首页 / 新手教学 / 防骗与钓鱼

链上骗局与钓鱼:怎么识别,怎么防,被盯上怎么办

在链上栽跟头的人,多数不是技术不行,而是被一套套精心设计的话术和界面骗着,亲手点了"确认"。这篇把当下最常见的骗局一个个拆开:它长什么样、靠什么得手、你怎么一眼识破、万一已经中招又该怎么处置。把这些套路看穿,比学任何高深技术都管用。

所有骗局的共同套路

在拆解具体手法前,先看清它们的"骨架"。几乎所有链上骗局,都在做下面这几件事中的一两件,把它们记住,比记一百个具体案例更有用:

  • 制造紧迫或贪念。"限时空投""账户异常需立即验证""稳赚的内部机会"——要么让你怕,要么让你贪,目的都是让你来不及思考
  • 诱导你做一个不可逆的动作。输入助记词、签一个请求、给出授权、往某地址打钱。它们要的,永远是你亲手点确认
  • 伪装成你信任的东西。假官网、假客服、假 App、假成熟项目,长得和真的几乎一样。

反过来说,识破骗局的钥匙,也藏在这套骨架里:当你感到"被催着做某个不可逆动作",或者"对方好得不像真的",几乎就是危险信号本身。下面每一种手法,我们都会落到同一个动作上——它最终想让你点的那个"确认"是什么、你怎么在点之前就把它拦下来。看穿了这一层,再多花样的包装也唬不住你。

一条贯穿全文的护身符:任何让你"赶紧、限时、马上"的催促,先停下来。链上没有"错过这一秒就亏大了"的好事,但有无数"急着点确认就清零"的陷阱。越急,越要慢。

假空投

长什么样:你的钱包里莫名其妙多了一些不知名的代币,或者收到"你符合某空投资格,点击领取"的消息、网页。它利用的就是"天上掉馅饼"的心理。

怎么得手:这些"空投"的代币本身往往是诱饵——当你去某个网页"领取"或试图把它卖掉时,会被要求连接钱包、签署一个请求或给出授权,真正的资产就在这一步被卷走。有的甚至只是引你点进一个钓鱼站。

怎么防:对凭空出现的代币不理睬、不交互、不点任何"领取"链接。真正的空投,你也应当从项目官方渠道核实领取方式,绝不从陌生链接进。钱包里出现垃圾代币是常态,放着别动就行。

假客服与冒充官方

长什么样:你在社群提问、或搜索"某钱包客服""某交易所人工",很快有"官方客服"私信你,热情地要帮你解决问题。也可能是冒充官方的群、私信、邮件主动找上门。

怎么得手:对方会引导你"把助记词发来核对""到这个页面验证身份""把钱转到安全账户暂存"。任何一步照做,资产就没了。真正的官方客服永远不会向你索要助记词或私钥,也不会让你把钱转到某个"安全地址"。

怎么防:记牢两条铁律——助记词/私钥不告诉任何人客服不会主动私信你。有问题,自己从官方域名(书签进)找官方帮助入口,不接受任何主动找上门的"客服"。助记词为什么绝不能外泄,详见《助记词安全怎么做》。

假网站与搜索广告位

长什么样:一个和真站几乎一模一样的 dApp、钱包或交易所网站,域名往往只差一两个字母,或挂在搜索结果的"广告位"上排在前面。

怎么得手:你以为进的是官网,连上钱包、输入信息或签署请求,全送给了攻击者。搜索广告位是重灾区——骗子专门买广告,把假站顶到真站前面,钓那些"现搜现点"的人。

怎么防:常用入口全部加书签,从此只从书签进,不用搜索引擎现搜。访问前核对域名每一个字母。怎么找一个工具的真正官方域名、怎么核实,可以看我们工具导航里每个分类的"怎么找官方"说明——宁可多花十秒核对,也别图快点进假站。

授权钓鱼

长什么样:一个看似正常的 dApp(常打着空投、兑换、铸造的旗号)让你"授权(approve)"某个合约动用你的代币。授权本是 DeFi 的正常机制,骗局把它武器化了。

怎么得手:恶意合约诱导你给出无限额度的授权,拿到权限后,它就能把你对应的代币全部转走——而且可能不是当场,是过一阵子你放松警惕时下手。

怎么防:授权时看清是授权给哪个合约、什么代币、多大额度,能选自定义额度就别给无限;只在可信的 dApp 上授权;定期用 revoke.cash 检查并撤销不再使用的授权。把"清理授权"当成像清理给出去的备用钥匙一样的日常习惯。授权机制的原理,《什么是 Web3 钱包》里有更细的讲解。

地址投毒

长什么样:你的转账历史里,悄悄出现一条来自"和你常用地址首尾极其相似"的地址的微小转账(甚至是 0 元交易)。

怎么得手:攻击者制造一个首尾几位和你常打交道的地址几乎相同的地址,故意给你转一笔,让它混进你的历史记录。下次你转账时若图省事从历史记录里复制地址,很可能复制到那个李鬼地址,钱就发给了攻击者。

