先抛结论。钱已经出去的部分追不回。能做的是阻止后续——大多数假空投盗号不是一次性扫光,而是通过 setApprovalForAll 或 EIP-2612 Permit 留了一个授权窗口,未来某天再回来取。第一小时把这扇门关上,至少能保住剩下的。
为什么
假空投的盗号机制基本是这样:你看到"点击 claim 领取空投"的弹窗,签了一笔交易,链上记录显示这是一个 setApprovalForAll 或 ERC-20 的 approve 调用,授权对象是骗子的合约地址。从那一刻起,骗子合约对你这个地址里的某类代币或某个 NFT 集合,拥有了无限期的转移权限——他想什么时候提就什么时候提。
所以发现被盗后,光"换密码"是没用的(私钥不像密码可以改)。你必须主动去链上撤销这个授权。打开 Revoke.cash,连上钱包,会列出你所有的现有授权,按"高风险 / 最近 / 最大额度"排序排查,点 Revoke 发起一笔反向交易,等链上确认。同时另开一个全新的 EOA 地址(从未被授权过任何合约),把这个钱包里还能动的代币、NFT 全部转过去。
证据保存这步很容易被忽略,但很重要。如果未来涉及报警、保险理赔或者交易所追溯(万一骗子把币换成稳定币提到 CEX),交易哈希、钓鱼网址截图、钱包扩展程序版本号都是关键凭证。
常见误解
- "我钱包还没断网,把电脑拔掉就行"——授权写在链上,不在你电脑上。物理断网阻止不了骗子合约下一次调用。
- "换个助记词导一遍钱包就解决了"——助记词只是恢复同一个地址,授权状态不变。要换地址,是新生成一份助记词。
- "找'链上追回服务'能救回"——99% 是二次骗局,详见 案例 27。