📖 术语
🟢 通俗解释
🔰 新手
🎣 钓鱼 Phishing
一种骗局:攻击者假扮成你信任的对象(交易所、钱包应用,或客服团队),诱骗你交出密码、助记词,或一笔钱包签名。在加密货币里,被偷走的钱再也追不回来。
💡
常见误解 — 钓鱼不就是偷密码吗,反正我绝不会输入助记词,那我是不是安全的?在加密货币里可不是!更大的陷阱,是被诱骗签下一笔交易。你从头到尾没泄露助记词,可就这一个签名,足以让攻击者把钱包掏空。
🏦 通俗来说 — 一家假冒的银行网点
设想一个骗子开了家门店,跟你的银行长得一模一样:同样的标志、同样的招牌,柜台后还坐着个穿对了制服的假柜员。你信着这家门面走进去,把账户信息交了出来。可它从来就不是银行。钓鱼,就是把这套把戏搬到了网上。攻击者把你熟悉的标志和网站仿得惟妙惟肖,让你乖乖交出信息——在加密货币里,则是批准一个能让对方拿走你币的操作。被利用的,是你对品牌的信任,而不是技术上的什么漏洞。
🎣 一次钓鱼攻击通常怎么进行
大多数攻击都走那么几步。攻击者发来一条消息,看上去像是真的交易所、钱包或客服团队发的。消息里链接到一个和真站长得一模一样的假网站。在那儿,你要么输入登录信息或助记词,要么连上钱包并签名。无论哪种,攻击者都拿到了掏空你资金所需要的东西。
| 常见诱饵 | 长什么样 |
|---|---|
| 📧 假冒的交易所或钱包邮件 | 一封紧急警告,说你的账户有风险,附带一个按钮通往假登录页 |
| 🆘 假冒的客服弹窗 | 一个窗口自称是钱包客服,要你输入或「验证」助记词 |
| 🎁 假冒的空投网站 | 一个免费领币的活动,要你连上钱包并签名才能领取 |
| 🔎 恶意的搜索或社媒广告 | 付费广告把你引到一个仿冒域名,跟真站只差一个字母 |
🧊 加密货币里几种要认清的陷阱
- 🧊 冰钓(Ice phishing) — 你被诱骗签下一笔智能合约的代币授权。助记词从头到尾没泄露,可这个授权日后就能让攻击者把你的代币转走
- 📋 地址投毒 — 一笔极小额或零金额的转账,从一个和你常用地址相似的地址发来。它搅乱你的交易记录,让你日后复制错地址、把钱付给骗子(曾有受害者因此损失约 111,726 美元)
- 🤖 钱包盗刷器(Wallet drainers) — 卖给攻击者的现成诈骗工具包,能自动掏空任何连上恶意网站的钱包
- 🎯 鱼叉式钓鱼(Spear phishing) — 不撒大网群发,而是专门冲着某个高价值目标下手的定向攻击
📊 据报道,2024 年加密货币钓鱼诈骗卷走的资金高达数亿美元。各家统计口径不一,任何单一数字都只能当作估算,而非精确数目。
🛡️ 新手怎么保护自己
- 🔑 助记词绝不输入到任何地方 — 真正的钱包、交易所或客服,永远不会向你索要它。把私钥彻底留在网络之外
- 🔗 地址自己手动输入 — 进交易所或钱包,靠手敲网址或用收藏的书签,别去点邮件、私信或广告里的链接
- ✍️ 签名前先看清 — 批准任何钱包交易之前,看清它到底授予了什么权限。签名并不等于安全
- 📋 复制地址要仔细 — 每次都核对开头和结尾的字符,绝不在没核对的情况下直接从交易记录里复制
❓ 常见问题
- 我绝不会把助记词输进任何网站,那是不是就不会被钓鱼?
- 并不是。在加密货币里,更大的陷阱是被诱骗签下一笔交易或代币授权(叫做冰钓 ice phishing)。你从头到尾没有泄露助记词,但那个签名已经把转走代币的权限交给了攻击者,钱包照样被掏空。
- 中了钓鱼骗局,加密货币还能要回来吗?
- 几乎不可能。加密货币转账不可逆,也没有银行或信用卡那样的拒付机制。资金一旦离开钱包,攻击者可以瞬间转走,这正是钓鱼对加密货币比对普通银行登录危险得多的原因。
- 什么是地址投毒?
- 攻击者从一个和你常用地址几乎一模一样的地址,给你发来一笔极小额或零金额的转账,把这条记录混进你的交易历史。之后你一不留神就复制了那个相似地址,把资金转给了骗子。曾有受害者因此损失约 111,726 美元。