防假空投与授权钓鱼:每种套路和补救都讲清楚
先说一个我们自己反复体会到的反常识:在链上,让人放松警惕的不是“有人找你要钱”,而是“有人白送你钱”。要钱的时候你会本能警觉,白送的时候你满脑子都是“别错过”。假空投骗子吃的就是这口饭——他们不跟你抢,他们让你以为是自己捡了便宜,然后你心甘情愿地点下那个“领取”按钮。等钱包空了,很多人第一反应是“我私钥被盗了”,其实多半不是,是你亲手签了一笔授权或一个签名,把动用资产的权限交了出去。
这篇我们把整条链路拆开讲:免费拿币为什么最容易让人栽跟头、假空投有哪几种长相、钱包授权和签名钓鱼到底在技术上干了什么、怎么在点之前就识破、万一已经点了又该怎么尽快止损。技术名词都会用人话解释,但不会为了好懂就讲错。读完你不需要变成开发者,但应该能看懂钱包弹窗里那行字到底在问你要什么。
为什么“免费空投”是钓鱼重灾区
空投本身是个正经东西。很多项目早期会把一部分代币按链上行为分给真实用户,作为冷启动和回馈,这是合法的分发方式,以太坊生态里这类“代币分发”已经是常见操作(关于代币与智能合约的基础概念,可以看以太坊基金会的ERC-20 代币标准说明)。问题在于:正因为“真空投”确实存在、确实有人靠它拿到过不小的回报,骗子才有了完美的伪装外衣。你没法用“天上不会掉馅饼”一句话否定所有空投,因为它有时候真的会掉。
免费的语境会从几个方向同时削弱你的判断力。第一是损失厌恶被反向利用——你怕的不是被骗,是“别人都领了就我没领”。第二是时间压力,几乎所有假领取页都会写“限时”“仅剩 X 小时”“快照即将结束”,逼你来不及核对就动手。第三是金额诱惑,钱包里突然出现一个标价几千美元的代币,会让你忽略一个基本事实:代币能凭空出现在你钱包里,恰恰是因为转账和铸造谁都能做,出现不等于值钱,更不等于安全。
还有一层很多人没意识到的:免费空投常常需要你“连接钱包”“签个名确认资格”“授权一下才能领”。在正常逻辑里,领东西应该是对方给你转账,凭什么要你先授权?但因为你满心想着领币,这个本该刺眼的反常动作就被合理化了。授权钓鱼几乎全部寄生在这个心理缝隙里。
本文不替任何空投项目背书,也不预测任何代币价格。空投代币存在归零、剧烈波动与税务风险,是否参与请自行判断。我们只讲“怎么不被假的坑掉”。
假空投的常见形态:诈骗代币 / 仿冒领取页 / 假客服私信 / 假官网
假空投不是一种套路,是一类套路。它们的共同点是把你引到一个你会授权或签名的地方,但入口长得各不一样。把它们的“长相”记熟,比记任何单个域名都有用,因为域名每天在换,套路结构很少变。
诈骗代币(dust / 钓鱼代币)
你某天打开钱包,发现凭空多了一个代币,名字可能叫某某项目的“奖励”“凭证”,标价看着不低。这类代币是骗子直接给一大批地址批量转账撒进来的,本身可能根本不能正常卖出。它的作用是个诱饵:代币描述里、或者它关联的网站里,会写着“到 xxx 网站领取/解锁/兑换”。你一旦去那个网站连接钱包,真正的钓鱼才开始。处理原则很简单——来路不明、你没参与过任何任务却自己冒出来的代币,不要点、不要去它指引的任何网站、更不要试图“卖掉它”。你可以在区块浏览器(如 Etherscan)上查这个代币合约的来历,但不需要和它发生任何交互。在钱包里把它隐藏即可,转账它本身一般不会造成损失,但它引你去的网站会。
仿冒领取页(假 claim 网站)
这是最主流的一种。骗子做一个和真项目几乎一模一样的领取页面,域名相近(多一个字母、换个后缀、用相似字符),通过广告、评论区、私信、二维码把你导过去。页面上一个大大的“Claim / 领取”,点下去钱包弹窗,请求的往往不是单纯连接,而是一笔授权交易或一个签名。真正的空投领取,绝大多数是你发起一笔领取交易、自己付 gas,而不是给某个陌生合约开授权额度。当“领取”这个动作要求你授权它动你已有的代币时,基本可以判死刑。
