答案先抛
大概率不会。在以太坊和大部分 EVM 链上,钱包的"连接"是只读权限 —— dApp 可以看到你的地址和余额,但不能转走任何东西。要动资产必须有一笔签名(approve、transfer、Permit、setApprovalForAll 任意一种)。你没签就没授权,钓鱼站再花哨也没用。
为什么
钱包扩展(MetaMask、Rabby、OKX Wallet)的连接机制设计为:dApp 通过 EIP-1193 请求获取地址,钱包弹窗问你"允许 xxx.com 查看你的账户余额吗",你点同意之后 dApp 拿到的是地址字符串和链上余额读取权 —— 这两样数据本来就是公开的,任何人通过区块浏览器都能查。
真正的攻击发生在你按下"签名"或"确认"那一刻。setApprovalForAll 让攻击者拿走整个 NFT 集合的转移权、Permit 签名让对方在 24 小时内可以划走你的代币。这些都需要钱包弹窗一次"签名"动作 —— 你不签,他们做不到。
常见误解
"连接就等于授权"。错。连接和授权是两个独立动作。连接是"我允许你读我的地址",授权是"我允许你转走我的代币"。后者才需要 gas、需要签名、需要钱包弹窗确认。
"那为什么有人连了一下钱包就没了?"三种例外。第一是钱包本身被替换 —— 你装的不是真 MetaMask,是 Chrome Web Store 上的山寨扩展(每年都能查出几十个),它从安装那一刻就在偷助记词,跟你访问哪个 dApp 没关系。第二是浏览器扩展劫持,比如装了恶意翻译插件,它会拦截 MetaMask 的签名请求、把目标地址换成攻击者地址 —— 这种情况你以为在签正常交易,实际签的是转账。第三是设备本身有 剪贴板病毒,你复制提币地址时被偷换。这三种和"是否连了钓鱼站"都没关系,是更底层的设备失守。
"我应该把钱包断开吗?"应该。MetaMask 在"已连接的网站"里手动断开、Rabby 和 OKX Wallet 同理。断开不是必须,但能让你心里干净一点。更关键的是顺手去 Revoke.cash 检查授权列表 —— 排除自己是不是早些时候签过什么忘了。
延伸阅读
授权钓鱼的完整图谱:钓鱼诈骗全图谱 · 2026 版。撤销旧授权的操作指南:Revoke.cash 词条。MetaMask 的隐藏开关:MetaMask 安全设置实测。