攻击的本质

钓鱼攻击不依赖破解密码学，它依赖的是诱导你自己交出权限。在区块链领域，一旦签名授权完成，没有任何中心化机构可以撤销交易。

这意味着：钓鱼攻击的防御窗口期极短，通常只有几秒钟——从你看到诱导信息到完成签名的那段时间。

十大常见套路

1. 假空投诱导

套路：声称你获得免费代币，要求连接钱包”领取”。

识别：

• 真实空投不会要求你提前授权或支付 Gas 费
• 域名通常包含细微拼写差异（如 uniswop.org）
• 社交账号粉丝数与互动量不匹配（假账号特征）

后果：连接后触发 setApprovalForAll，清空钱包内全部 NFT 或代币。

2. 假客服私信

套路：Discord / Telegram 上自称官方客服，主动私信处理”账户异常”。

识别：

• 真实项目方从不主动私信用户
• 使用紧急措辞制造时间压力（“24 小时内不处理将冻结”）
• 要求提供助记词或引导至钓鱼网站

后果：助记词泄露，资产全部被转移。

3. 伪造前端界面

套路：克隆 Uniswap、OpenSea 等热门网站的完整界面，部署在相似域名上。

识别：

• 仔细核对域名拼写和 HTTPS 证书
• 将常用 DApp 添加至浏览器书签，绝不通过搜索引擎链接访问
• 使用如 Revoke.cash 等工具定期检查授权状态

后果：你在真实界面上操作，但交易被替换为恶意合约调用。

4. 恶意 NFT / Token 转移

套路：向你的地址空投看似有价值的 NFT 或代币，诱导你与之交互（查看、转移、出售）。

识别：

• 检查合约地址是否经过验证
• 查看代币/NFT 的交易历史是否异常
• 在 Etherscan 上查看合约代码是否存在 selfdestruct 或隐藏的后门

后果：交互触发隐藏的恶意函数，授权攻击者转移你的其他资产。

5. 社交工程：假装亲密关系

套路：通过社交软件长期培养信任，最终推荐”投资机会”或要求”代为操作”。

识别：

• 任何涉及资金建议的对话立即终止
• “高收益、零风险、限时”是三合一危险信号
• 真正的投资高手不会向陌生人分享”内幕”

后果：诱导你将资产转入骗子控制的合约或地址。

6. 浏览器扩展劫持

套路：伪装成钱包助手、交易优化工具等扩展，获取网站访问权限后篡改 DApp 前端。

识别：

• 仅安装官方商店（Chrome Web Store）上经过长期验证的扩展
• 检查扩展权限：一个”价格追踪”工具不需要访问你的钱包网站
• 定期检查已安装扩展列表，移除不再使用的项目

后果：在你访问真实 DApp 时，注入恶意 JavaScript 替换交易目标地址。

7. GitHub / 开源项目钓鱼

套路：克隆知名开源工具仓库，植入后门后重新发布，通过 SEO 或社交渠道引流。

识别：

• 检查仓库 Stars 数、Fork 数与官方仓库是否匹配
• 查看最近提交历史是否可疑（突然出现的大量新贡献者）
• 优先使用官方发布的二进制文件，而非自行编译未经验证的源码

后果：本地生成私钥时，助记词被发送至攻击者服务器。

8. 二维码替换

套路：在收款场景中展示篡改后的二维码，将资金导向攻击者地址。

识别：

• 大额转账前，逐字符核对地址前 6 位和后 4 位
• 使用硬件钱包的屏幕显示作为最终验证来源
• 避免扫描不可信来源的二维码

9. 时间锁与紧急操作骗局

套路：声称你的账户存在”异常活动”，要求立即转移资产至”安全地址”。

识别：

• 区块链地址没有”账户异常”概念，除非私钥已泄露
• 如果对方要求你将资产转至某个地址，默认其为诈骗
• 独立验证：通过官方渠道（官网、官方 Twitter）联系项目方

10. 会议 / 活动中的肩窥攻击

套路：在加密会议、咖啡馆等公共场所，通过肉眼或隐蔽摄像头记录你的助记词输入或屏幕内容。

识别：

• 绝不在任何公共可见的屏幕上展示助记词
• 硬件钱包的恢复操作应在完全私密的物理空间进行
• 警惕”热心陌生人”主动提供的技术支持

通用防御框架

底线认知：如果你从未主动学习过钓鱼攻击的技术细节，那么你对自身安全的评估大概率是过度乐观的。攻击者每天都在研究新的心理学漏洞。