假客服私信
你在某个项目的官方群、推特评论、Discord 里问了句话,几分钟内就有“客服”“小助手”私信你,热情地帮你“核对资格”“解决领取失败”,然后发来一个链接或要你连钱包。正规项目方几乎从不主动私信你,真客服也不会通过私聊让你连钱包、签名、或提供助记词。主动私信的“客服”默认当骗子处理。辨别官方渠道这件事单独值得花时间,我们在怎么辨别官方渠道里专门讲过怎么交叉核对。
假官网 / 搜索广告投毒
你直接去搜索引擎搜某项目名,排在最上面的“广告位”可能是骗子买的假官网,域名和真的只差一点。你以为自己进的是官网,其实从入口就错了。养成习惯:项目官网从你信任的来源(项目官方推特主页、官方文档、知名聚合站)点进去,或者自己存书签,别每次靠搜索框现搜,更别点搜索结果顶部的广告链接。
“你钱包里多了个值钱代币”和“限时领取,名额将满”这两种感觉,是假空投最常用的两个钩子。一旦你心里冒出“手慢就没了”,恰恰是该停下来核对的时刻。
这些形态的红旗信号还有更细的清单,从域名拼写、合约地址到社群话术,我们在假空投红旗清单里逐条列了,可以配合本文当对照表用。
授权钓鱼的原理:approve、setApprovalForAll、无限额度
要看懂授权钓鱼,先得理解一件事:在以太坊这类链上,你的代币(ERC-20)并不是“放在你钱包 App 里”,而是记在代币合约的账本上,你的地址名下有多少余额是那本账记的。当一个去中心化应用(DApp)想替你动这些代币时——比如在 DEX 上帮你把 A 换成 B——它需要你先“批准”它有权从你的余额里转走一定数量。这个批准动作就是 approve。
approve 做的事是:你告诉代币合约,“允许某个合约地址(spender)最多从我这里转走 N 个这种代币”。这个 N 叫授权额度(allowance)。之后那个被授权的合约,在额度用尽前,不需要你再签名就能反复把你的代币转走。这是 DeFi 能运转的基础机制,本身没问题;危险在于两点。
- 无限额度(unlimited approval)。很多 DApp 为了省事,默认申请的 N 是一个极大的数(接近无限)。方便归方便,意味着只要这个被授权的合约是恶意的、或日后被攻破,它能把你这种代币全部转走,不限次数、不再问你。钓鱼页就是把“领空投”包装成一笔对它自己合约的无限 approve。
- 授权给了谁,你没看清。钱包弹窗里会显示 spender 地址,但很多人直接点确认,根本没看那是不是项目的正经合约。骗子要的就是你把无限额度授权给他控制的地址。
NFT 那边有个更狠的对应物:setApprovalForAll。它不是“批准转走 N 个”,而是“批准某个地址操作我名下这个系列的全部 NFT”。一次签名,整个系列的操作权就交出去了。假的 NFT 空投、假的“免费 mint”最爱用这个——你以为在免费领一个 NFT,实际签的是把你已有的高价值 NFT 全权交给对方处置。
看钱包弹窗,区分这几个词:Approve / 授权额度(ERC-20)、Set Approval For All / 全部授权(NFT)、Permit(离线签名授权,见下一节)。只要是“领空投”却弹出这些,先停手。领取应该是对方给你转账或你领取,不是你给它开权限。
授权是发到链上的真实交易,需要付 gas,也会在区块浏览器上留下记录。好消息是:既然是链上记录,你就能查到自己给哪些合约开过哪些额度,也能撤销。Etherscan 提供了 Token Approval Checker,能列出某地址的全部代币授权;专门做撤销的工具 revoke.cash 则把“查 + 撤”做在了一起。撤销这件事我们在第六、第七节细说,也在授权检查与撤销里有完整图文步骤。
签名钓鱼:permit 离线授权与 eth_sign 盲签的危险
