它的诱饵通常长这样:

你钱包里莫名其妙多出一个代币,名字往往很唬人,带着某个热门项目的影子,代币说明里塞着一个网址,意思是"去这里领取真正的奖励"。
推特、电报、Discord 里有人@你或私信你,说你符合某次空投资格,附一个领取链接。
谷歌搜某个项目,排在前面的广告位是个仿冒域名,长得跟官网几乎一样,只差一两个字母,或者把 .com 换成了 .xyz、.app 之类。

点进去之后,假领取页会做得非常逼真:项目 logo、配色、字体全照搬,页面上明晃晃一个"Claim(领取)"按钮,可能还配个嘀嗒走的倒计时逼你快点。你连上钱包,点领取,弹窗跳出来——重点来了——这个弹窗要你签的根本不是"领币",而是一笔授权或转账。界面写着"Claim",底下真正执行的合约调用却是把你的资产授权给骗子,或者直接转走。

怎么认?几条硬规矩:

域名一个字母一个字母核对。别信搜索结果,别信别人发的链接。真要去某个项目官网,从它的官方推特主页、官方文档里点过去,或者自己手敲你确认过的网址。仿冒域名是这类骗局的命门,把它卡死,大半就过滤掉了。
天上不会掉馅饼式的"限时领取"先当成假的。真实空投极少用"再不领就没了"这种话术压你,正经项目反而会把规则写得清清楚楚、留足时间。越是催你、越是稀缺感拉满的,越可疑。
钱包里凭空出现的陌生代币,一律别碰它给的链接。这种"空投"是诱饵,把你勾到钓鱼页去。当它不存在就行,它本身不会偷你的币。

顺一句:什么是真实的空投、项目方为什么愿意发币、正规的领取大概是什么流程,这些在空投到底是什么那篇讲过。心里先有一个"正常长什么样"的模板,假的就更容易露馅。

⚠ 注意

有一种特别阴的变体:钓鱼页让你"先签一个免费的消息验证身份"。这个签名表面无害(不花 gas、看着像登录),但内容可能是一个 permit 授权(下面细讲),签下去等于开了道门。记住:任何让你签的东西,只要你看不懂它在说什么,就别签。

怪物二号:授权钓鱼(approve / permit / setApprovalForAll)

这是最值得花时间搞懂的一只,因为它最隐蔽,也最常见。要讲明白,得先说清楚授权是个什么机制。

在链上,你的代币(比如 USDT、各种 ERC-20 代币)放在你自己地址里。当你要用某个 DeFi 应用——比如去 swap 兑换、去质押——这个应用的合约需要"代你动这笔币"。可它不能凭空动你的钱,得你先授权(approve)它:你签一笔交易,告诉这个代币合约"允许某某合约地址,可以动我最多 X 个这个币"。这是正常机制,撸毛绕不开,你用过 DeFi 就一定签过 approve。

问题出在两个地方。第一,很多授权默认是"无限额度"——为了省事,应用经常请求一个大到没有上限的额度,这样你以后用就不用反复授权。方便是方便,可一旦这个合约是恶意的、或者后来被黑了,它就能把你这个币全部划走,不止你当时想用的那一点。第二,授权是延迟兑现的:你签的那一刻,钱包里的币一分没少,弹窗也不吓人,你毫无感觉。骗子拿到无限授权后,可以潜伏着,挑你余额最多的某天,一次性划空。很多人"莫名其妙过几天被盗",根子就在某次随手签下的授权。

常见的几种授权调用,你至少要认得名字:

approve——针对 ERC-20 代币(USDT、各种币),授权某合约能动你某个币,额度可能无限。
permit / permit2——一种"用签名授权"的方式,不用单独发一笔交易、不花 gas,更不显眼。钓鱼页最爱用它,因为受害者觉得"我只是签了个名,又没花钱",防备最低。
setApprovalForAll——针对 NFT,这个最狠:一签,你这整个系列的 NFT都授权给对方了。假的"NFT 领取""免费 mint"页常用它,一下能把你一整套 NFT 端走。

✖ 红线

钱包签名弹窗里,看到 approve、permit、setApprovalForAll 这些字眼,且额度显示为"无限 / Unlimited / 一长串很大的数字",而你并不清楚自己为什么要授权——立刻拒绝。正经应用的授权是你主动发起 swap、质押时才出现的,而不是某个"领空投""验证身份"的页面莫名其妙弹给你的。

怎么躲授权钓鱼?

