钱包里突然多了陌生 token 是什么？

先给结论

几乎可以肯定是空投钓鱼（airdrop scam，技术上属于 dusting attack 的延伸）。正确处理只有一件事：什么都不做。

token 出现在你钱包里这个动作本身不会造成损失 —— 它只是攻击者把代币 transfer 到了你的地址。真正的损失发生在你被诱导去「领取」「兑换」「访问官网」这些后续动作。token 不动它，它就是一行没用的链上记录。

为什么

攻击者向几十万、几百万个地址批量发空投 token，每个地址只花一点 gas，但能钓到的潜在受害者数量极大。这种攻击叫 Address Poisoning 或 Airdrop Scam，2023 年以来 Etherscan / BscScan 上的钓鱼 token 数量呈指数级增长。

这些 token 的伪装通常很有迷惑性：

• 名字叫 "USDT"，但合约地址不是 Tether 官方的
• 名字写成 "$1000 Airdrop · Visit eth-claim-xxx.com"，把诱导网址直接写进 token 名字
• 名字写成 "Uniswap V4 Reward"，蹭知名协议名字
• 余额显示 5000、10000 这种好看的整数，让你以为「白捡到了」

你一旦按它诱导的网址去「领取」或者用钱包内置 Swap 想换成 ETH/USDT，攻击合约会要求你 Approve 一个权限很广的合约 —— 比如 `approve(spender, uint256.max)`。授权一旦签下，攻击者可以把你钱包里所有的同类 ERC-20 代币（包括真 USDT、真 USDC、真 WETH）一次性 transferFrom 走。这才是真正的损失发生点。

常见误解

• 误解 1：「币安给我空投了 USDT」 —— 不可能。任何合规交易所或主流协议的空投都通过官方 App / 官网 / 公开公告发布，不会神秘出现在你钱包里。
• 误解 2：「我把它换成 ETH 试试」 —— 这正是攻击者期待的。Swap 路由会先要你 Approve 路由器合约，恶意 token 的转移函数被改写过，会顺便清空你其他真币。
• 误解 3：「我转给朋友看看」 —— 转账时会触发 token 的 transfer 函数，部分恶意 token 的 transfer 实现会调用攻击者预埋的逻辑读取你的其他资产。最好的处理就是不碰。
• 误解 4：「在钱包里删了它」 —— 钱包里只能「隐藏」不能「删除」。隐藏的本质是 UI 不显示，链上记录依然存在，但这无所谓 —— 隐藏掉就看不见、不打扰、不会误点。
• 误解 5：「我之前没碰它，但点了一下 Etherscan 上的合约地址」 —— 单纯查看 Etherscan 不会触发任何交易，安全。只要不签字、不交互就没事。

延伸阅读

定期审查授权很重要，去 revoke.cash 输入你的地址，看看有没有被你之前误签的合约 —— 撤销授权需要花一点 gas，但比丢币便宜。想了解钓鱼的完整图谱，看 钓鱼诈骗全图谱 2026 版；如果担心钱包整体安全，钱包完整指南。