很多人以为“只要不发交易、只是签个名,就不花钱也不危险”。这是个致命误解。有一类钓鱼根本不需要你发链上交易,只要你签一个看起来无害的消息,钱就没了。这就是签名钓鱼。
permit:一个签名等于一次授权
以太坊有个改进提案叫 EIP-2612(permit),它的本意是好的:让 ERC-20 的授权可以通过一个离线签名完成,而不必单独发一笔花 gas 的 approve 交易。也就是说,你签一个结构化的消息,对方拿着这个签名就能去链上替你完成授权。技术细节可以看 EIP-2612 原文,以及以太坊基金会关于交易与签名的科普。
问题在于:对普通用户来说,签一个 permit 消息和签一个普通登录消息,弹窗看起来差不多,都不花 gas。骗子把钓鱼页设计成“签名验证你的空投资格”,你以为只是证明自己是钱包主人,实际签的是一份 permit,授权他动你的某种代币。签完页面甚至不会有任何变化,等你发现时,对方已经拿你的签名在链上完成了授权并转走资产。permit 钓鱼比 approve 钓鱼更隐蔽,因为它绕过了“发交易要付 gas、要二次确认”的心理门槛。
eth_sign 盲签:最该警惕的弹窗
还有一种更原始也更危险的请求:eth_sign。它能让你签署一段“看不出含义”的原始数据(通常是一串十六进制哈希),钱包没法把它翻译成人话告诉你这签的是什么。这就是所谓“盲签”。理论上,这段数据可以是一笔授权、一笔转账、任何东西。正经 DApp 极少要求 eth_sign,MetaMask 等钱包默认会对它弹出强烈警告,关于各种签名方法的风险,MetaMask 官方支持文档(support.metamask.io)有专门说明。
看到钱包提示“这是一个 eth_sign 请求”“无法解析的原始签名”“签名内容无法显示”这类红色警告,直接关掉,别签。除非你百分百清楚自己在做什么,否则盲签没有任何应当配合的理由。
判断签名安全的一个朴素原则:钱包能用人话清楚告诉你“你正在授权 X 合约动你 Y 代币”,且这正是你想做的事,才签;只要内容含糊、或与你以为的操作对不上,就拒签。关于签名的更多细分类型和风险案例,我们整理在签名风险这篇里。
一步步识别一个空投真假
把上面的原理落到操作上,这是我们自己每次遇到一个“空投机会”时会走的一遍流程。它不保证抓出 100% 的骗局,但能挡掉绝大多数。顺序很重要:先核身份,再看动作,最后才考虑要不要碰。
| 步骤 | 具体怎么做 | 出现什么就停手 |
|---|---|---|
| 1. 核入口来源 | 这个链接从哪来的?私信、评论、广告、二维码来的一律高度怀疑。从项目官方主页/官方文档自己点进去。 | 是别人主动发给你的、或搜索广告位点进去的 |
| 2. 核域名 | 逐字对域名,注意多一个字母、换后缀、相似字符。把官网书签和当前页对比。 | 域名与官方有任何差异 |
| 3. 看它要你做什么 | 读钱包弹窗:是单纯连接,还是要 approve / setApprovalForAll / permit / eth_sign? | “领取”却要你授权或签结构化消息 |
| 4. 核授权对象 | 弹窗里的 spender 合约地址,是不是项目公开的正经合约?拿去区块浏览器查。 | spender 是陌生地址、新建不久、无验证 |
| 5. 看额度 | 如果是 approve,额度是不是“无限”?能改成刚好够用就改。 | 不明不白要无限额度 |
| 6. 交叉验证 | 这个空投在项目官方推特/公告里有没有同一个链接?社区有没有人在喊“是假的”? | 官方渠道查无此事,或已有人预警 |
