🛡️ 如何识别 DeFi 骗局 How to Spot Scams in DeFi

骗子会注册只差一个字母的仿冒域名，再花钱把它顶到搜索结果最前面。别去点搜索结果或赞助链接，自己手敲网址，或者用收藏夹里存好的书签。钱包应用也只从项目自己的官网下载。

第一次访问就把真网址存下来，之后只走这个书签。

弄清楚项目到底在做什么、团队是谁、代码有没有在公开场合更新（一个近期还在提交代码的真实 GitHub，胜过一个做得花哨的官网）。一个署了真名、有过往履历的团队，比匿名团队更难一走了之。

看看有没有来自知名机构的智能合约审计，比如 CertiK、慢雾（SlowMist）或 PeckShield，并到那家机构自己的官网上打开报告。项目页面上挂个徽章不算数。De.Fi 扫描器还会给出一个自动化的 DeFi Score，可以拿来交叉验证。

动手交互之前，把代币的合约地址粘进扫描器。Token Sniffer 和 GoPlus Security 会标出风险评分、增发权限、暗藏的税费和后门。Honeypot.is 会同时模拟一次买入和一次卖出，专门揪出貔貅盘——那种你买得进却永远卖不出的代币。Bubblemaps 和 Arkham 则能把钱包之间的抱团关系画出来，暗示哪些是内部人。

在 DexScreener 或 DEXTools 上打开这个代币，看看它的流动性池：盘子有多大、交易对存在了多久、流动性有没有锁仓。正经项目往往会锁上好几个月。要是流动性根本没锁，或者只锁了短短几天，团队随时能抽干池子然后消失。

一个钱包握着一半以上的供应量，光是一笔卖出就能把价格砸穿。一个几天前才创建的合约，根本没有历史可供判断。这两点都会推高风险，所以把持币分布和创建日期当成同一幅画里的两笔来读。

用一个会在你确认前先预览交易的钱包或工具。Rabby、Pocket Universe 和 Tenderly 都能告诉你这次签名实际会做什么。如果预览里动到了你没打算动的代币，直接拒签。看不懂的东西，绝不点同意。

当一个 dApp 请求动用你的代币时，给一个有上限的额度，别一上来就批无限授权。每一次授权走的都是标准的 ERC-20 权限机制，设了上限的额度，能在那个合约万一被攻破时把损失压住。

旧的授权在你主动取消之前一直有效。用 revoke.cash 这类工具以只读方式连上钱包，找出任何无限额度或来路不明的支出方，把它们撤掉（这会花一点 Gas 费）。Etherscan 的 Token Approvals 页面，以及 Rabby、DeBank 这类钱包，也能做同样的事。

动手之前，先在不止一个官方渠道上把消息对一遍；任何主动找上门来、号称给你帮忙或送你免费代币的私信，都别信。正经项目不会私聊你，手把手教你走一笔交易。