假空投常见套路与红旗清单
拿不准真假的时候,别凭感觉。这是我们被坑过几次后总结出的一句话。感觉这东西最不可靠——你越想领到那个币,感觉就越往“它应该是真的”那边偏。所以与其问自己“这看起来像不像真空投”,不如换一个更冷的问法:它有没有踩中那些假空投反复出现的特征?这篇就是把那些特征摊开,做成一份你可以一条条对照的清单。看到一条命中先停一下,命中两条以上,基本可以收手了。
需要先说清楚的是:真空投确实存在,正经项目把代币按链上行为分给早期真实用户,是合法且常见的分发方式(代币与合约的基础概念,可以看以太坊基金会的ERC-20 代币标准说明)。正因为真的存在,假的才有伪装的空间。所以这份清单不是教你“看见空投就当骗子”,而是教你怎么在该警惕的地方警惕。下面每一节对应一面红旗,最后一节讲怎么把这些红旗逐条核实掉。
本文不替任何空投项目背书,也不预测任何代币价格。空投代币存在归零、剧烈波动与税务风险,是否参与请自行判断。这里只讲“怎么把假的认出来”。
红旗速览:拿不准时先数这几条
先给个总表,后面每节展开。你不需要全记住,把这张表当成遇到空投时的第一道过滤网:凡是命中的,往下读对应小节,搞清楚为什么它危险。
| 红旗 | 它通常长什么样 | 命中后怎么办 |
|---|---|---|
| 要助记词 / 私钥 | “输入助记词验证资格”“导入钱包同步” | 立刻关掉,没有任何例外 |
| 先交手续费 | “领取需先付一笔 gas/解锁费/保证金”到某地址 | 真空投自己付 gas,不会先转钱给对方 |
| 钱包凭空多代币 | 没参与过却冒出一个标价很高的币 | 别碰、别去它指引的网站、别卖 |
| 域名对不上 | 多一个字母、换后缀、相似字符 | 逐字核对,存疑就不进 |
| 陌生私信 / 客服 | 主动私聊帮你“核对资格”“解决失败” | 主动私信一律当骗子 |
| 倒计时催促 | “仅剩 2 小时”“快照即将结束” | 把紧迫本身当可疑信号 |
| 领取却要授权 / 盲签 | 弹窗是 approve / setApprovalForAll / 看不懂的签名 | 方向反了,拒签 |
这张表的内核其实只有两点:一是要你交出钱包的控制权(助记词、授权、盲签),二是要你先掏钱(手续费、解锁费)。所有花样都绕着这两件事转。把它记牢,再多的新马甲也万变不离其宗。我们把这些判断也做成了一个打分式的假空投红旗自查工具,遇到具体案例时可以配着用。
要助记词或私钥
这是最该一眼毙掉的一条,也是底线中的底线:任何让你输入助记词(seed phrase / 12 或 24 个单词)或私钥的页面,无论包装得多像官方,都是骗局,没有例外。记住一个事实——助记词等于你钱包的全部控制权。谁拿到它,谁就能把你这个地址下的所有资产、所有链上的资产,全部直接转走,连授权撤销都救不了你,因为他已经是这个钱包的主人了。
正经的领取流程从不需要助记词。你连接钱包靠的是钱包插件本身(比如点一下“连接”,由钱包弹窗确认),整个过程钱包 App 替你管私钥,你永远不该把那串词手动敲进任何网页、表单、聊天框、客服系统。骗子会用各种理由包装:“同步资产”“验证你是钱包主人”“恢复领取权限”“迁移到新合约”,话术每次不同,要的东西永远一样。
变体也要警惕:要你“导入钱包”到某个陌生 App、要你扫一个二维码后输入恢复短语、假“钱包升级”页面要你重新录入助记词——本质都是骗助记词。只要那串词要离开你的钱包 App 去到别处,就是红灯。守护助记词的完整原则我们写在助记词安全里。
