导言 · 一个差点被骗 80 万的故事
这篇文章的起点,是一通凌晨两点的电话。
2025 年冬天,我的好朋友老 J 把我从睡梦里拽起来。他在国外出差,时差刚好让他在凌晨清醒。他在 Telegram 上收到一条消息,对方自称是某家头部交易所的"高级客服",告诉他账户检测到异常登录,资产可能在 30 分钟内被划转出去。对方还非常贴心地发来一张截图,截图里是老 J 那个账户的部分地址末四位 —— 这是他从来没在公开场合贴过的信息。
老 J 持有的资产折合人民币大概在八十万左右。这不是他全部的家底,但也是他十年攒下来的一笔积蓄。对方让他配合"安全验证",先把资产转到一个"官方冷备地址"。他在准备扫码确认转账的时候,截图发给了我,问我:"这个地址你看过吗?"
我看了一眼那个地址,没看过。但更重要的是,那串地址在区块浏览器上才创建不到两小时,链上余额是 0。一个真正的"交易所冷备地址",不会是一个空的、刚出生两小时的钱包。我让他立刻把那个 Telegram 会话静音、不要点任何东西,先打官网首页(注意,是首页,不是搜索引擎搜出来的链接)查官方客服入口。后面的事情大家也猜得到 —— 他没被骗。
这件事让我意识到一件事:我做了八年互联网风控产品,写过反欺诈规则、设计过验证流程,连我这种背景的人,遇到那一刻凌晨两点的电话,第一反应也不一定是"这是骗局"。我的反应是去看链上数据,因为这是我的职业习惯;但绝大多数普通持有者,是没有这种习惯的。
于是有了这篇《钓鱼诈骗全图谱 · 2026 版》。我把这两年里我自己遇过、朋友遇过、案例库里看过的骗局,归纳成 15 类(去年的版本是 11 类,2025 这一年新长出来 4 类)。每一类我都写一个真实化的场景(注意:场景是真实化的合成,不是逐字记录),再给一句话识别要点。我尽量不写"如何骗"的具体技术细节 —— 这篇文章是写给可能被骗的人,不是写给打算骗人的人。
这一年发生了什么 · 2025-2026 关键节点
在拆开十五类骗局之前,我想先把过去 12 个月的几个节点拎出来。这些节点不全是新闻头条,但它们解释了为什么 2026 年的钓鱼图谱看起来和 2024 年很不一样。
2025 年 3 月,Chainalysis 发布的年度加密犯罪报告(约略数据)显示,2025 年因钓鱼与社会工程导致的链上资金损失估计在 51 亿美元左右,相比 2024 年增长接近一倍。报告里有一个细节我反复看了几遍:单笔损失超过 100 万美元的钓鱼案件,占了总损失的 38%。换句话说,钓鱼正在从"撒网"变成"狙击"。攻击者越来越愿意花几周时间盯一个目标。
2025 年 5 月,某头部硬件钱包品牌的一批二手设备在二级市场流出,链上社区先后追踪到约 2300 万美元的资金从这批设备地址被 sweep 走。这件事直接催熟了第五类(钱包供应链攻击)—— 在那之前,绝大多数普通用户不相信"硬件钱包也会出事"。
2025 年 8 月,Telegram trading bot 生态爆发:BananaGun、Maestro、Unibot 这一波交易 bot 的高仿版本同月出现至少 14 个。慢雾安全在当月公开通报里写道:这一类骗局的特点是"在用户对真 bot 已经建立信任后,借由一条转发链接完成最后的钓鱼"—— 后面第十三类我会详细讲。
2025 年 11 月,第一波 DeepFake CZ 公告视频在 X 上出现。视频里"CZ"用中英双语说币安钱包检测到大规模异常,所有用户需在 24 小时内访问某个链接做"紧急资产迁移"。视频被一些没核实的中文加密媒体转发,单条转发链路在 6 小时内引出了大约 480 万美元的损失。这件事让"视频公告 = 真"这条直觉永久作废。
2026 年 1 月,一个 Chrome 扩展生态的小事件:一个原本干净的非加密类扩展(一个 Markdown 工具)被收购后,新版本里被注入了针对 MetaMask popup DOM 的脚本。受影响用户数大约 9 万。Google 后续下架了该扩展,但已经发生的损失没办法逆向。这件事是第十五类(扩展供应链投毒)的起点。
把这五个节点连起来看,2025-2026 钓鱼的主旋律是:攻击者从"造假"转向了"借用真"。借用真的硬件钱包品牌、真的 trading bot、真的创始人形象、真的扩展安装链路 —— 把自己嵌入用户已经信任的路径里。这件事使得"看起来像不像官方"这个判断标准彻底失效,下一节讲的五个新趋势是这个主旋律的具体展开。
2025-2026 加密圈骗局的五个新趋势
在拆开十一类骗局之前,先说一个底层观察:这两年的加密圈骗局,相比五年前,发生了五个底层变化。
趋势一 · AI 生成内容降低了骗局门槛
2023 年以前,做一个高仿钓鱼站需要前端开发能力,做一段"真假难辨的客服话术"需要文案功底。2026 年的现在,这些都是大模型一晚上能产出的东西。攻击者不再需要团队,单人作业的钓鱼组合越来越多。这件事的直接后果是:钓鱼站的"颜值"和文案质量,相比真官网几乎没有差距。
趋势二 · 跨平台联动(Telegram + 假 App + 假客服一条龙)
过去的骗局是单点:一个假网站、一个假短信。现在的骗局是套餐:你在 X 上看到一条推文,点进 Telegram 群,群里有人引导你下载一个 App,App 里有"客服",客服把你导回一个钓鱼网站完成最后一步。每一步都有合理的解释,每一步看起来都是独立的可信信源。
趋势三 · 真合约 + 假授权(攻击界面而不是合约)
真正会被审计揪出问题的恶意合约,越来越少了。攻击者改了策略:用真合约(比如 Uniswap、Permit2 这种知名合约),只是在前端界面里把"你要授权的额度"和"你以为你授权的额度"做了视觉错位。链上数据是真的,签名是真的,只是你没看懂你签了什么。
趋势四 · 针对老用户的"高仿支持"工单钓鱼
新人被骗多是因为不懂;老用户被骗,多是因为相信"我熟悉这个平台"。攻击者会专门盯交易所/钱包 App 在 X 或 Reddit 上的求助帖 —— 你刚发了一条"我充值没到账",五分钟内你的私信里就出现了三个"客服"。他们用的语言和真客服几乎一模一样,连工单格式都对得上。
趋势五 · 物理钱包供应链攻击