怎么防:永远不要从转账历史里随手复制地址;地址从可信来源(对方当面给、官方页面、自己的地址簿)获取;粘贴后逐字核对,尤其是中间部分,别只看首尾;养成大额前小额测试的习惯。这套核对纪律,《出入金到底怎么走》里讲得很具体。

签名陷阱

长什么样:钱包弹出一个签名请求,内容是一串你看不懂的数据,页面催你"签一下就能领取/登录/继续"。

怎么得手:签名是用私钥对内容"盖章"。有的签名只是登录(不动钱),但有的签名本身就是一笔转账、一次授权,或一种特殊的"许可",签下去等于授权对方动你的资产。恶意网站会把危险签名伪装成无害的样子。

怎么防:看不懂的签名一律拒绝。留意钱包给出的风险提示和它能解析出的"这次签名会做什么"。对"先签个名就能领空投/解锁"这类话术保持高度警惕——正经登录类签名通常很简单明确,越是含糊、越是催你,越要拒签。

杀猪盘式诱导

长什么样:这是最"重"的一类,往往不只盯你钱包,而是放长线。通过交友、投资群、"导师带单""稳定高收益平台"等方式,先和你建立信任,再一步步把你引向一个假的投资或理财场景。

怎么得手:初期可能让你"小赚"几次尝到甜头、能顺利提现,骗取信任;等你投入加大,平台就以各种理由(缴税、解冻、保证金)让你不断追加,最终无法提现、对方消失。整个过程是情感操控 + 假平台的组合拳。

怎么防:把几条原则刻死——陌生人主动带你赚钱,几乎都是骗承诺稳赚、保本、高收益的,本身就是危险信号能"小额试提"成功不代表平台是真的,那正是放饵。涉及钱的决定自己独立判断,必要时咨询持牌的专业人士,别让"关系"和"急于回本"替你做主。再次提醒,Klariq不预测价格、不承诺收益、不荐买任何资产,任何号称稳赚的说法都请直接划掉。

被盯上后怎么处置

如果你怀疑自己已经中招——签了可疑请求、给了授权、在某页面输过东西,按下面的优先级冷静处理。

先判断:泄露的是授权,还是助记词

这决定了补救还有没有意义。如果只是某个 dApp 的授权被滥用,撤销授权 + 转移资产通常能止血。如果泄露的是助记词或私钥本身,这个钱包已经报废——攻击者随时能恢复它,唯一正确的做法是放弃它、启用一个全新钱包,旧地址再也不要放钱。

抢救尚未被动的资产

若是授权类问题,立刻把该钱包里还没被转走的资产,转到一个全新的、干净的钱包。动作要快,攻击脚本可能也在盯着。

撤销可疑授权

revoke.cash 连接地址,列出所有授权,把可疑的、不用的逐项撤销(撤销是一笔链上交易,需付少量 Gas)。注意:撤销能切断"被合约持续转走代币"的口子,但救不了助记词已泄露的钱包

复盘来源并加固

查清自己是从哪一步被钓的——哪个链接、哪个扩展、哪个"客服",把它拉黑、删掉可疑软件,检查关联的邮箱和云账户、改密码、开二次验证。完整的危机处置步骤,《助记词安全怎么做》里有更细的版本。

特别警告——别中二次诈骗:被盗之后,最容易扑上来的是"黑客追款""资产解冻""帮你冻结对方账户"的服务,它们专收割刚被盗、急于挽回的人。没有任何这类"追回服务"是真的。越是承诺帮你拿回损失的,越要直接拉黑。

一张随手能用的防骗清单

最后把全篇收成几条能贴在脑门上的话。它们不复杂,但每一条都能挡掉一整类骗局:

  • 助记词/私钥,不输入任何网页、不告诉任何人——包括"官方客服"。
  • 官方入口全加书签,只从书签进,不用搜索引擎现搜,警惕广告位假站。
  • 看不懂的签名、授权,一律拒绝;授权别给无限额度。
  • 地址从可信来源取、逐字核对、绝不从历史记录复制;大额前先小额测试。
  • 定期用 revoke.cash 撤销旧授权,像清理备用钥匙一样。
  • 凡是催你"赶紧、限时、马上"的,先停下;凡是承诺稳赚、保本、高收益的,直接划掉。
  • 被盗后冷静止损、彻底换新,绝不碰任何"帮你追款"的服务。

把这几条变成肌肉记忆,你就已经避开了链上绝大多数事故。想把防线再扎实,接着读《助记词安全怎么做》、《什么是 Web3 钱包》,以及工具导航里的 Gas 与安全工具。安全这件事,多花十秒核对,胜过事后追悔。