看懂弹窗再签。现在主流钱包会在签名前给出解读:这笔在干嘛、授权给谁、额度多少。别无脑点确认,花五秒读那行字。读不懂,就别签。
授权额度能改就改小。很多钱包允许你把无限额度改成"刚好够这次用"的数。麻烦一点,但把风险从"全部"压到"这一点点"。
定期清理授权。用 revoke.cash 这类工具,连上钱包就能看到你这个地址给哪些合约开过授权、额度多大,把不用了的、可疑的一个个撤销掉。这事该当成日常习惯,具体怎么做、多久做一次,我在钱包安全那篇专门讲了。

授权这件事,正是为什么本站反复强调要有个撸毛专用钱包、别放大钱:就算哪天授权被钓了,损失也限定在这个小仓里,你的主仓和长期持有的资产稳稳在另一个干净钱包里,碰都没被碰过。

怪物三号:Drainer 自动归集脚本

"Drainer"直译是"抽干器",指的是一整套专门用来掏空钱包的恶意脚本。它不是单一招式,而是把上面那些手段打包成"产品"——黑产里甚至有人把 Drainer 当工具租给别人用,租客负责拉人(做假网站、买广告、群里撒链接),Drainer 负责"高效掏空"并和租客分赃。所以你在外面看到的很多钓鱼站,背后跑的就是同一套 Drainer。

它狠在哪?连上钱包的一瞬间,脚本会自动扫描你这个地址里所有资产——各条链、各种代币、NFT——算出哪样最值钱,然后精心构造一个弹窗,把"价值最高的那笔授权或转账"包装得尽量像无害的"领取""验证",诱你一次签下。有的更进一步,把签名拆成好几步,前面几步真给你点小甜头降低戒心,最后一步才下狠手。整个过程高度自动化,从你连钱包到资产被划,可能就几十秒。

▶ 编辑组实测

前阵子我们专门拿一个空钱包(里面只放了几块钱 gas、没有任何值钱资产)去趟了几个已知的钓鱼页,全程在区块浏览器和钱包的"解读"界面盯着看,就想搞清楚它到底想骗我们签什么。结果几乎一致:页面上写着大大的"Claim",可钱包真正要我们确认的,要么是一笔 approve 无限授权,要么是个 permit 签名,要么是 setApprovalForAll。最阴的一个,先弹了个"免 gas 的身份验证签名"骗我们放松,紧接着第二个弹窗才是真正的授权。我们当然全部拒绝了。这趟下来最深的体会是:这些站把"领取"两个字喊得震天响,但你只要低头读钱包弹窗那一行真实意图,假面具立刻就掉了。慌的时候盯着页面看没用,得盯着钱包看。也提醒一句,这种事别拿你的主钱包去试,真有损失风险——我们用的是专门的一次性空钱包。

防 Drainer 没有玄学,就是把前面两关的功夫做扎实:不进来路不明的站、不签看不懂的东西、用专用小钱包隔离风险。Drainer 再"智能",它也得等你亲手按下那个确认键才能动手。把那只手管住,它就是只纸老虎。

怪物四号:助记词与私钥骗局

前面那些好歹还得骗你签个东西,这一只是直奔总钥匙:骗你把助记词或私钥交出来。一旦得手,它连签名都不用你了——拿着你的助记词,它能在任何设备上把你的钱包整个"复制"过去,你名下所有链、所有资产,瞬间易主。这是损失最彻底的一种,因为它偷的不是某笔币,是整个钱包的所有权。

助记词(通常 12 或 24 个英文单词)和私钥到底是什么、为什么等于总钥匙,在钱包安全那篇有完整解释。这里你只需要记住一条没有任何例外的红线:

✖ 没有例外的红线

任何真实的空投、客服、官方活动、钱包升级、同步、解冻,都绝对不需要你提供助记词或私钥。只要对方开口要——不管理由编得多合理、口气多官方、界面多正规——百分之百是骗子。直接关掉,连犹豫都不必。