这是最让我警觉的一类。二手硬件钱包、贴牌硬件钱包、号称"已激活"的硬件钱包 —— 这些在闲鱼、咸鱼、Telegram 二手群里能搜到。它们的助记词在你拿到之前,就已经在攻击者手里了。你充进去多少,攻击者就 sweep 走多少。
把这五个趋势放在一起看,结论是清楚的:判断"这是不是骗局",已经不能靠"看起来像不像官方"。视觉早就不靠谱了,要靠流程。这篇文章后面给的每一条识别要点,都是流程层面的,不是视觉层面的。
15 类骗局速查表
先放一张快速速查表,方便你以后随时翻回来。每一类后面会有详细展开。前 11 类是 2024 版就有的,第十二到十五类是 2025-2026 这一年新长出来的。
| 类别 | 典型场景 | 一句话识别要点 |
|---|---|---|
| 假客服 | Telegram / X 私信主动联系你"账户异常" | 真客服不会主动私信你;任何要助记词的,都是假的 |
| 假空投 | 钱包里凭空出现一个陌生 token,报价几千美元 | 陌生 token 永远不要 approve 或 swap,直接当垃圾 |
| 假授权弹窗 | 看似正常 dApp 弹出 setApprovalForAll | 授权对象 + 额度都要逐字读,不读不签 |
| 假"官方"App | 搜索引擎首条结果是高仿安装包 | App 只从官方域名 / 官方 GitHub / 官方应用商店进 |
| 供应链攻击 | 二手硬件钱包 / 号称"已激活"的设备 | 任何已激活的硬件钱包先 wipe 再用,二手永远不买 |
| 假"漏洞"凭证 | 陌生人给你私钥让你"帮忙提币" | 免费的便宜没有;让你转 gas 的都是局 |
| 杀猪盘 | 婚恋 / 投资群引导到"高收益交易所" | 能小额提币只是诱饵,金额一大永远提不出来 |
| 恶意签名(Permit) | 看似无害的离链签名,token 被转走 | 所有签名都要看 spender 和 amount,不懂不签 |
| 高仿浏览器扩展 | Chrome Store 搜出来的山寨钱包 | 看发布者、看评论、看下载量,三者全对才装 |
| 假"官方"邮件 | 声称账户异常 / 资产将被冻结的邮件 | 邮件里的链接永远不点,登录从浏览器书签进 |
| 恶意广告 | 搜钱包 / 交易所,第一条是付费广告 | 付费广告位永远跳过,看自然搜索的第一条 |
| DEX 路由器恶意池 | Uniswap / 1inch swap 路径里夹一个 honeypot 合约 | swap 前看 router 路径里每一跳合约,陌生中转一律取消 |
| Telegram bot 高仿 | 群消息里贴一个"BananaGun 新版本"链接 | 所有 trading bot 只从官方 channel 的 pinned 消息进 |
| DeepFake 创始人公告 | X 上转发的 CZ / Vitalik "紧急公告"视频 | 视频公告永远去对方官方账号 verify,不点视频里的链接 |
| 扩展供应链投毒 | 你用了好几年的非加密类扩展,某天偷偷更新 | 定期审视扩展权限,能少装一个就少装一个 |
第一类 · 假客服钓鱼
场景描述:你在某交易所 App 看到"提币失败"的提示,顺手在 X 上发了一句"XX 交易所提币又出问题了"。三分钟后,你的私信里多了一条消息,头像是该交易所的 logo,名字带着 "Support" 字样。对方说看到你的帖子,让你"加他们的 Telegram 工单组"快速处理。Telegram 群进去之后,有一个"客服 Alice",让你提供账户邮箱、最近登录的 IP、做安全验证。你按她说的,把谷歌验证器的二维码截图发了过去。
这种场景里,攻击链条早就完成了。你在公开平台暴露了"我现在有客服需求",对方扮演客服角色出现,借由"我帮你"的姿态拿走你的密钥。
真正的交易所客服,永远从你登录后的"在线客服"入口进,不会从社媒主动联系你。任何在 Telegram 或 X 上主动来找你的"客服",默认都是假的 —— 这条没有例外。
另一个钢印级别的识别要点:真客服永远不会向你索要助记词、私钥、谷歌验证器二维码或备份码。这四类东西的本质是私钥的延伸,知道任何一个就能动你的钱。客服不需要这些信息来"帮你",需要这些信息的只有想拿走你钱的人。
2025 年 8 月,我整理的案例库里有一个用户被假 OKX 客服骗走约 1.2 万 USDT 的事件。攻击者在该用户发完求助帖后 4 分钟出现,整个聊天对话持续了 47 分钟,期间使用了三个不同的"客服"账号轮班接力,最终在用户疲倦的时候说服他在"安全验证页面"输入了助记词。损失发生在助记词输入完成后大约 6 分钟。
第二类 · 假空投钓鱼
你打开 MetaMask,发现钱包里多了一个叫 "USDT Reward" 或 "ETH 2.0 Claim" 的代币。点开看,市场价显示是好几千美元。你心想这是天降横财,准备去 Uniswap 卖掉换成 USDT。
这一类骗局的关键不在于"那个代币是假的"—— 那个代币确实是 ERC-20 合约,它的代码也可能是真的写出来的。关键在于:你去 Uniswap swap 它的那一刻,你需要先 approve 你的钱包对那个合约的访问权。一旦 approve 完成,合约里的逻辑可能就把你钱包里另一种更值钱的 token(比如真的 USDT、真的 WETH)转走了。
钱包里凭空出现的任何陌生 token,直接当垃圾处理 —— 不 approve,不 swap,不 send。如果在以太坊上看到它真实存在,那它的存在本身就是攻击者花了几美元 gas 做出的诱饵。
如果你忍不住想"研究一下这是什么",在区块浏览器里看合约源码而不是在钱包里点它。看代码不需要授权,你的私钥不会有任何动作。
第三类 · 假授权弹窗
这是这两年增长最快的一类,也是单笔损失金额最高的一类。
场景描述:你访问一个看起来正常的 dApp,比如某个 NFT 铸造页面,或者某个"领取空投"的活动页。页面引导你点 "Connect Wallet" 连接钱包,连完之后弹出一个签名窗口。窗口的内容看起来是 "Sign In" 或者 "Verify Wallet",你以为这只是登录用的签名(很多 dApp 确实这么做)。你点了签。
