玩币圈

假空投:骗的不是私钥,是你那一次授权

多数钱包被搬空的案例里,受害者并没有交出私钥,而是在页面上确认了一次授权。approve 给了什么权限、空投投毒怎样引流、签名前如何分清转账和授权,以及发现异常后的止损顺序。

玩币圈

先说结论

5 条
  • 假空投骗的是一次授权签名,不是私钥。私钥没泄露,币照样能被转走。
  • ERC-20 的 approve 一旦签下,被授权地址可在额度内随时转走你的代币,不需要你再签第二次。
  • 很多页面默认请求的是无限额度且长期有效,直到你自己把额度改回 0 为止。
  • 钱包里凭空出现的陌生代币是诱饵:任何人都能往任意地址发币,不需要你同意。
  • 防护只有三条:签之前分清转账还是授权、定期检查并撤销不用的授权、看到「免费领取」把速度放慢。

链上能看到什么,看不到什么

CHAIN

能看到

  • 你签过的每一笔 approve:授权给了哪个地址、额度是多少、什么时候签的
  • 代币被转走的那笔 transferFrom:谁发起的、转去了哪个地址、多少数量
  • 那个陌生空投代币的合约地址、发币地址,以及它给多少个地址发过同样的东西

看不到

  • 被授权的那个地址背后是谁,以及它和发币地址是不是同一批人
  • 你在页面上看到的文案与按钮——那是链下的东西,链上只留下签名结果
  • 你签过但还没被使用的离线签名(如 permit 类授权),它在被提交上链之前不产生任何链上记录
本页目录
  1. 假空投骗走的到底是什么?
  2. 这套手法换过哪些名字?
  3. 钱包里凭空多出来的币是怎么回事?
  4. 签名之前,怎么分清这是转账还是授权?
  5. 已经签过了,现在能做什么?
  6. 常见问题
  7. 参考资料

钱包被搬空的那一刻,很多人的私钥从头到尾没离开过设备——他们只在某个页面上点了一次「确认」。假空投(空投钓鱼),是指用「免费领取代币」把人引到一个页面上、骗取一次钱包授权签名的手法,它的核心动作不是偷私钥,而是让你自己把转账权限授出去。授权签下之后,对方在额度范围内随时能把币转走,不需要你再点第二次。

假空投骗走的到底是什么?

骗走的是一次授权,不是私钥。这两件事在后果上很像——币都没了——但在机制上完全是两回事,防护动作也完全不同。

私钥被盗和授权被骗,区别在哪

  • 私钥被盗:对方拿到了你钱包的控制权,可以做你能做的一切,包括转走原生代币(比如 ETH)。多数发生在你把助记词输进了某个页面,或者保存在了会被读取的地方。
  • 授权被骗:私钥还在你手里,钱包也没被接管。你只是签了一份许可,允许某个地址在额度内动你的某种代币。

这个区别决定了两件事。一是授权被骗的情况下,改密码、换设备、重装钱包都没有用——授权记录在链上,不在你的设备里。二是授权可以撤销,前提是你知道它存在。

approve 到底给出了什么权限

以太坊上的代币标准 ERC-20 定义了两个配套的接口:approvetransferFrom。你调用 approve,把某个地址设成被授权方并给它一个额度;此后这个地址可以调用 transferFrom,在额度内把你的代币转到任意地方。

关键在于时序:**授权和转走是两个独立的动作,中间可以隔任意长的时间。**你今天签的授权,对方可以三个月后再用。标准原文写在 EIP-20 里,这不是漏洞,是这个接口本来的设计——它存在的目的是让去中心化交易所那类合约能替你完成兑换。

还有一个容易被忽略的默认值:**很多页面请求的额度是一个极大的数字,实践中等同于无限,并且长期有效,直到你自己把它改回 0。**你在钱包里看到的那一行数字,如果长得像一串永远读不完的位数,那就是它。

NFT 那边的对应接口更狠一些

ERC-721 和 ERC-1155 有一个叫 setApprovalForAll 的接口,它不设额度——**一次签下,授权方可以动这个合约下你名下的全部 NFT。**很多「免费 mint」类的钓鱼页面请求的就是它。

所以同一句「授权」,在代币那边是「这个地址能动我多少 USDT」,在 NFT 那边可能是「这个地址能动我这个系列的全部藏品」。签之前值得看清楚弹窗上写的是哪一个。

这套手法换过哪些名字?