顺带说一句保管原则:助记词一旦碰过任何网页、截图、云笔记、聊天记录,就当它已经泄露,别再用那个钱包存重要资产。这条比任何技术防护都重要,因为它对应的损失是无法挽回的——授权钓鱼至少还能撤销止损,助记词泄露往往是一步到底。
先交手续费才能领
第二条高频套路:告诉你“空投已经到账,但要先支付一笔手续费/gas/解锁费/保证金,才能把币提出来”,并给你一个收款地址让你转钱过去。这是典型的预付费骗局,链上版的“先交钱才发货”。
要看穿它,得先理解真实的领取在 gas 上是怎么回事。在以太坊这类链上,你自己发起的任何交易(包括领取空投的 claim 交易)确实要付 gas,但这个 gas 是付给网络的、由你的钱包自动从你余额里扣的主币(如 ETH),不是转给某个项目方地址的“手续费”。换句话说:真空投的成本是你自己钱包扣 gas,从来不是“先打一笔钱到某个地址”。gas 到底是什么、付给谁,可以看以太坊基金会的gas 与手续费说明,也可以读我们的gas 费是什么。
所以判断很干脆:凡是要你“先把钱转到某个地址才能领”的,一律是假的。真领取里钱永远是流向你的,不会让你先付一笔给对方。骗子常用的加码话术是“你的代币价值几千美元,只要付几十美元手续费就能解锁”,用巨大的诱饵让那笔小额预付显得划算——这正是它危险的地方,越是“小钱换大钱”的算术越要警惕。
分清两种“付费”:你的钱包自动扣 gas 去发一笔交易(正常),和让你主动转一笔钱到某地址去“解锁/激活”(骗局)。前者钱包替你算好、付给网络;后者是有人让你给他打钱。
钱包凭空多出不明代币
某天打开钱包,余额里突然多了一个你从没参与过的代币,名字像某个项目的“奖励”“凭证”,标价看着还不低。先别高兴,这大概率是钓鱼诱饵。这类代币是骗子向一大批地址批量转账(俗称空投撒币 / dust)撒进来的,谁的地址都能收到,出现在你钱包里既不代表它值钱,也不代表你“中奖了”。
它的作用是个鱼钩。代币的名称、它关联的网站、或它的合约描述里,会写着“到某网站领取/兑换/解锁”。你一旦顺着去那个网站连接钱包,真正的授权钓鱼才开始。所以处理原则非常简单:来路不明、你没参与过任何任务却自己冒出来的代币,不要点、不要去它指引的任何网站、更不要试图卖掉它。试图卖出本身可能就要你给某个恶意合约授权。
你可以做的安全动作是查它的来历而不与它交互:拿代币合约地址去区块浏览器(如 Etherscan)看它是谁、什么时候、给多少地址批量发的。看明白了,在钱包里把它隐藏即可。单纯收到一个代币、不去碰它指引的网站,一般不会造成损失;损失发生在你被它引去授权的那一刻。
“钱包里多了个值钱代币”是假空投最爱用的钩子之一,因为它利用的是惊喜感而不是恐惧感,更容易让人放松。看到陌生代币,默认把它当鱼饵,而不是当礼物。
仿冒域名与假官网
这一条是所有钓鱼的物理入口。骗子做一个和真项目几乎一模一样的页面,唯一的破绽常常藏在地址栏里——域名跟真的差一点点。常见手法有:多一个或少一个字母、把字母换成形近字符(比如把小写 l 换成数字 1、把 o 换成 0、用某些看着一样的特殊字符)、换一个后缀(把 .io 换成 .org、.xyz、.app)、在域名里塞进项目名当子域(比如把项目名放在一个陌生主域前面)。这些在一眼扫过时极难发现,但逐字核对就会现形。
更隐蔽的是搜索广告投毒:你在搜索引擎搜项目名,排在最顶上的“广告位”可能是骗子买的假官网,你以为点进了官网,其实从入口就错了。所以有两个习惯值得养成:第一,别从搜索结果顶部的广告链接进任何加密项目;第二,常用项目的官网、常用工具,自己存成书签,每次从书签进。从可信来源(项目官方社媒主页、官方文档、知名聚合站)交叉确认官网,比靠记忆和搜索靠谱得多。怎么确认一个官网到底是不是官方,我们在怎么辨别官方渠道里专门展开了。