但你刚才签的,不是登录签名 —— 是 setApprovalForAll,或者是一个对你某个 ERC-20 余额的无限额度 approve。一旦签完,合约就有权限处置你那一类资产的全部余额。攻击者可能不会立刻动手,可能会等几天,等你忘了你签过这个东西。然后某天早上你打开钱包,发现某个 token 余额清零了。
2025 年 9 月,我专门做了一次实测。我准备了一个空白测试钱包,里面只有 0.05 ETH 用作 gas,以及一些没价值的测试 token。我点进了一个朋友转发给我的"可疑空投活动页",全程不读不看地走完了"连接钱包 → 签名 → 领取"的流程。
结果是:签名窗口里跳出的 calldata,主体是 setApprovalForAll,授权对象是一个非知名合约地址,operator 字段是 true。如果我那个钱包里有 NFT,下一步它们就会被转走。我没继续推进,但我做了截图。整个过程从点击页面到弹出签名窗口大约 11 秒钟。
给我留下印象最深的是:那个 dApp 的视觉做得非常细。logo、字体、按钮 hover 效果,连 favicon 都换了。如果不是我专门盯着签名窗口里的方法名看,按平时的"快速操作"习惯一定会签下去。这就是为什么我后来给每一个找我咨询的朋友都强调:签名窗口里那段灰色的小字,是你最后的防线。
所有钱包弹出的签名窗口,都要看清楚三件事:方法名(method)、对象合约(contract)、授权额度(amount 或 approval flag)。看不懂的不签 —— 把窗口关掉去问,问完再回来。多花两分钟,能省你一个钱包。
第四类 · 假"官方"App
这一类的剧本特别简单:你在搜索引擎里搜 "MetaMask 下载",前几条结果里有一两条是付费广告,其中可能就有一条指向高仿网站。这些网站的 URL 看起来非常像真的,logo 一致、配色一致,下载按钮也大大方方地放在首屏。你下载下来的 App,外观和真的 MetaMask 一模一样,能创建钱包、能导入助记词。区别在于:你创建/导入助记词的那一刻,那串字符就同步给了攻击者。
这一类不只针对 MetaMask。Trust Wallet、Phantom、OKX Wallet 都有对应的高仿版本。在国内场景下,因为部分官方应用商店不上架某些钱包,用户会下意识去搜索引擎搜,这就给攻击者打开了大门。
钱包 App 永远从两个来源之一安装:官方域名(域名你要事先确认过,不是搜出来的),或官方 GitHub release 页。任何"搜出来 + 点广告 + 下载"的路径,先按 1% 概率是真的来怀疑,再决定要不要走。
第五类 · 钱包供应链攻击
场景描述:你在闲鱼上看到一个九成新的 Ledger Nano S,价格是新品的六成。卖家描述说"自己买来没怎么用,已激活配好"。你想想反正用之前自己会重置,下单买了。设备到手之后,你按 Ledger 官方流程做了所谓"重置",看到屏幕显示新的助记词,记下来。然后开始往里面充值。
问题在哪里?硬件钱包屏幕显示的"新助记词",背后并不一定真的是设备内随机数生成的。如果设备的固件被篡改过,它可以显示一组"看起来新"的助记词给你看,背后绑定的私钥早就在攻击者手里。你充值的每一笔,都会被监控、被 sweep。
硬件钱包永远只从官方店、官方授权代理处买。"已激活"的硬件钱包是死刑判决,不要侥幸。如果你已经买了二手或来源不明的硬件钱包,无论它有没有显示"重置成功",都不要往里面充任何资产。
顺带一提:连"全新未拆封"的硬件钱包也要做一个动作 —— 收到货之后第一件事是检查包装的封口贴是否完整、Anti-tamper 贴是否被替换过痕迹。多数大牌硬件钱包官网都有"如何识别真品"的视频,五分钟看一遍。
第六类 · 假"漏洞"凭证
场景描述:你在某个 Telegram 群里收到一个陌生人的私信,对方说:"朋友,我刚才把 USDT 转错链了,币卡在 TRC20 那个钱包里出不来,我把私钥发给你,你帮我提一下,提出来的钱分你一半。" 对方真的发了你一串 64 位十六进制字符串,看起来确实是个私钥。你把私钥导入到自己的钱包,发现里面果然躺着两万多 USDT。
你心想:天上掉馅饼了。你准备把这些 USDT 转出去到自己的地址。但 TRON 链上发起转账需要燃料费(带宽和能量),你那个新导入的地址里没有 TRX。于是你从自己的主钱包里转一点 TRX 过去当 gas。
就在你 TRX 到账的那一刹那,那两万多 USDT 已经被另一个程序抢先转走了。你转过去的 gas 也被一起 sweep 了。
这个套路的精髓在于:那个"被钓鱼地址"是攻击者控制的多签地址,或者地址上挂着一个监控脚本,任何到账的原生 token(TRX、ETH、BNB 等)会被立刻清空,连同地址里原有的 USDT 一起转走到攻击者收款地址。你贪那一半"分成",结果赔了一笔 gas。
陌生人给你私钥让你"帮忙",背后一定是局。免费的便宜没有,让你先垫 gas 的更没有 —— 不管对方故事编得多顺。
第七类 · 杀猪盘(高仿交易所)
这一类骗局的特点是周期长、信任铺垫深、最后下刀准。
场景描述:你在某社交平台或婚恋 App 上认识了一个看起来很真实的人。对话持续几周到几个月,对方逐渐展示自己是某领域的"成功人士",慢慢引导话题到投资上来。某一天,对方说自己用一个"内部团队的交易所"做合约,最近收益不错,可以带你试试。你犹豫了一下,先充了 5000 块进去。系统真的让你赚了 30%,你试着提现 1000 块,秒到。你信心倍增,加大到 20 万。然后系统说你需要"补缴保证金"才能继续,你又借了 30 万进去。再然后,账户被冻结,提币按钮永远是"审核中"。
这个剧本之所以一直奏效,是因为前半段所有的"信任建立"动作都是真的:人是真的(虽然是演员),小额提现是真的(先放鱼上钩),收益数字是真的(虽然只是数据库里改个字段)。骗局只在最后一刀完成。
任何"非主流交易所" + "有人带你做" + "前期能提币"的组合,几乎百分百是杀猪盘。判断是不是主流交易所有一个粗略标准:CoinMarketCap / CoinGecko 的交易所排行榜里能否查到,且查到的那个域名是不是你正在用的域名。
第八类 · 恶意签名钓鱼(EIP-712 / Permit)
这一类比第三类(假授权弹窗)更隐蔽。第三类至少会触发一个 on-chain 的 approve 交易,链上数据是可追溯的;这一类不需要 on-chain 操作,全程只发生一次"看似无害的"离链签名(off-chain signature)。