这套流程里,第 3 步是分水岭。我们的体感是:只要把“领取这件事居然要我授权/签名”当成红灯而不是绿灯,假空投的命中率会大幅下降。真空投当然也可能需要你发一笔领取交易(claim),但那是“你主动领、你付 gas、合约把币转给你”,方向是币流向你;而授权钓鱼是“你把动用权交出去”,方向是权限流向它。方向反了,就是危险信号。
另外提醒一句关于多钱包:很多人为了撸空投开很多小号,这件事本身有女巫风险(项目方可能判定为作弊而取消资格),也会放大授权管理的难度。如果你确实在用多钱包,更要注意别把主钱包和到处连接的“试水钱包”混用,这点和女巫风险一起,我们在新手十大坑里也提过。
已经中招了怎么补救:撤销授权、转移资产、止损
如果你怀疑自己签了不该签的东西,别慌也别拖。链上的事讲究先后顺序——下面这个顺序是按“止血优先级”排的,越靠前越要立刻做。
第一步:判断是哪种泄露
分两种情况,应对完全不同:
- 只是授权/签名被骗(私钥和助记词没泄露)。这种情况下,对方只能动你授权过的那种代币,动不了你没授权的资产。重点是尽快撤销授权 + 把高风险资产挪走。这个钱包多数还能继续用(撤销后),但要谨慎。
- 助记词 / 私钥泄露(比如你把助记词输进了某个网站、或导入了来路不明的钱包)。这种最严重——对方拥有了整个钱包的完全控制权,撤销授权没用,他能直接转走一切。这个钱包必须整体放弃,立刻把还能抢救的资产转到一个全新的、私钥从未上过网的钱包。
只要助记词或私钥碰过任何网站、截图、聊天记录、云笔记,就当它已泄露,不要心存侥幸继续用这个钱包。守护助记词的原则我们单独写在了助记词安全,强烈建议一并读。
第二步:撤销可疑授权
用 revoke.cash 或 Etherscan Token Approval Checker 连接(只读地址即可先看)你的钱包,列出全部授权,找到那个陌生的、或你不记得开过的 spender,点撤销(revoke)。注意:撤销授权本身是一笔链上交易,需要你付 gas、并用钱包签名确认。这意味着你的钱包里得有一点点用于 gas 的主币(比如以太坊上的 ETH)才能完成撤销。撤销成功后,那个合约就再也不能动你这种代币了。
有个时间差要清楚:如果对方已经拿着你的授权把币转走了,撤销只能防止“今后再被转”,挽不回已经被转走的。所以撤销要快,但更要明白它是止损不是追回。
第三步:转移仍在危险中的资产
如果是助记词泄露的严重情况,或者你不确定还有哪些隐藏授权,最稳的是把这个钱包里有价值的资产(代币、NFT、质押凭证等)尽快转到一个全新钱包。转移时先转最值钱、最容易被秒走的;同时盯着别因为抢救时手忙脚乱又点了新的钓鱼链接。
有个两难:助记词泄露时,攻击者可能用机器人盯着这个地址,你一充 gas 进去准备转移,gas 可能立刻被他转走(俗称 sweeper bot)。这种情况下普通用户很难自救,更说明防在前面比补救重要得多——别让助记词上网,是所有防护里回报最高的一条。
第四步:复盘与上报
事后回头看清楚自己是在哪一步、点了什么链接、签了什么,记下那个钓鱼域名和合约地址。可以在区块浏览器上把恶意合约标记/举报,也可以在项目官方渠道提醒其他人。复盘不是自责,是把这次教训变成下次的肌肉记忆。
日常防护习惯:分钱包、限额授权、定期撤销
所有补救都比不上一开始就少授权、少暴露。下面这几个习惯,我们自己一直在用,成本不高但能挡掉大部分风险。
分钱包:把资产和折腾隔开
至少分两层:一个“金库钱包”,只存长期资产、几乎不连任何 DApp、最好用硬件钱包;一个“试水钱包”,专门用来连各种新站、领空投、做任务,里面只放你输得起的少量资金。这样即便试水钱包被授权钓鱼搞了,损失也封顶在那点钱里,金库纹丝不动。这是性价比最高的一条防线,没有之一。
能限额就别给无限授权
很多钱包在 approve 弹窗里允许你手动把额度改成“刚好够这次用”,而不是默认的无限。多花十秒改一下,就把“这个合约日后能掏空我这种代币”的风险降成“最多掏走这一次的量”。能用限额就别图省事开无限。