名字换得很勤,内核那句话没变过。按手法而不是按项目名记更有用:钓鱼站的域名不断变化,授权结构却能重复识别。

内核那句话,剥掉包装

用一个「你有东西可以领」的理由,把你带到一个页面上,让你签下一份「我允许它动我的资产」的许可。

历次马甲与当时的包装词

时期当时的说法实际请求的是什么
2017–2018空投糖果、社群领币那会儿更多是假钱包页面直接骗助记词
2020–2021流动性挖矿授权、领治理代币ERC-20 的 approve,额度默认拉满
2021–2022NFT 免费 mint、白名单领取setApprovalForAll,一次授权覆盖整个系列
2022–2023「你有一笔待领取转账」、相似地址提醒地址投毒,诱导你从历史记录里复制错地址
2023–2024铭文 / 符文领取与资产迁移离线签名类授权,签的时候不上链、不花 Gas
2025–2026AI 代理奖励、DePIN 节点补贴、积分快照换了叙事词,弹窗里仍然是一次授权

上表按公开安全研究里的常见模式归类,说明的是包装规律,不针对任何具体项目或个人。

每次都变的和每次都不变的

变的:赛道热词、页面美术、代币名字、域名、给你的理由。这些换起来成本极低,一个模板改几行字就是新的一轮。

不变的

  • 你被要求做的动作,始终是签一次名,而不是「转一笔钱」。
  • 页面给的理由,始终是你有东西可以拿,而不是你要付出什么。
  • 时间压力始终存在:倒计时、名额、「快照已结束,请在 24 小时内领取」。

**认这三条,比认域名有用。**域名可以每天换,这三条换不了——换掉其中任何一条,这套手法就不成立了。

钱包里凭空多出来的币是怎么回事?

那是空投投毒,也叫地址投毒。任何人都可以往任意地址发送代币,发送方不需要接收方同意——这是链上转账的固有性质,不是你的钱包出了问题。

为什么谁都能往你钱包里塞东西

链上转账的接收方是一串地址,转账动作由发送方单方面发起并付 Gas。接收这件事不需要许可,就像谁都能往你家信箱里塞传单。所以钱包里出现一个你没见过的代币,本身不说明任何事,也不会造成损失。

它的用途是当诱饵:给你一个理由去搜这个代币的名字、去点它备注里的网址、去某个页面上「兑换」或者「解锁」它。真正的损失发生在那个页面上的签名,不发生在收到这一步。

地址投毒是它的一个变体

另一种玩法不塞代币,塞交易记录:对方生成一个开头和结尾都与你常用地址相同、中间不同的地址,往你钱包里发一笔金额极小的转账。你的交易历史里于是多了一条「看着很眼熟」的记录。

下次你要转账时,如果习惯从历史记录里复制地址,就有可能复制到那一条。这种手法不需要你签任何授权,它赌的是你不会把 42 位地址逐位核对完。

对应的动作很简单:转账地址从来源处复制,不从交易历史复制;粘贴之后核对中间几位,不只看首尾。

收到了该怎么处理

  • 不动它。不转出、不尝试卖出、不去搜代币名找「官网」。
  • 在钱包里隐藏。多数钱包支持隐藏某个代币,隐藏不影响链上记录,只是不让它继续出现在你眼前。
  • 不点它带的任何链接,包括代币名称本身就是一个网址的那种。

仅仅收到它不会造成损失,这一点可以放心。慌张才是它想要的——一个看不懂的东西出现在钱包里,人的下意识反应是去弄明白它,而那个「弄明白」的入口是对方准备好的。

签名之前,怎么分清这是转账还是授权?

