新手最容易踩的 10 个空投坑
这几年看下来,新人栽跟头的地方惊人地集中:换的项目不一样、链不一样,犯的错却是同一批。一个人刚进圈想免费拿点币,往往在头一两个月就把这些坑踩个遍——有的只是白忙一场,有的直接把钱包掏空。我们自己早年也交过其中好几笔学费,所以这篇不讲虚的,就把这 10 个最常见、也最致命的坑摆出来,每个都说清三件事:它长什么样、为什么危险、以及怎么绕开。能在动手前认全它们,比事后到处求助管用得多。
顺序大致按“致命程度”从高到低排,前几个一旦踩中可能血本无归,后几个更多是白费力气或留下隐患。建议从头读,别只挑自己觉得相关的看——很多人翻车恰恰是因为觉得“那个坑跟我无关”。
坑一:在网页里输入助记词
现象。连上一个号称发空投的页面后,它弹出一句吓人的话——“检测到钱包存在风险,请输入助记词完成安全验证以领取”,下面一排整齐输入框,正好 12 或 24 个,logo、客服、倒计时一应俱全。也有的伪装成“同步钱包”“激活领取资格”。
为什么危险。助记词等价于你钱包的全部控制权,谁拿到它就能在自己设备上恢复出你的钱包、把资产转走,链上转账一旦确认无法撤回、没有客服能找回。这是所有坑里最致命的一个,踩中基本等于清零。助记词的生成规则来自一个公开标准,钱包只是按这个标准把私钥编码成单词,详见 BIP-39 标准原文。
怎么避。记死一条:助记词只在“新设备恢复钱包”时输进你信任的钱包 App 本身,永远不进任何网页、不发给任何人。任何页面、任何“客服”向你索要助记词,无一例外是钓鱼——MetaMask 官方也反复声明绝不会问你要助记词,见 MetaMask 安全与隐私支持页。这条底线展开讲在助记词安全里。
最唬人的话术是“为了您的资产安全,请验证助记词”,它把“交出钥匙”包装成“做安全检查”。真正的安全措施从不需要你把助记词告诉任何页面或任何人。看到这类要求,立刻关掉页面。
坑二:随手点掉无限额度授权
现象。在某个 dApp 上想换币或做任务,钱包弹出一个授权请求,你看都没细看就点了确认。多数人不知道,这一下很可能授予了对方无限额度地动用你某种代币的权限,而且这个权限会一直留着。
为什么危险。授权(approve)和转账是两回事:转账是把币给出去,授权是允许某个合约以后随时从你地址里划走对应代币。一旦授权给了恶意或被攻破的合约,对方可以在你毫不知情时把额度内的代币一次性卷走。很多“钱包没输助记词也被盗”的案例,根子就在这里。授权的机制本身是以太坊代币标准的一部分,可参考 以太坊 ERC-20 文档。
怎么避。签授权前看清三样:对方合约地址、授予的代币、额度。能填精确额度就别给无限额度。对没听过的合约尤其谨慎。日常用 revoke.cash 或 Etherscan 授权检查工具查一遍自己开出去的授权。完整做法见授权检查与撤销,动手前也可以先过一遍本站的授权风险自查。
坑三:为“领空投”先交一笔手续费
现象。页面显示你“已获得”一笔可观的空投,但要先支付一笔“gas 费”“解锁费”“认证费”才能提取;或者让你先转一点币到某地址“激活资格”。金额看着不大,对比能领到的“几千美元”很划算。
为什么危险。这是经典的“预付费”骗局。正经空投要么直接打到你地址,要么让你自己花 gas 去合约里 claim——这笔 gas 是付给链上矿工/验证者的网络费,绝不会让你转一笔钱到某个私人地址。凡是要你先付钱给对方才给币的,钱付出去就没了,所谓空投也根本不存在。gas 费到底是什么、付给谁,本站gas 费是什么讲得清楚。
怎么避。认死一条原则:领空投只可能让你花网络 gas 自己去 claim,绝不会要你把币转给某个地址换取领取资格。看到“先交 X 才能解锁 Y”,直接判定为假。这类话术的更多变体,整理在防假空投与授权钓鱼,也可用假空投红旗自查对照排查。