定期撤销,把授权当卫生习惯
授权会累积。你撸得越多、连的站越多,名下挂着的授权就越多,其中难免有早就不用、甚至当时就有问题的。建议养成定期(比如每月一次)用 revoke.cash 或 Etherscan 检查一遍授权列表的习惯,把不再使用的统统撤掉。授权列表越干净,被某个旧合约连累的可能就越小。
把官网存成书签,别现搜
前面说过搜索广告投毒。把你常用项目的官网、常用工具(比如撤销工具、区块浏览器)都存进书签,每次从书签进,从根上避开假官网。辨别官方渠道的更多方法在怎么辨别官方渠道里。
慢一点,没有真空投是“现在不点就没了”
骗子所有话术的核心都是制造紧迫感。反过来,把“紧迫”本身当成可疑信号。正经空投的领取窗口通常以天甚至周计,给你充分时间核对;那些精确到小时、催你立刻签名的,基本都有问题。养成“看到限时先停三十秒”的反射,比记任何技术细节都管用。
我们踩过的最值钱的一课不是技术,是节奏:被骗的那几次,回头看都是“当时太想领了、没多看一眼那个弹窗”。后来强迫自己每次签名前念一遍“它要动我什么”,假的就基本进不来了。
配套工具与自查
把这篇里说的判断动作,做成了几个可以直接用的自查工具,建议收藏,遇到空投时配合本文流程走一遍:
- 假空投红旗自查:按域名来源、要求的动作等逐项打分,帮你快速判断一个空投像不像真的。
- 授权风险自查:核对你正准备签的授权/签名属于哪一类、风险点在哪。
- 助记词安全自查:检查你的助记词保管方式有没有上网、截图等致命漏洞。
- 地址校验:核对你要交互的合约/收款地址有没有抄错或被替换。
外部工具方面,撤销与查授权认准官方与公认来源:revoke.cash、Etherscan Token Approval Checker;钱包安全设置看你所用钱包的官方文档,例如 MetaMask 支持中心;想把底层概念搞扎实,以太坊基金会中文站是最值得花时间的免费资料库。
最后收个尾。假空投和授权钓鱼听起来花样很多,但骨架就两件事:骗你到一个会签名/授权的地方,然后让你在没看清的情况下把动用资产的权限交出去。把“领币却要我授权/签名”当红灯、把官网存书签、分钱包、定期撤销、永不让助记词上网——这五条做到,你已经躲开了绝大多数针对散户的链上钓鱼。剩下的,交给“签之前多看一眼那行字”的习惯。
常见问题
真空投会不会要我先交一笔手续费才能领?
正经空投领取通常是你自己发一笔领取交易、自己付链上的 gas,币是流向你的。如果对方让你先转一笔“手续费”“保证金”“激活费”到某个地址才肯放币,基本可以判定是假的。记住一个方向:真领取是币进你钱包,而不是你先把钱或权限交出去。
钱包里凭空多出来的代币能不能动?
不要动它,也不要去它指引的任何网站。这类代币多半是骗子批量撒进来的诱饵,本身可能根本卖不掉,真正的陷阱是它引你去连钱包、签授权的那个页面。你可以在区块浏览器上查一下它的来历,但别和它发生任何交互,在钱包里直接隐藏就行。
签名和授权有什么区别,是不是只要不发交易就安全?
这是个常见的误会。授权(approve)是一笔花 gas 的链上交易,而 permit 这类签名是离线的、不花 gas,但效果一样能让对方动你的代币。也就是说,光签个名也可能把资产权限交出去。判断原则是看钱包能不能用人话说清“你在授权谁动你哪种代币”,内容含糊或对不上就拒签。
已经授权过了,资产是不是一定会被盗?中招了怎么补救?
不一定。如果只是授权被骗、助记词和私钥没泄露,对方只能动你授权过的那种代币,赶紧用 revoke.cash 或 Etherscan 撤销那个可疑授权,再把高风险资产挪走。但要清楚,撤销只能防今后再被转,挽不回已经转走的,所以越快越好。如果是助记词或私钥泄露,这个钱包要整体放弃,立刻把还能救的资产转到全新钱包。