看钱包弹窗上的方法名和它要动的东西。转账动的是「这一笔」,授权动的是「以后所有笔」,这是两类完全不同的请求。

三类请求的分辨表

弹窗上大致长什么样它是什么签下去意味着
转账 / Transfer,写明数量和收款地址一次性转账这一笔资产离开你的钱包,仅此一笔
授权 / Approve,写明代币和额度ERC-20 授权对方在额度内随时可转走该代币,长期有效
全部授权 / Set Approval For AllNFT 授权对方可动该合约下你名下的全部 NFT
一条看不懂的结构化文本,不用付 Gas离线签名不花 Gas 不代表没风险,它可能就是一份授权

最后一行值得单独说:**不花 Gas 的签名,很多人下意识觉得「反正没花钱,签了也不会怎样」。**这个直觉是错的。离线签名的效力和上链的授权可以是一样的,区别只在于它由对方在需要的时候提交上链——在提交之前,链上查不到它。

一个反直觉的地方:撤销授权要花钱

撤销一份授权,本身是一笔链上交易,需要付 Gas。这解释了一个常见现象:很多人知道自己有一堆用不到的旧授权挂着,但一直没去清。金额小的时候,清理成本看起来比风险高。

这是个可以理解但会出事的算账方式。授权的风险不随时间衰减——三年前给某个合约的无限额度,只要你钱包里还有那种代币,它今天依然有效。合约后来被攻破、被弃管、私钥被盗,都会让这份授权变成活的。

链上能看到什么、看不到什么

能看到的:

  • 你签过的每一笔 approve:授权给了哪个地址、额度多少、什么时候签的。这些是公开可查的链上记录。
  • 代币被转走的那笔 transferFrom:谁发起的、转去哪、多少。
  • 那个空投代币的合约地址与发币地址,以及它给多少个地址发过同样的东西——批量发币在链上很显眼。

看不到的:

  • 被授权地址背后是谁。一个地址就是一串十六进制。
  • 你在页面上看到的文案和按钮。那是链下的东西,链上只留签名结果,不留你被怎么说服的过程。
  • 你签过但尚未被提交上链的离线签名。它在被使用之前不产生链上记录,所以查授权列表也查不到。

这条线值得记住:**链上能确认「某个地址在 X 时刻获得了 Y 额度的授权」,确认不了「这是一次钓鱼」。**后一句是定性,需要更多链下证据。多数情况下你能做的是撤销,而不是追责。

已经签过了,现在能做什么?

先确认发生了什么,再撤授权,最后保留证据。顺序不能反——不清楚签了什么就乱操作,容易在慌乱中又签一次。

三个动作的顺序

  1. 确认资产是否已经被转走。在区块浏览器上打开自己的地址,看最近的交易记录里有没有 transferFrom。如果有,看它转去了哪。
  2. 撤销可疑授权。在钱包或授权管理工具里找到授权列表,把不认识的、不再使用的授权额度改回 0。先撤金额大的那种代币的授权,Gas 有限的话按这个优先级来。
  3. 保留证据。交易哈希、被授权的合约地址、钓鱼页面的域名与截图。链上记录会一直在,但那个页面通常几天之内就会消失。

说实话的那部分

已经转走的资产,多数情况下拿不回来。链上转账不可撤销,后续的资金追踪也不是普通人能做的事。境内对虚拟货币相关业务活动有明确规定,参与相关投资交易活动存在法律风险、损失自担;涉及诈骗的可向公安机关报案,具体规则以官方发布为准。

需要额外提醒的是:**声称能帮你「追回被盗资产」的服务,本身经常是第二轮。**这类账号往往在你公开求助之后主动找上门,要求先付费或者再签一次授权。第一次损失之后的那段时间,人最容易接受这种提议,对方也知道这一点。

