altrookie CRYPTO CODEX
🧭 指南 🔰 新手 🪜 分步讲解

🎁 如何识别空投骗局 How to Avoid Airdrop Scams

七个步骤,让一份免费代币掏不空你的钱包。

真正的空投是一种营销手段:项目方把免费代币发到钱包里,借此博取关注。骗子照搬了这副模样,把它做成陷阱——想让你连接钱包、签个名,或者干脆交出密钥。好消息是,防身的习惯很短,而且可以反复套用。下面一步步来讲。

  1. 1先确认空投是真的

    自己去项目方的官网和经过认证的官方社交账号上找公告,亲自核实。别信私信、别信转发来的链接,也别信 Telegram、Discord 群里的消息——哪怕看上去像某家交易所或某位名人。这类账号常被仿冒、被盗号,就是借它们的名头来骗你。

    项目地址自己一个字一个字敲进浏览器。顺着陌生人的链接点进去的领取页,正是钓鱼网站最常见的入口。

  2. 2助记词和私钥绝不外泄

    正规空投永远不会要你的助记词私钥。凡是开口要这些的页面或人,全是骗子,无一例外。这串词本身就是钱包,不是那种可以在别处放心重新输入的登录密码。

  3. 3用单独的小号钱包领取

    另开一个几乎不放钱的钱包,专门用来领空投和做各种有风险的交互,跟存放主要资产的钱包彻底分开。万一某次领取暗藏恶意,它顶多够到那个碰过它的钱包,伤不到别处。

  4. 4签名之前先看清楚再签

    点确认之前,先看清这笔交易或这个签名到底授权了什么。假领取按钮常常藏着一笔无限额代币授权,让攻击者的合约现在乃至将来都能动用那个代币。不花 Gas 的签名同样凶险:2025 年最大的一起被盗案,背后就是一个 Permit 式签名,金额高达 650 万美元。

    硬件钱包在这里帮得上忙:核对设备屏幕上的内容跟网站声称的是否一致,看不懂的盲签或无限额授权一概拒绝。

  5. 5用不上的授权及时撤销

    领完之后,把用完的权限收回来。revoke.cash 这类免费工具会列出你的钱包授权过哪些东西,可以逐条取消。养成隔段时间就检查一遍授权的习惯,就像时不时翻翻手机里那些旧应用的权限一样。

  6. 6凭空收到的代币和 NFT 一律不碰

    自己冒出来的陌生代币或 NFT,多半是尘埃攻击。代币名字或 NFT 图片里藏着通往盗币网站的链接。把它们当作有毒的灰尘:隐藏掉,别转账、别兑换、也别销毁——因为动它的这个动作本身,就可能把你引进陷阱。

  7. 7万一中招,争分夺秒

    立刻把剩下的资产转到一个全新的、安全的钱包。撤销受影响钱包上的授权,给交易所账户打开两步验证,并举报那个地址。每一分钟都金贵,所以先转移,再清理。

⚠️ 这些危险信号一出现就停手

  • 🔑 任何人开口要你的助记词、私钥或恢复短语
  • ⏰ 催你赶紧动手:24 小时内领取,否则失去资格。真空投不会逼你
  • 🎣 从私信或随手点的链接进去的领取页,而不是项目方自己的官方渠道
  • 🎈 不费吹灰之力就给大额奖励,既没白皮书,也叫不出一个团队成员的名字
  • 🪙 来历不明、你根本没料到的代币或 NFT:别去碰它

给个规模上的概念:纵观整个 2025 年,钱包盗币(drainer)钓鱼从大约 106,000 名受害者手里卷走了约 8,400 万美元,比前一年大幅下降。比起最高峰是少了,可终究是真金白银,而把大多数人挡在这串数字之外的,正是上面这几条习惯。

❓ 常见问题

所有空投都是骗局吗?
不是。真正的空投是一种营销手段,项目方把免费代币发到钱包里。骗局只是套用了这个壳,诱你去连接、去签名、去交出密钥。判断方法很简单:真空投永远不会要你的助记词或私钥。
我点了领取按钮、连接了钱包,是不是要被掏空了?
光是连接并不会动你的资产,危险在后面那一步的授权或签名。马上去 revoke.cash 撤销所有你认不出来的授权;如果你还签过什么,把资产转到一个全新钱包。能在几分钟内处理很关键。
为什么总有我没买过的代币冒出来?
这叫尘埃攻击(dusting)。骗子发来一堆垃圾代币或 NFT,名字或图片里藏着钓鱼链接,就等你去点开或拿去卖。把它们当作有毒的灰尘:隐藏掉,别转账、别兑换、别销毁。
签名不花 Gas,是不是比交易更安全?
不是。一个不花 Gas 的链下签名照样能授权转走你的资产。Permit 式签名钓鱼正是 2025 年单笔最大被盗案的元凶,金额达 650 万美元。签之前要像看交易一样,看清这个签名到底授权了什么。

🔗 相关术语 · 币种

🎁 空投 🎣 钓鱼 🔑 助记词 🌫️ 尘埃攻击 🔒 硬件钱包 ⟠ 以太坊 🪙 比特币

仅供参考,不构成使用任何具体工具或投资的建议。