假空投釣魚到底是什麼,跟一般的詐騙有什麼不同?
它是利用「免費領幣」當誘餌、引你連上錢包並簽署惡意授權,藉此搬走你資產的一種攻擊。和傳統「騙你轉帳」的詐騙最大的不同是:你沒有主動轉錢給對方,你只是按了一個看似無害的「簽名」或「領取」按鈕。它利用的不是技術漏洞,而是區塊鏈授權機制加上人性的急迫與貪念。因為每一步都是你親自點頭,這筆交易在鏈上看起來完全合法,事後也幾乎追不回,這正是它比一般詐騙更陰險的地方。
為什麼我只是「連錢包簽個名」就會被掃空,又沒輸入私鑰?
關鍵在於你簽的不是「登入」,而是「授權」。在區塊鏈上,當你對一個代幣合約簽署 approve 或 setApprovalForAll,等於告訴系統「允許這個地址動用我的某某代幣」,額度甚至可以是無上限。假網站把這個授權包裝成「簽名以領取空投」,你以為只是證明身分,實際是把動用資產的鑰匙交出去。私鑰從頭到尾沒離開你,但你已經主動授權對方花你的錢。授權一旦簽下,攻擊者隨時能轉走,這也是為什麼「定期撤銷舊授權」這麼重要。
收到空投資訊,怎麼判斷真假、怎麼安全參與?
先用三個問題過濾:它有沒有製造「限時、緊急」的壓力?網址是不是從官方管道進來、每個字母都對?它有沒有要我「簽名授權」才能領?只要踩到其中一個警訊,就先停。安全參與的做法是:永遠從項目官方推特或官網的連結進入,不點別人轉貼的;用一個只放極少量資產的獨立「燒錢包」去互動,就算被騙也損失有限;簽名前一個字一個字看清楚授權內容。最保險的心態是:把所有不確定的空投都當成可能有毒,寧可錯過,也不要為了領一筆不確定的幣,賭上整個錢包。
如果已經不小心連了、簽了,怎麼緊急止血?
動作要快。第一,立刻用授權撤銷工具(如區塊鏈瀏覽器或 revoke 類網站)檢查並撤銷你剛剛簽下的、以及所有可疑的代幣授權,斷掉對方繼續搬錢的權限。第二,若錢包裡還有資產,趕快把它們轉到一個全新、乾淨、從未連過任何網站的錢包,私鑰/助記詞重新產生。第三,如果這個錢包的助記詞本身可能已外洩(例如你還在假網站輸入過助記詞,而不只是簽名),那這個錢包要直接報廢,永遠別再用。第四,記錄交易雜湊、對方地址,雖然鏈上資產很難追回,但有助於通報與警示他人。核心觀念:被釣之後,速度就是一切,每一秒都在和攻擊者搶時間。
你在某個群組或推文底下看到一則訊息:「官方限時空投,連接錢包即可領取,24 小時後結束。」你想說反正免費、領了不虧,點進去連上錢包、按了一個「簽名」確認,畫面卡了一下。三十秒後,你錢包裡的資產不見了。這不是電影情節,是加密世界每天都在發生的事。最反直覺的一點是:駭客從頭到尾沒有破解你的密碼、沒有拿到你的私鑰,是你親手簽名授權把錢交出去的。
很多人以為被盜幣一定是密碼或私鑰外洩,其實最常見的現代釣魚根本不需要這些。在區塊鏈上,你對一個智能合約「簽名授權(approve)」,等於簽了一張可以動用你某種代幣的空白支票。正常情況下,你在交易所或 DeFi 平台授權是為了讓它幫你換幣;但在假網站上,你按下的那個「簽名以領取空投」,實際內容可能是「允許這個陌生合約無上限地轉走我的 USDT」。你以為在登入,其實在簽授權書。簽完,攻擊者不需要再經過你,隨時可以把你授權的代幣全部搬走。
它有固定的劇本。第一步是誘餌:用「免費」加「限時」製造急迫感,讓你來不及思考。第二步是假網站:做一個和知名項目幾乎一樣的頁面,網址只差一個字母(例如把 l 換成 1、或多一個連字號),不仔細看根本分不出來。第三步是要你簽名:彈出一個看似正常的錢包確認框,內容是 approve、permit 或 setApprovalForAll 這類授權指令。第四步是清空:你一按確認,攻擊者就拿到了動用你資產的權限,往往幾十秒內把錢包搬空。整個過程你「同意」了每一步,所以鏈上看起來完全合法。
幾個能救你的習慣。對任何「免費、限時、連錢包」的連結,預設它有問題;真正的空投通常不需要你緊急簽名。連上前先核對網址每一個字母,最好從官方推特或官網點進去,不要點別人貼的連結。簽名前一定看清楚內容,看到 approve、permit、setApprovalForAll 就要高度警覺。參與不確定的空投時,用一個只放少量幣的「燒錢包」互動,永遠不要用裝著主要資產的錢包亂連。定期用授權撤銷工具(revoke)清掉你過去給過的授權。大額資產放硬體錢包,簽任何東西都會在裝置上再確認一次。
記住一句話:在加密世界,你的最大威脅通常不是技術高超的駭客,而是你自己在急迫或貪念下按下的那個「確認」。被掃空的人裡,絕大多數不是被破解,而是被社交工程騙著簽了名。養成「任何要我連錢包、簽名的連結都先當成詐騙」的反射,比學任何技術都更能保住你的幣。免費的東西,往往是最貴的。