一个能带走的反射

不用记「假空投」这个词,记一个动作:看到「免费领取」,先把手停下来,看弹窗上写的是转账还是授权。

看不懂就不签。看不懂而签下去,和看懂了再签,在这个圈子里是两种完全不同的风险水平——**前者是把判断权交给了对方。**这份档案里没有一条能保证你不出事,它能做的是把「被骗」从一个运气问题,变回一个可以查的问题。

想顺手把授权这条线补齐,可以再看一遍貔貅盘怎么把卖出限制写进合约,以及空投这个词在圈子里的实际用法——这三件事经常出现在同一个页面上。

常见问题

Q: 我只是签了个名,没转账,为什么币会没?

答: 因为你签的多半不是转账,是授权。ERC-20 的 approve 接口允许你指定一个地址和一个额度,此后这个地址可以随时调用 transferFrom,在额度内把你的代币转到任何地方,不需要你再签第二次。授权和转走是两个独立动作,中间可以隔很久,这也是为什么有人签完当天没事,几周后才发现资产不见了。私钥没泄露,钱包也没被接管,只是许可给出去了。

Q: 钱包里突然出现不认识的代币,是被盗了吗?

答: 不是。任何人都可以往任意地址发送代币,发送方不需要接收方同意,这是链上转账的固有性质。收到它本身不会造成任何损失,你的钱包也没有被入侵。它的用途是当诱饵:把你引到某个页面上,以「兑换」「领取」「解锁」为名请求一次授权,损失发生在那次签名。处理方式是不动它、不搜代币名找官网、不尝试卖出,在钱包里隐藏即可。

Q: 撤销授权要花 Gas,值得吗?

答: 涉及金额较大的代币,值得。授权的风险不随时间衰减——你三年前给某个合约的无限额度,只要钱包里还持有那种代币,今天依然有效;合约后来被攻破或者弃管,这份授权就会变成活的。合理的做法是按优先级来,先撤余额大的代币的授权、先撤不认识的地址,Gas 便宜的时段集中清一次,而不是一次性全撤。

Q: 什么是无限授权,怎么看出来?

答: 无限授权指授权额度被设成了一个极大的数值,实践中等同于不设上限。在钱包的确认弹窗里,它通常显示为一串位数很长的数字,或者直接写成「无限」「Unlimited」。部分钱包允许你在签名前把额度手动改成实际需要的数量,改完再签,风险范围就被框住了。不改的话,这份授权会一直有效,直到你自己把它设回 0。

Q: 不花 Gas 的签名是不是就没风险?

答: 不是。有一类授权通过离线签名完成,签的时候不上链、不花 Gas,由对方在需要的时候把这份签名提交上链生效。它的效力和普通授权可以是一样的,区别只在于它在被使用之前查不到——你去看自己的授权列表,那里是空的。所以「没花钱」不能当成安全信号。判断依据始终是弹窗里那段内容说了什么,而不是它要不要收 Gas。

Q: 怎么避免复制到被投毒的地址?

答: 地址从来源处复制,不从交易历史里复制。地址投毒的做法是生成一个首尾和你常用地址相同、中间不同的地址,往你钱包里发一笔极小额转账,让它出现在你的历史记录里。防护动作有两个:一是转账地址只从对方给你的原始渠道取;二是粘贴之后核对中间几位,而不是只看开头和结尾。金额大的转账可以先转一笔小额试通。

参考资料

版本 1.0 · 更新于 2026-06 · 信息截至 2026-07,本篇不含已核实的公开个案,马甲归类基于公开安全研究中的常见模式,不针对任何具体项目或个人;「诈骗」属定性表述,本站只在已有权威报道或司法认定时使用并注明来源与日期。本篇只讲防护与识别,不涉及任何领取或参与方式。

接着看