这类骗局常见的几张皮:

假"钱包同步 / 导入"页。做一个长得像 MetaMask、像币安钱包的页面,说你的钱包需要"重新验证 / 同步",请输入助记词。你一填,词就进了骗子手里。
假客服"帮你解决问题"。你在某个群里抱怨钱包出了点状况,马上有"客服""管理员"私信你,热心引导你去某个页面、或者直接让你把助记词发给他"帮你恢复"。真客服永远不会要这个。
假钱包 App / 假插件。从非官方渠道下载的钱包,本身就是个壳,你创建或导入钱包时,助记词直接被它截走。所以钱包一定从官方渠道装,这点币安 Web3 钱包教程里反复强调过。
"高仿"的恢复短语输入框。有的钓鱼页会贴心地把 12 个 / 24 个输入框一字排开,看着特别像正规导入界面,降低你的戒心。界面再像,逻辑也不变:真东西不会问你要助记词。

说白了,助记词就该一辈子待在离线的地方,从你抄下来那天起,不该再被输入进任何网页、任何聊天框、任何客服对话。除了在你自己信任的钱包 App 里恢复钱包那一种情况,其他任何地方要它,都是冲着你的全部家当来的。

怪物五号:假客服、假官推、假空降群

这一只是上面所有招式的"获客渠道"。骗子得先把你弄到钓鱼页、或者取得你的信任,才能施展前面那些。手段很社会工程:

假官推 / 高仿账号。头像、名字、简介全照搬真项目,有的连蓝标都买了,在真项目的热门帖子底下回复"领取空投点这里",或者直接发一条"官方空投开启"的帖子。新手分不清真假,顺手就点。
评论区与私信钓鱼。你在某条加密相关的帖子下留了言,或者刚关注了某个项目,很快就有"官方小助手""空投专员"私信你。记住:正经项目几乎从不主动私信你发链接。主动凑上来的,默认当骗子。
假群 / 被拉进的"空降群"。你莫名被拉进一个看着很热闹的群,里面"托儿"晒收益、管理员发"独家领取通道"。群越热闹、晒得越夸张、催得越急,越要警惕。
假"钱包弹窗"通知。有些 NFT、代币会以"通知"的形式空投到你地址,点开里面写着"恭喜中奖,点此领取",其实就是把你导向钓鱼站。

⚠ 注意

判断一个信息源真假,别看它"长得像不像官方",要看它有没有让你做高风险动作。真官方发公告,通常只是告知你去官网看;骗子会想方设法让你当场连钱包、当场签名、当场交助记词。只要催你做这三件事之一,无论它伪装得多像官方,都先按骗子处理。

认得出怪物,才敢放心下场。真想练手,别从来路不明的"空投"开始,从正规渠道把出入金口和钱包配好,心里会踏实很多。

币安邀请码 BNB3469

▶ 注册币安 ⚒ 开 Web3 钱包同码 BNB3469

* 通过本站邀请码注册,手续费 20% 减免。实际减免比例以币安页面显示为准,可能随政策调整。加密资产价格波动大,请理性参与。

被钓了怎么自救:断、撤、转、记

万一真出事了,先别瘫在那。链上交易不可逆,但抢时间往往还能保住一部分,尤其是骗子还没把币划光、或者你只是被骗了授权而非泄露助记词的情况。记住四个字:断、撤、转、记。

断——立刻断开。第一时间在钱包里断开和那个网站的连接(钱包里"已连接站点"列表能手动断),关掉钓鱼页面,必要时直接断网。先把还在进行中的交互掐断,防止它接着诱你签下一步。
撤——撤销授权(revoke)。如果你怀疑签了授权,马上用 revoke.cash 连上这个钱包,逐条检查授权记录,把那个可疑合约的授权撤销掉。注意:撤销也要发一笔交易、花 gas,所以钱包里得留一点 gas。撤销越快越好——它能切断"以后继续被划走"的通道。但要清醒:它救不回已经被划走的币,只能止住后面的血。
转——转移剩余资产。如果你泄露的是助记词或私钥,那撤销授权没用了,因为骗子有总钥匙。这种情况下,这个钱包等于已经报废:赶紧把里面还剩的、值钱的资产转到一个全新的、干净的钱包(用新设备、新助记词创建,千万别再用泄露的那套)。这是在和骗子抢时间,谁的脚本/手快谁拿走,所以越快越好,优先转走价值最高的。
记——记录与排查。事后用区块浏览器(Etherscan、BscScan)把这个地址的交易记录扒一遍,看清楚到底被签了什么、币从哪一笔走的、走去了哪个地址,把这些记录下来。一是搞清楚损失边界、确认是不是还有别的授权没撤;二是万一涉及金额较大要报案、或者向平台反映,这些链上证据用得上。