核域名时还有个配套动作:核对你要交互的合约地址。即使域名看着对,页面里的“领取合约”也可能被替换成骗子的地址,所以真正交互前,把那个地址拿去区块浏览器查证,或用地址校验确认没抄错、没被掉包。
陌生私信与假客服
你在某个项目的官方群、推特评论区、Discord 里问了句话,几分钟内就有“客服”“小助手”“管理员”私信你,态度热情,主动帮你“核对资格”“解决领取失败”“处理卡住的交易”,然后发来一个链接或要你连钱包、签个名。这套几乎是模板化的,识别它只需要记住一条:正规项目方几乎从不主动私信你,真客服也不会通过私聊让你连钱包、签名、或提供任何助记词。
骗子盯着公开频道里发问、抱怨、求助的人,因为这些人正处在“有问题、想解决、容易听劝”的状态。他们冒充的身份会精心包装:头像和昵称仿得很像官方、签名档写着“官方支持”、甚至伪造一个看起来有很多成员的“官方客服群”把你拉进去。但无论包装多真,主动私信这个动作本身就是最大的红旗。
反过来用这条:你需要客服时,永远是你从官方公开渠道去找官方入口,而不是等任何人来私信你。把“谁主动来找我,谁就可疑”设成默认,会替你挡掉一大类社工骗局。
这类社工套路常和前面的假官网、假领取页配合出现——私信只是把你引过去的传送门。把防假空投与授权钓鱼那篇里讲的入口判断和这条一起用,效果更好。
倒计时制造紧迫
几乎所有假领取页都会挂一个倒计时:“仅剩 2 小时”“名额还剩 13 个”“快照即将结束,错过不再补发”。这不是巧合,是设计。紧迫感的唯一目的,就是不给你留出核对的时间——你一旦进入“手慢就没了”的状态,前面那些本该让你停下的红旗就会被你自己忽略掉。
对付它的办法很简单,但需要刻意练习:把紧迫感本身当成一个独立的可疑信号。逻辑是这样的——正经空投的领取窗口通常以天甚至周计,项目方没有理由逼你在几分钟内完成一个涉及钱包安全的操作;反过来,越是精确到小时、越是催你“立刻签名”的,越大概率有问题。所以看到倒计时,正确的反应不是加快,而是减速:先停三十秒,把这篇里的红旗过一遍再说。错过一个真空投顶多是遗憾,点错一个假空投是真金白银的损失,这笔账不难算。
我们复盘自己被坑的那几次,几乎每次都有一个倒计时在催。后来强制自己一看到“限时”就先离开页面、去官方渠道核一遍,假的基本就在这一步被筛掉了。
连接钱包后的盲签授权
前面几条多半在你点链接之前就能拦下。这一条是最后一道、也是最关键的一道关:钱包弹窗弹出来的那一刻。很多假空投把前面几步做得很干净,就是为了把你引到这里,让你在“快领到了”的兴奋里随手点下确认。看懂这个弹窗,是防假空投的核心技能。
关键的判断点是:领取空投,方向应该是币流向你,而不是你把动用资产的权限交出去。真领取通常是你发起一笔 claim 交易、自己付 gas、合约把币转给你。如果“领取”这个动作要求你做下面这些,就是危险信号:
- approve / 授权额度(ERC-20)。你在批准某个合约能从你余额里转走多少这种代币。骗子要的就是把这个额度设成无限,授权给他控制的地址,之后他不用再问你就能反复把你的币转走。
- setApprovalForAll / 全部授权(NFT)。一次签名就把你某个 NFT 系列的全部操作权交出去。假“免费 mint”最爱用这个。
- permit(离线签名授权)。不花 gas、弹窗看着像普通登录签名,但你签的其实是一份授权,对方拿着签名就能去链上动你的代币。比 approve 更隐蔽,因为它绕过了“付 gas、二次确认”的心理门槛。