场景描述:你在一个网站上点了 "Sign to Verify Ownership" 之类的按钮。钱包弹出来一个签名窗口,内容是一段结构化数据(EIP-712 格式),里面有 owner、spender、value、deadline、nonce 这些字段。你看不懂,但觉得"反正只是签名,没有花我的 gas",就点了签。
你刚才签的,可能是一个 ERC-20 Permit 签名。Permit 是 EIP-2612 引入的功能,允许通过签名授权第三方使用你的 token,而不需要你自己发一笔 approve 交易。攻击者拿到这个签名后,可以在合约里直接调用 permit + transferFrom,把你的 token 转走。从你的视角看,你没有发起任何链上交易,但你的 token 已经没了。
EIP-712 签名窗口里出现 Permit、PermitSingle、PermitBatch、spender、value 这些字段时,等同于一笔授权交易 —— 看清楚 spender 是谁、value 是多少。不认识的 spender,不签;value 是 max uint256(一长串 f)的,不签。
现在主流钱包(MetaMask、Rabby、OKX Wallet)都开始在签名窗口里高亮显示这类危险字段,但默认设置不一定打开。在 MetaMask 里建议把 "Display signature requests in full" 之类的开关打开 —— 我们在《MetaMask 安全使用》那篇里专门讲了。
第九类 · 高仿浏览器扩展
场景描述:你在 Chrome Web Store 搜 "MetaMask",结果出来一长串扩展,前几条看起来都叫 "MetaMask",图标也都是那只狐狸。你点了排在第二位的那个,看到它有 4.8 星评分、几千个评论,于是点了安装。
Chrome Web Store 不是没有审核,但它的审核更多盯的是"明显的恶意行为"。一个名字相似、图标相似、UI 相似的高仿扩展,审核很难拦下。一旦你用它创建钱包或导入助记词,结果和第四类(假 App)一样。
安装钱包扩展前,看三件事:发布者(Publisher)是不是官方写的那个名字(比如 MetaMask 应该是 "Consensys Software Inc.")、下载量是不是百万级、评论数和星级是否合理。三项里有一项异常,先去官方域名查官方扩展商店链接。
顺带一提:如果你在 Edge / Brave / Arc 等基于 Chromium 的浏览器里装扩展,逻辑相同 —— 这些浏览器的扩展商店与 Chrome Store 各自独立或共用,骗局也各自有变体。
第十类 · 假"官方"通知
这一类是最古老的钓鱼形态,但在加密圈被改造得越来越精细。
场景描述:你的邮箱里收到一封邮件,发件人显示是 "Binance Security <security@binance.com>"(注意:显示名可以任意伪造,真实发件域名常常不是 binance.com)。邮件内容说你的账户被检测到来自异常 IP 的登录,需要在 24 小时内点击邮件中的链接完成"安全验证",否则账户会被冻结。链接的锚文本是 "https://accounts.binance.com/verify",但实际指向的是一个非常相似但不同的域名(比如 binance-account.com 或 binance.security-verify.io 之类)。
你点进去,看到一个一比一复刻的登录页。你输入了邮箱密码,再输入了谷歌验证码。下一秒,攻击者用这两个信息登录了真正的 Binance,把你账户里能划的资产都划走了。
邮件、短信、推送通知里的所有链接,永远不点。要去交易所/钱包做任何操作,永远从浏览器书签或自己手打域名进。这条规则比"判断邮件真假"更省心 —— 真假都不重要,路径错的就不走。
第十一类 · 恶意广告
场景描述:你在 Google 搜 "Phantom Wallet",第一条结果是黄色的广告标签 "Ad",标题是 "Phantom Wallet - Official Download",URL 显示也是 phantom.app。你点进去,下载了 .dmg 安装包。打开后,看到的是 Phantom 一模一样的界面,让你"导入旧钱包恢复"。你导入了助记词。下一秒,你的 SOL 被清空。
这一类的关键是:Google Ads 的 URL 显示是可以"看起来像真的"的,但实际点击后的跳转链可以指向任何域名。攻击者经常通过中转域名做这层伪装。
搜索任何加密相关品牌时,自动跳过广告位(带 "Ad" 或 "Sponsored" 标签的那几条),只看自然搜索结果。或者直接用 uBlock Origin / Brave Shield 等工具屏蔽广告位 —— 这件事不只是省心,是省钱。
第十二类 · DEX 路由器恶意池
这一类是 2025 年下半年逐渐冒出来的新形态,属于"假授权弹窗"的链上变种 —— 你不再被骗去签一个明显异常的授权,你只是去做一笔看起来非常正常的 swap。
场景描述:你在 Uniswap 或 1inch 上准备把一笔 USDC 换成一个新发的 meme 代币。前端给你显示的报价合理、滑点正常、gas 费看起来也没问题。你点了 swap,签了交易。等链上确认之后,你打开钱包余额 —— USDC 扣掉了,但你应该收到的那个新代币只到账了一个零头,剩下的"消失"在 router 路径中间。再过几小时,你会发现你那个钱包里原本和这次 swap 无关的另一种 token,余额也少了一截。
问题出在 router 的多跳路径上。一个正常 DEX 聚合器的路径可能是 USDC → WETH → 目标 token,所有跳数都走主流流动性池。而恶意池构造者会把自己控制的一个"看起来正常"的池子塞进这个路径中间。这个池子里的合约不是 standard Uniswap V2/V3 pair,而是一个改写过的合约:它对接收的 token 收取异常高的"手续费",并在某些条件下用 hook 机制触发对你钱包里另一种 token 的 transfer。