真去合约 claim 时,付的是链上 gas,钱包会显示这笔费用是给网络的、收款方是合约或空白,而不是某个让你“先转账过来”的钱包地址。这两者一定要分清。
坑四:用装着大额资产的主钱包到处连 dApp
现象。图省事,平时存币的主钱包也拿去连各种新站、领空投、做任务。一个钱包走天下,资产和高频交互全混在一个地址里。
为什么危险。领空投本质就是不停连陌生网站、签各种名、和没听过的合约交互,风险天然高。只要其中一次踩了恶意授权或签名陷阱,整个主钱包的资产都暴露在风险里。把全部身家放在一个天天连陌生 dApp 的地址上,等于把保险柜钥匙天天插在门上。
怎么避。把钱包分开用:开一个“试水钱包”,只放够付 gas 和小额交互的钱,专连新站、领空投、做任务;另开一个“金库钱包”存大额,几乎不连 dApp,最好配硬件钱包。这样即便试水钱包某次授权出事,损失也封顶在那点钱里。钱包本身的来龙去脉可看什么是 Web3 钱包。自我保管的逻辑,以太坊基金会的钱包介绍页讲得很到位。
“高活跃低金额 + 低活跃高金额”的双钱包组合,是撸空投的人最该有的基本盘。试水钱包定期清掉旧授权,金库钱包能不连就不连。
坑五:不核实官方渠道就点链接
现象。从某条推文、群消息、私信、甚至搜索结果靠前的广告位点进一个“空投页”,看着和官方一模一样就连钱包、签授权。其实域名差一个字母,或者是仿冒的二级域名。
为什么危险。钓鱼站的核心就是“以假乱真”:UI、文案、logo 全照搬,唯独网址是假的。社交平台上冒充官方的账号、置顶评论里的“领取链接”、私信发来的“客服通道”,绝大多数是陷阱。你一旦在假站上连钱包、签授权,前面那几个坑就接踵而至。
怎么避。链接只从你自己确认过的官方源头进入——把官网、官方社媒收进书签,从书签或官方文档里跳转,别从推文/私信/搜索广告直接点。地址栏逐字核对域名,警惕相似字符。合约真伪可在 Etherscan 上对照。系统的核实方法见辨别官方渠道。
坑六:无脑刷交互,结果被判女巫
现象。听说“交互越多分越高”,就用脚本或纯手工疯狂刷量:同样的动作机械重复、几十个钱包一个模板批量操作、资金从同一个源头分发、行为时间高度一致。满以为稳拿,结果快照时被项目方判定为女巫(Sybil),一分没有。
为什么危险。女巫攻击指一个人伪装成大量独立用户来多占份额,这个概念可参考 维基百科 Sybil attack 词条。项目方为了把空投发给真实用户,普遍会做女巫识别:关联资金流、相似行为模式、雷同的操作节奏都可能被标记并整批剔除。机械刷量不仅白费 gas,还可能把名下一串钱包一锅端。
怎么避。方向是做真实、有意义的链上活跃,而不是凑次数:交互有自然的时间分布、用途多样、别让多个钱包共用资金源和同一套动作。多钱包到底踩在哪条线、怎么降低关联,见多钱包与女巫。L2 生态里哪些项目值得花时间,可以参考 L2BEAT 这类中立数据站自己判断,而不是听人喊单。
坑七:只算收益,不算成本
现象。眼里只有“这个空投可能值多少钱”,却没算过为它花了多少:gas、跨链桥费、买入的本金、可能的兑换损耗,还有最容易被忽略的时间。一通操作下来,就算真发了币,扣掉成本未必还剩多少。
为什么危险。很多人忙活几个月,最后发现 gas 和本金加起来比领到的还多,等于倒贴。空投能不能领到、值多少,事前都是未知数,但成本是实打实先付出去的。不记账,你根本不知道自己是赚是亏,也无从判断哪些项目值得继续投入。