✖ 关键判断

自救的第一道分叉就是问自己:我泄露的是"授权",还是"助记词/私钥"? 只是被骗了授权——钱包还能要,撤销授权 + 转走资产即可。要是助记词或私钥泄露了——这个钱包彻底放弃,资产全部搬家到新钱包,以后再也别用它。判断错了方向,会白费抢救时间。

当然,最好的自救是根本不让事情走到这一步。把撸毛钱包和大钱分开、定期 revoke、签名前读懂弹窗、不碰来路不明的链接——这些日常习惯,比出事后再抢救有用一百倍。这条防线怎么搭,顺着读钱包安全:助记词、私钥、硬件钱包与授权管理,把整套防护配齐;还没全局概念的,先回空投到底是什么把撸毛这件事的来龙去脉过一遍,再对照撸毛新手最容易踩的 10 个坑给自己排个雷。被骗这一关,认得出怪物就赢了一半,剩下一半靠你养成的习惯。

常见问题

我点开了一个钓鱼链接,但什么都没签名,会丢币吗?

只是打开网页、连接钱包,通常还不至于丢币。真正危险的是你之后又点了"确认""签名""授权"之类的钱包弹窗。区块链上的钱不会因为你看了一眼网站就动,它只会因为一笔你亲手签过的交易或授权而动。所以连了钱包没签任何东西,先别慌,断开连接、关掉页面、去 revoke.cash 检查一下这个网址有没有骗到授权即可。

approve 授权和直接转账有什么区别,为什么授权更隐蔽?

转账是把币直接转走,你转多少就走多少,当场看得见。授权(approve)是你允许某个合约"以后可以动你这个币",额度可能是无限。它的隐蔽在于签的时候你的币没少,弹窗也不显眼,危险是延迟兑现的:骗子拿到无限授权后,可以挑你钱包里余额最多的时候一次性划走。这就是为什么很多人是"过了好几天才被盗"。

被钓走授权后用 revoke.cash 撤销,能把已经被偷的币追回来吗?

不能。撤销授权(revoke)只能切断"以后"继续被划走的通道,已经转走的资产是追不回来的,链上交易不可逆。所以 revoke 的意义是止血:如果授权还在、币还没被划光,赶紧撤销能保住剩下的;如果连私钥助记词都泄露了,撤销也没用,得整个钱包弃用、把资产转到全新钱包。

为什么所有骗局最后都在要我的助记词或私钥?

因为助记词和私钥等于钱包的总钥匙,拿到它就等于拿到你这个钱包名下所有链上的全部资产,不需要你再签任何东西。任何真实的空投、客服、官方活动,都绝不需要你提供助记词或私钥。所以这是一条没有例外的红线:无论对方把理由编得多合理,只要开口要助记词或私钥,就是骗子,直接关掉。

钱包里突然多了一个不知名代币,我该怎么处理?

别动它,尤其别去点它附带的任何"官网""领取"链接。这种主动空投到你地址的陌生代币,绝大多数是诱饵:它把你引到一个钓鱼站,等你授权或签名。正确做法是当它不存在,既不交互也不授权,需要的话在钱包里把它隐藏掉。它不会自己偷你的币,只有你去碰它给出的链接、签了东西才会出事。

想自己核对授权与撤销,工具用 revoke.cash;钱包官方的安全指引见 MetaMask 帮助中心;链上交易和资金流向可用区块浏览器 Etherscan、BscScan 自查;授权、approve 这类机制的概念解释可参考币安学院与以太坊官网。