这一类的难点在于:链上数据完全可追溯,前端代码看起来也没有错,签名窗口里展示的方法名是普通的 swap 调用。你能看到的所有信号都是绿色的。唯一的破绽藏在你看不到的中间跳那个合约地址里。
2025 年 12 月,我整理的案例库里出现了一笔单笔约 8.7 万 USDC 的损失。受害者是一个有六年 DeFi 经验的用户,他事后给我看了 swap 截图,他的原话是:"我做了几百笔 swap,从来没出过事,这一笔我没特别看。" 区块浏览器里那笔交易的 router 路径有 5 跳,第 3 跳是一个三天前刚部署的合约,按 etherscan 上的代码看是合规的,但 storage layout 里有一个 hook 指向另一个合约。
swap 前看 router 路径里的每一跳合约。如果聚合器给的路径包含部署不到一周的池子、TVL 几万美元以下的池子、或者非主流池子(不是 Uniswap V2/V3、Curve、Balancer、PancakeSwap 这种),先取消,换更简单的两跳路径。多花零点几个 bps 的滑点,比损失整个钱包划算。
另外补充一点:很多钱包(Rabby、OKX Wallet)现在在签名 swap 时会做 transaction simulation,提前告诉你"这笔交易后你余额会变成什么样"。把这个开关打开 —— 模拟结果里如果显示你钱包里另一种 token 的余额会减少,那就是 hook 被触发的明确信号。
第十三类 · Telegram bot 高仿与恶意签名
这两年 Telegram trading bot 的生态膨胀得很快。BananaGun、Maestro、Unibot 这一类 bot 把"在 TG 群聊里直接 sniper 新币"的体验做到了极致 —— 你在群里看到一条 contract address,复制粘贴给 bot,几秒内 bot 帮你完成钱包连接、签名、swap 一整套动作。这种便利性也成了攻击者最爱的入口。
场景描述:你已经用了 BananaGun 几个月,攻略熟、习惯熟。某天你在一个你常去的 alpha 群里看到有人转发"BananaGun 新版本上线,支持 Solana 链"的链接,配文是 "@BananaGun_v2_bot"。你点进去,bot 看起来界面和你熟悉的那个几乎一样。它让你先做一次"钱包绑定",弹出一个签名请求。你的钱包里有真的 BananaGun 用习惯了形成的肌肉记忆 —— 看到熟悉的签名 UI 就直接点了确认。
你刚才签的,是一个针对你主钱包余额的 Permit 签名 + 一个 setApprovalForAll。两个签名打包在一起,UI 里只用一段模糊的描述带过。10 秒后,你的钱包被 sweep。
这一类攻击的设计精髓在于:它不需要骗你下载假 App、不需要伪造网站,它只需要骗你点一次"看起来像升级"的链接。Telegram bot 用户已经习惯了"频繁与 bot 交互、频繁签名"的流程,警觉性自然下降。慢雾在 2025 年 11 月的公开通报里专门提到:单是 BananaGun 系列高仿 bot 一个月内造成的链上损失约 280 万美元,受害者中位数损失大约是 9000 美元。
所有 Telegram trading bot,永远只从官方 channel 的 pinned message 进入,不点群消息里贴的任何 bot 链接 —— 即便是发链接的人是你熟人也不点。Bot 的"新版本""新功能"在官方 channel 一定会先公告,时间永远早于群里转发。
另一个抗钓鱼习惯:给 trading bot 用专门的小额钱包,主钱包永远不连任何 bot。这条听起来啰嗦,但它把单次失误的损失上限锁住了。我自己用 BananaGun 的钱包里常驻余额不超过 0.3 ETH,bot sweep 走也不至于伤筋动骨。
第十四类 · AI 生成的创始人语音/视频公告
这一类是 2025 年下半年最具冲击力的新形态,技术门槛已经低到攻击者能用 60 美元一个月的订阅服务在十分钟内合成一段 30 秒、声音口型对齐的视频。
场景描述:你在 X 上刷到一条转发量很高的帖子,附带的视频里是 CZ 用中英双语对镜头说话:"各位币安用户,由于安全审计原因,币安在未来 24 小时内会进行钱包资产迁移,请所有用户访问 bnb-migration.io 完成验证,否则资产将冻结。" 视频里的 CZ 表情自然、口型对齐、连他平时说话的小习惯(比如手势、停顿)都对得上。下面有一些"已转移成功"的评论截图。你心里犹豫了几秒,看了看转发量(八千多)、点赞数(两万多),点了视频里的链接。
这个剧本的杀伤力在于:它不依赖你"判断 AI 假视频",它依赖你"判断转发量和评论数"。攻击者会先用机器人池子刷起转发和评论,让信号看起来真实。一个真实的人在凌晨刷推、看到这种视频 + 这种热度的组合,大脑会跳过"这是不是真的"这一步,直接进入"我要不要赶在 24 小时内做点什么"的焦虑模式。FOMO 完成了认知劫持。
2025 年 11 月那波 DeepFake CZ 视频的高峰期,单日有超过 30 个域名同时在做导流,链上分析显示其中 7 个域名共收到约 480 万美元的资产转账。受害者画像里有一个特征让我印象深刻:32% 的受害者其实知道 DeepFake 的存在 —— 他们只是没料到 DeepFake 会在自己面前出现。
任何带"紧急 / 24 小时 / 资产迁移 / 立即验证"等关键词的视频公告,无论是谁出镜,无论转发量多高,统一去对方官方账号 verify。CZ / Vitalik / Hayden Adams 这一类公众人物的真实重大公告,永远会在他们自己的认证 X 账号 + 官方 blog 同步发出,不会只通过转发链路出现。
补充一个习惯:给自己设一条硬规则 —— "凡是要求 24 小时内行动的,统统不做"。真正的紧急情况会在多个独立信源同步出现,而不是单点视频。这条规则会让你错过一些真公告,但会救你避开几乎所有 DeepFake 攻击。
第十五类 · 浏览器扩展供应链投毒
这一类我把它放在最后讲,因为它最隐蔽 —— 你不需要做任何错的动作,损失就发生了。