- 看不懂的原始签名(盲签)。钱包提示“无法解析”“原始数据”“签名内容无法显示”这类,意味着你在签一段看不出含义的东西,理论上它可以是任何操作。
授权和签名的技术原理我们在防假空投与授权钓鱼里讲得更细,各种签名类型的风险单独整理在签名风险。这里给一个朴素的安全判据:钱包能用人话清楚告诉你“你正在授权 X 合约动你 Y 代币”,且这正是你想做的,才签;只要内容含糊、或和你以为的操作对不上,就拒签。MetaMask 等钱包对高风险签名(尤其是盲签)会弹出明确警告,看到红色警告别绕过,官方对各种签名方法的说明见 MetaMask 支持中心。
万一已经签了不该签的:尽快用 revoke.cash 或 Etherscan Token Approval Checker 撤销那个可疑授权,越快越好。撤销是止损(防今后再被转),挽不回已被转走的,完整步骤见授权检查与撤销。
怎么逐条核实
红旗认完了,最后讲怎么把它们落到一套可执行的核实动作上。这是我们自己每次遇到“空投机会”都会走的一遍,顺序很重要:先核身份,再看动作,最后才决定碰不碰。
| 核实步骤 | 具体怎么做 | 出现什么就停手 |
|---|---|---|
| 1. 核入口来源 | 链接从哪来?私信、评论、广告、二维码来的高度怀疑。从官方主页/官方文档自己点进去。 | 是别人主动发给你的,或点搜索广告位进的 |
| 2. 核域名 | 逐字对域名,留意多字母、换后缀、形近字符。和你书签里的官网对照。 | 域名与官方有任何差异 |
| 3. 核它要你做什么 | 读钱包弹窗:单纯连接,还是 approve / setApprovalForAll / permit / 盲签? | “领取”却要授权或签结构化消息 |
| 4. 核授权对象 | 弹窗里的 spender 合约地址,是不是项目公开的正经合约?拿去区块浏览器查。 | spender 是陌生地址、新建不久、未验证 |
| 5. 核成本方向 | 是钱包自动扣 gas,还是要你先转钱到某地址? | 要你先付一笔给对方才能领 |
| 6. 交叉验证 | 官方推特/公告里有没有同一个链接?社区有没有人喊“是假的”? | 官方查无此事,或已有人预警 |
这套流程里,第 3 步是分水岭。我们的体感是:只要把“领取居然要我授权/签名”当红灯而不是绿灯,假空投的命中率会大幅下降。再配上第 5 步的“成本方向”判断(gas 是钱包扣给网络,不是你转钱给对方),预付费骗局也基本进不来。把这两条刻进反射,比记任何单个钓鱼域名都管用,因为域名天天换,套路结构很少变。
还有一点关于多钱包:很多人为撸空投开很多小号,这本身有女巫风险(项目方可能判定作弊取消资格),也放大了授权管理的难度。如果你在用多钱包,更要把主钱包和到处连接的“试水钱包”分开,别混用——这点和其他新手常犯的错,我们在新手十大坑里一起讲了。
把这些动作工具化,我们做了两个能直接用的自查,遇到空投时配合这篇的清单走一遍:假空投红旗自查帮你按来源、域名、要求的动作逐项打分,快速判断像不像真的;授权风险自查帮你核对正准备签的授权属于哪一类、风险点在哪。外部工具方面,查授权和撤销认准 revoke.cash 与 Etherscan Token Approval Checker;想把底层概念搞扎实,以太坊基金会中文站是最值得花时间的免费资料库。
收个尾。假空投的花样年年翻新,但骨架就两根:要你交出钱包控制权,或要你先掏钱。这篇里的每一面红旗,最终都指向这两件事之一。拿不准的时候,别问“它像不像真的”,问“它有没有踩中这些红旗”——把判断从感觉换成清单,你就已经躲开了绝大多数针对散户的链上骗局。