怎么避。动手前先把成本列出来:预估 gas(含失败交易)、桥费、占用的本金、时间。给自己设一个“最多投入多少”的上限。本站撸毛成本计算器能帮你把这些项加总,gas 费计算器可估算单链开销。以太坊主网拥堵时 gas 会明显走高,实时费率可在 Etherscan Gas Tracker 上看,把这块算进预算别拍脑袋。
坑八:看到别人晒收益就 FOMO 追
现象。社媒上有人晒出“一个空投领了几万”的截图,心里一急,立刻冲进去照抄路线、加大投入,生怕错过下一个暴富机会。这种“怕错过”的心态就是 FOMO。
为什么危险。晒出来的几乎都是幸存者:赚到的高调,亏掉、被骗、白忙的没人发。等一个项目被刷屏,往往热度已过、性价比变差,甚至正是骗子蹭热点设套的窗口。FOMO 驱动下的决策通常跳过核实、加大本金、放松警惕,前面那些坑会成倍变危险。这种心理偏差在投资里很常见,可参考 Investopedia 对 FOMO 的解释。
怎么避。把节奏放慢。看到别人晒收益,先问三句:他承担了多少成本和风险、信息可不可核实、现在进去性价比还在不在。用一套固定的核实流程代替冲动,宁可错过也别在没看清时下重注。截图无法证明任何事,别拿别人的结果替自己做决定。
越是“限时”“仅剩 X 名额”“错过不再有”的氛围,越要慢下来——制造紧迫感正是让你跳过核实的常用手段,无论它来自骗子还是单纯的炒作。
坑九:任务做完就走,从不撤销授权
现象。为做任务给一堆 dApp 签过授权,任务做完、活动结束就再不管了。半年下来,一个常用地址可能累积了几十个还生效的授权,自己早忘了开给过谁。
为什么危险。授权不会自动过期,会一直挂在你地址上。当初看着正常的合约,日后可能被攻破、被发现存在漏洞,那这条还开着的授权就成了被掏空的通道。坑二是“别乱授权”,这一坑是“授过的要定期收回”,两者是一套动作的前后半段。
怎么避。养成定期“断舍离”的习惯:每隔一段时间用 revoke.cash 或 Etherscan 授权检查工具过一遍当前授权,把不用的、可疑的、给了无限额度的统统撤掉(撤销本身要花一点 gas,但值)。完整流程在授权检查与撤销,清单式自查可用授权风险自查。
坑十:把空投当稳赚,不给风险留余地
现象。把撸空投当成“免费的钱”“稳拿的收益”,于是上大本金、上杠杆、押上输不起的资金,甚至借钱来撸,心里默认“反正最后会发币”。
为什么危险。空投从来不是确定的:项目可能根本不发币、可能把你的地址判为女巫、发的代币也可能上线即归零或一路下跌。你投入的成本是确定的,回报是不确定的。把不确定当成确定,一旦预期落空,亏的是真金白银,归零和价格波动都是实打实存在的风险。除此之外还有税务问题——不同地区对空投所得的认定不一样,落袋时可能涉及纳税。
怎么避。给自己定规矩:只用输得起的闲钱参与,不借钱、不押上生活资金;事前承认“可能颗粒无收”,把它当成有风险的尝试而非稳赚的生意。归零与税务这两块怎么提前准备,见税务与归零风险。代币是不是真有价值、生态有没有人用,自己上 DefiLlama 看真实数据比听喊单靠谱。
本站不替你判断任何项目好坏、不预测价格,也不会说哪个空投“值得冲”。我们能做的,是把方法和风险讲清楚,剩下的判断和后果,由你自己承担。
收个尾。这 10 个坑里,前四个事关资产安全,踩中可能直接清零,必须刻进肌肉记忆;中间几个关乎别白忙、别被情绪带着走;最后一个是心态——把空投当成一件有风险的尝试,而不是稳赚的买卖。新人和老手的差距,很多时候不在谁信息多,而在谁更少踩这些坑。动手之前,不妨把这份清单再过一遍:助记词不进网页、授权看清再签、不先交钱、分钱包、核实官方、做真实交互、算清成本、别被 FOMO 带跑、定期撤销、用闲钱。守住这些,你已经躲开了绝大多数让新人栽跟头的地方。