场景描述:你的 Chrome 里装了大概十几个扩展,多数是你用了好几年的工具:一个 Markdown 阅读器、一个截图扩展、一个去广告插件、一个翻译扩展。这些扩展都不是加密相关的。某天你的 MetaMask 弹出一个授权请求,看起来像是你之前打开过的某个 DeFi 页面发起的,你以为是上次没确认完的请求,点了。资金消失。
事后你查 Chrome Web Store 才发现,那个 Markdown 阅读器在三周前被原作者卖给了一家"营销公司",新版本里被注入了一段脚本:它会监听 MetaMask popup 的 DOM 变化,在你弹出真实授权请求的同时,注入一个伪造的授权请求 UI 覆盖在上面。你看到的"授权请求",实际是攻击者控制的内容;你的真实 MetaMask 在背景里被悄悄签了一个对攻击者地址的 setApprovalForAll。
这种攻击之所以让我警觉,是因为它打破了"只装钱包扩展和钱包相关扩展"的常规防御逻辑。攻击不需要劫持你的钱包扩展本身,它劫持你浏览器里任何一个有权限读 DOM 的扩展,就能在你不知情的情况下伪装钱包 UI。
2026 年 1 月那次扩展被收购的事件,受影响用户里有相当一部分是经验丰富的 DeFi 用户。他们对自己装了哪些钱包扩展非常清楚,但对自己装的那个"用了两年的截图工具"几乎没有审视过。攻击者瞄准的就是这种"早就被信任、被遗忘"的扩展。
定期审视浏览器扩展权限(每 3 个月一次):把不再使用的扩展卸载、把权限范围里出现 "Read and change all your data on websites" 这类全局权限的扩展逐个评估是否真的必要。另外推荐一个习惯:把跟钱包交互的操作放在一个干净的浏览器 profile(Chrome 多用户配置 / Brave 多 profile / Firefox container),这个 profile 里只装钱包扩展和必要的几个,其他工具扩展放到日常 profile 里。隔离的成本是分钟级,挡掉的损失可能是六位数。
顺带一提:扩展供应链投毒不只发生在 Chrome。Firefox 的 Add-ons 商店、Edge 的扩展商店、Brave 的扩展加载机制都有自己的攻击面。在 Safari 上扩展生态相对小、审核也严,但同样不能默认安全。规则是统一的:扩展数量越少,攻击面越小。
2024-2026 加密钓鱼热度图
下面这张表是我根据自己的案例库 + 慢雾 / GoPlus / Scam Sniffer 公开数据综合做的一张热度估算。打圆点(●)表示该类骗局当年的活跃度,●●●●● 是顶级流行,●○○○○ 是几乎绝迹。"平均损失"是我案例库里该类损失金额的中位数区间,仅供参考。
| 攻击类型 | 2024 热度 | 2025 热度 | 2026 趋势 | 平均损失 |
|---|---|---|---|---|
| 假授权弹窗 | ●●●●○ | ●●●●● | ●●●●● | $5K-50K |
| Permit 离链签名 | ●●○○○ | ●●●●○ | ●●●●● | $1K-100K |
| 假客服(社媒主动私信) | ●●●●○ | ●●●●○ | ●●●○○ | $3K-30K |
| 假空投(陌生 token) | ●●●●● | ●●●●○ | ●●●○○ | $500-5K |
| 假"官方"App | ●●●○○ | ●●●○○ | ●●●○○ | $10K-200K |
| 钱包供应链(硬件) | ●●○○○ | ●●●○○ | ●●●○○ | $20K-500K |
| 假"漏洞"凭证(gas 局) | ●●●○○ | ●●○○○ | ●●○○○ | $50-2K |
| 杀猪盘 | ●●●●● | ●●●●○ | ●●●○○ | $30K-500K |
| 高仿浏览器扩展 | ●●●○○ | ●●●○○ | ●●○○○ | $5K-100K |
| 假"官方"邮件 | ●●●●○ | ●●●○○ | ●●○○○ | $1K-20K |
| 恶意广告(搜索引擎) | ●●●○○ | ●●○○○ | ●●○○○ | $5K-50K |
| DEX 路由器恶意池 | ○○○○○ | ●●●○○ | ●●●●○ | $2K-100K |
| Telegram bot 高仿 | ●○○○○ | ●●●●○ | ●●●●● | $1K-50K |
| DeepFake 创始人公告 | ○○○○○ | ●●●○○ | ●●●●○ | $10K-200K |
| 扩展供应链投毒 | ●○○○○ | ●●○○○ | ●●●○○ | $5K-150K |
读这张表的方式:横向看一类骗局这两年的走势,纵向看任意一年最热的几类。我自己最关注的是右边那一列"2026 趋势"里五星的几类 —— 假授权、Permit、Telegram bot 高仿。这三类有一个共同点:都依赖你"签名习惯麻木"。所以这一年我自己花最多时间在调整签名习惯,而不是去研究那些热度下降的旧骗局。
关于这张表的一个坦白说明:热度数字是我自己的估算,不是精确统计。平均损失的区间也只覆盖了案例库里的样本,会有偏差。把它当成"哪类骗局更值得花时间防"的相对排序工具,比当成精确数据更合适。
被骗者的 5 种典型心理
这一节是我做风控这八年观察最多的地方。被骗者很少是"笨",更多是"在那一刻被某种情绪劫持了"。我把劫持机制归纳成 5 种,每一种我都用一个朋友/案例库里的真实故事说明。看完之后你会发现自己其实经历过其中至少一种 —— 只是恰巧没碰上对应的骗局。
心理一 · FOMO(错过焦虑)
FOMO 是钓鱼骗局里被使用最频繁的情绪杠杆。"限时空投"、"24 小时迁移"、"现在不操作就冻结"、"前 100 名享受双倍" —— 这些话术的共同点是制造一个"窗口期"。窗口期会压缩你的判断时间,让你跳过"我应该再核实一下"这个步骤。
2025 年 6 月我朋友老 K 在凌晨一点收到一条"某 Layer 2 项目最后 6 小时空投快照"的推文,他本来准备睡觉,看到 6 小时这个数字立刻打开钱包准备 claim。他差点签了一个 setApprovalForAll,被身边的女朋友拦下来。第二天他和我说:"那一刻我脑子里只有一个声音 —— 万一是真的呢,错过 5 万刀。" 真假对他不重要了,错过的可能性才是。
反制方式:把"凡是要求 24 小时内行动的,统统不做"做成一条硬规则。你会错过一些真空投(绝大多数真空投其实窗口期都是几周到几个月),但你会避开 90% 的 FOMO 骗局。
心理二 · 权威幻觉
"我看到 logo 是真的"、"对方是认证账号"、"这是 Binance 官方客服"、"视频里的 CZ 是真的" —— 这些权威信号会让你直接跳过自己的判断流程。问题是,logo、认证标记、视频出镜,在 2026 年都是可以低成本伪造的。
我案例库里 2025 年下半年的一个用户,她损失了 6.4 万 USDT。事后我问她当时为什么会信,她说:"对方发来的工单截图,工单号格式、颜色、字体,和我之前真在 OKX 提工单时看到的完全一样。" 攻击者花了大概一周时间研究 OKX 的工单界面细节,做了一个一比一复刻的截图工具。视觉上的权威是最容易被复刻的那一层。
反制方式:判断一件事是否权威,永远靠"流程"而不是"视觉"。客服流程是从你登录后的入口进,不是从对方发来的链接进。任何能用"流程"判断的事,就不要用"视觉"判断。
心理三 · 沉没成本
这是杀猪盘和"补缴保证金"类骗局里最常用的心理杠杆。你已经投入了 5 万,对方告诉你再补 2 万就能把全部 7 万提出来。你的大脑此时会把"再投 2 万"和"已经损失的 5 万"绑在一起算账 —— 因为如果不补,5 万就彻底没了;如果补了,可能 7 万都回来。看起来后者期望值更高。
但你忽略的是:补的 2 万对方仍然不会放你提币。下一关会要 "VIP 升级费"、"风控解除费"、"账户保证金" —— 每一关都用同样的逻辑套住你。我案例库里最极端的一个案例,某位受害者前后补了 11 次,从 5 万本金一路追加到 87 万。整个过程持续了 4 个月。
反制方式:把"被骗的 5 万就当死了"这个心态训练成本能。一旦发现自己在做"再补一笔就能解锁"的决策,直接停下来 —— 99% 的情况这是局,1% 的情况你也只是再损失一点。期望值永远是负的。
心理四 · 凌晨疲劳
这是我做风控时数据上看得最清楚的一条 —— 凌晨 0:00-4:00 的钓鱼成功率,比白天高出 2-3 倍。原因不复杂:人在那段时间判断力下降、警觉性降低、共情陷阱更容易触发。攻击者很清楚这件事,钓鱼的高峰时段会刻意安排在你疲倦的时候。
开篇老 J 的故事就是这一类。他在凌晨两点收到电话,那一刻如果是中午两点,他大概率会先笑一下挂掉。但凌晨两点 + 出差时差 + 账户里有真实资产 = 三重压力叠在一个判断窗口里。
反制方式:给自己设一条规则 —— 凌晨 0 点到早 7 点,不做任何钱包操作、不点任何加密相关链接、不回任何客服消息。把这条做成 muscle memory。如果有人在那个时段联系你说"紧急",第一反应是"等我醒了再说",不是"我现在赶快处理"。
心理五 · 利他陷阱
这是最微妙的一种心理触发。"朋友,我的币卡住了,你帮我提一下,提出来的钱分你一半"、"我妈急用钱我把私钥发给你"、"老人不会操作钱包麻烦你帮一下" —— 这些请求把你放在"帮人"的位置上,让你的防御机制下降。你以为自己在做好事,实际是在让别人薅自己的羊毛。
第六类(假"漏洞"凭证)就是利他陷阱最直接的应用。它的反面我也见过:有用户在群里看到"老人转错链了希望大家集资帮一下",主动给陌生地址转了 USDT。捐款打过去几小时后才意识到对方账号是假的。
反制方式:分清"帮助"和"涉及私钥/转账"两件事。涉及私钥的,无论对方故事多惨,都不参与 —— 真朋友不会让你做这种事,假朋友的故事多惨都不重要。涉及转账的,先用一个独立信源核实对方身份,再做下一步。
把这五种心理放在一起看,你会注意到一个共同结构:骗局的核心从来不是"骗你看不出假",而是"骗你在某种情绪下不去验证"。攻击者真正攻击的不是你的钱包,是你的判断窗口。所以最好的防御,是给自己装一个"判断窗口被压缩时强制减速"的机制 —— 那条"24 小时硬规则"、那条"凌晨不操作硬规则"、那条"涉及私钥不参与硬规则",本质都是给情绪上锁,让冷静的你替焦虑的你做决定。
如何反向训练自己 · 我自己清单
这一节是我内部用的清单,原本不打算公开。讨论了几次后觉得对读者有用,就放出来。核心思路是:被动等骗局上门是输的,主动训练自己识别骗局的能力是赢的。我自己每周大概会花 30-45 分钟做这件事,具体到这个时间安排,不一定每个人都合适。
动作一 · 每周固定时段刷一次新型骗局
我自己习惯是每周二晚上花 30 分钟,刷三个渠道:
- 慢雾安全公众号 / Twitter:他们是中文圈最稳定的安全通报来源,每周大概 2-3 条新型骗局拆解。
- Scam Sniffer 的 Dune dashboard:链上钓鱼地址的实时统计,能看到这一周哪几类合约部署量在涨。
- GoPlus Security 的钓鱼数据库:他们的 token security API 是公开的,可以查任何 token 是不是 honeypot 或者 mint authority 是否异常。
30 分钟不长,但这件事的复利效果在三个月后会很明显 —— 你会对"哪些套路是新的"有一个时间维度的直觉。
动作二 · 用一个 burner wallet 主动测可疑链接
这条听起来反常识,但它是我自己提升识别能力最有效的方式。我有一个专门的"诱饵钱包",里面只有 0.02 ETH 用作 gas。当我在群里看到一条可疑链接,我会用那个钱包点进去,全程不签任何东西,但会逐字读签名窗口里出现的 calldata。读完关掉。一年下来我大概读过 200+ 个钓鱼签名,对什么是异常 calldata 已经有肌肉记忆。
注意:这个动作有风险,不建议没有相关经验的读者直接做。如果你想尝试,要点是 —— burner wallet 永远不持有任何有价值资产、永远不和主钱包有交互、用专门的浏览器 profile 隔离、签名窗口出现时只读不点。
动作三 · 维护自己的"被骗自查清单"
这是我自己 wiki 里的一页,我自己也存了一份。清单内容大致是:
- 过去一周我是否在凌晨做过钱包操作?
- 过去一周我点过的所有加密相关链接里,是否有从社媒私信进的?
- 当前钱包的 token approval 列表里,是否有半年没用过的 dApp 仍持有授权?
- 当前浏览器里的扩展,是否有最近 30 天换过 publisher 或者权限增加的?
- 过去一周我是否在某个新群里被陌生人加过好友?
每周一晚上花 10 分钟逐条 check。这五个问题看起来啰嗦,但跑半年之后你会发现,被骗的人几乎都在被骗前的一周内有至少两条触发。把检查做在前置位,比事后追损失划算多了。
动作四 · 加入一个高质量的反诈 Telegram 群或 Discord
这件事的价值不在于"群里有大佬指点",而在于"群里第一时间冒出来的新型骗局案例"。我自己在两个反诈群里潜水,平时不说话,但每天会看群里 5-10 条新案例。这种 ambient learning 比刻意学习更有效。
选群的标准:不要选拉新群、不要选有"导师带单"的群、不要选群主是匿名 + 头像是大佬的群。优先选有公开身份的安全研究员/审计公司维护的小群。
动作五 · 每三个月做一次"假装自己刚被骗"演练
这是去年我开始做的练习。每季度抽一天,假装自己钱包刚被掏空,从头跑一遍《私钥泄露应急 · 五步抢救流程》。包括:重新生成新钱包、检查 revoke.cash 上的授权清单、确认自己关联的交易所账户安全设置、整理一份"如果我现在要跟攻击者跑链上分析需要哪些证据"的清单。
这种演练的价值不在于"应急本身能不能跑通",而在于发现自己平时积累的盲区。比如我去年第一次跑这个演练时,发现自己甚至记不清自己用过哪些 dApp。这意味着真出事的时候,我没法快速判断要 revoke 哪些授权。演练完之后我开始用 revoke.cash 每月扫一次,这件事就变成了 muscle memory。
把这五个动作放在一起,本质是把"反钓鱼"从一次性认知升级,变成持续性的肌肉训练。骗局每年都在变,但训练机制本身可以不变。我内部的判断标准是:一个用户如果能稳定执行其中三项,就基本可以脱离"被动挨打"的状态。
该做与不该做 · 行为对照表
读到这里你可能已经记不住前面所有细节。没关系,把这张表存下来。这张表里的内容是把前面 11 类骗局的识别要点抽象成行为准则,比记 11 个场景更可执行。
| 场景 | 该做 | 不该做 |
|---|---|---|
| 陌生人/陌生客服私信 | 静音、关掉对话,从登录后的客服入口找官方 | 把账户信息、助记词、验证码图给对方 |
| 钱包里出现陌生 token | 当垃圾对待,可以隐藏,不要交互 | 去 swap、去 approve、去 transfer |
| dApp 弹出签名窗口 | 逐字读方法名、合约地址、授权额度 | 不看就点"确认" |
| 下载钱包 App / 扩展 | 只从官方域名或官方 GitHub 进 | 搜索引擎搜出来直接点广告位 |
| 买硬件钱包 | 官方店或官方授权代理,封口贴完整 | 买二手、买"已激活"、买无授权代理 |
| 陌生人给你私钥 | 当作 100% 是骗局 | 导入到自己钱包 + 充 gas 准备"提币" |
| 认识不到三个月的人推荐交易所 | 反向查 CoinMarketCap / CoinGecko 排名 | 充几千块"试试" |
| EIP-712 签名窗口 | 看 spender、value、deadline 字段 | 认为"只是签个名没花 gas"就签 |
| 邮件 / 短信里的链接 | 统一不点,要操作从书签进 | 判断"看起来像真的"就点 |
| 搜钱包/交易所 | 跳过广告位看自然结果 | 点第一条带 "Ad" 标签的 |
| DEX swap 准备签名 | 看 router 路径每一跳合约 + 打开 transaction simulation | 路径有陌生池子也直接点确认 |
| Telegram bot 升级 / 新版本 | 从官方 channel 的 pinned message 进 | 点群消息里熟人转发的 bot 链接 |
| 看到创始人"紧急公告"视频 | 去对方官方账号 + 官方 blog 双重 verify | 看转发量和评论数高就相信 |
| 装浏览器扩展(即便不是加密类) | 定期审视权限,钱包操作用独立 profile | 装几十个扩展,权限从不审视 |
| 凌晨收到"紧急"消息 | 等到第二天清醒后再判断 | 在凌晨 0 点至早 7 点做任何钱包操作 |
已经被钓了怎么办
如果你看到这篇文章的时候,已经发现钱包里少了东西、账户被划转了,先别慌。下面是简版应急流程,更详细的步骤我们写在《私钥泄露应急 · 五步抢救流程》里。
- 立刻把还在那个钱包里的剩余资产,转到一个全新的、从未联网过的钱包地址。不要犹豫"是不是误判"—— 哪怕是误判,多一次转账成本远比再损失一次低。新钱包从一台从未感染过的设备上创建,助记词不要用旧的。
- 撤销旧钱包上所有的 token approval。用 revoke.cash 或 Etherscan 的 Token Approval 工具,把那个钱包对所有合约的授权都撤掉。如果你不知道有多少个授权,全撤一遍。
- 登录关联的交易所账户,立刻冻结提币、修改密码、重置 2FA、检查 API key。许多杀猪盘案件里,攻击者会通过钱包关联到交易所账户做横向移动。
- 保留所有证据。聊天记录、转账哈希、骗子地址、相关网站截图。这些东西后面如果走链上分析或者司法追索,都是关键素材。
- 报警 + 上报链上分析机构。国内可以报警立案;链上的资金流转可以提交给 Chainalysis、TRM Labs 这类机构做地址标记,虽然追回率不高,但能让赃款在主流交易所更难脱手。
在你刚损失资产、心情最焦虑的那几小时里,会有"代为追回"的服务主动找上门 —— Telegram、X、邮件都可能。这是二次诈骗,几乎没有例外。真正的链上分析公司不会通过 Telegram 主动联系受害者;任何要求你先付"调查费""解锁费""保证金"的,立刻拉黑。
写在最后
这篇文章前后改了七稿。最难的不是把骗局列全 —— 列全这件事一份案例库就能做到。最难的是写出"如何识别"而不写出"如何实施"。我们在我自己为此专门讨论过两次:哪些技术细节可以写、哪些必须模糊化、哪些场景宁愿少写也不愿成为攻击者的教学材料。最终的判断标准是:一段文字里说出来的信息,对一个普通持有者是否有保护性收益 —— 如果没有,那它对攻击者的"教学价值"就一定大于对持有者的"防御价值",那就删掉。所以你看到的版本,可能在某些细节上比你预期的要含糊。这是有意为之。
另一件想说的事:钓鱼骗局的根因,不是用户"太蠢"。我做风控这么多年,看过太多被骗的用户在事后被指责"怎么连这都没看出来"。但骗局的设计本身就是利用人在特定情境下(凌晨、出差、刚转账完、刚买入完、第一次用某 App)的判断短板。任何一个人都有那个判断短板会暴露的时刻 —— 我自己有,写这篇文章的你也有。所以这篇文章的写法是工具书,不是道德教化。把它存下来,下次你或你的朋友进入到那种"凌晨两点的电话"场景时,回来翻一遍 —— 这就是它该有的用法。
下一篇我会写《MetaMask 安全使用 · 8 个隐藏开关》,把这篇里反复提到的"签名窗口设置""approval 展示设置"等具体到逐项开关。
—— 我,2026 年 5 月,写于杭州