钓鱼攻击（Phishing）· 词条

定义

钓鱼攻击的核心是"伪装"：攻击者把自己装扮成你信任的对象 —— 交易所客服、官方钱包、空投网站、熟悉的 KOL、甚至是你的朋友 —— 然后引导你去做一个本来不会做的动作。

传统互联网钓鱼骗的是"密码 + 验证码"。到了链上，钓鱼骗的是签名 —— 你以为只是在"领空投"，实际上签下去的是一份把钱包里所有 USDT 划走的授权。

1. 假交易所登录页。谷歌广告投一个跟 binance.com 长得几乎一样的域名（比如 binnance.com、binance-cn.app），你输完密码和 2FA 验证码，账户就丢了。

2. setApprovalForAll 授权钓鱼。NFT 假免费铸造页让你"签个名领白名单"，签的是把整个 NFT 集合的转移权交出去。

3. Permit 离链签名钓鱼。更隐蔽 —— 钱包里弹的是一条看不出问题的文本，签完之后攻击者拿这条签名直接把你的 USDC 转走。

4. SIM Swap 配套钓鱼。先骗到你的姓名身份证号，再去运营商补卡，最后从短信 2FA 突破账户。

5. 假客服群。在 Twitter 发一句「币没收到」，5 秒内涌进来三个「官方客服」让你点链接连钱包。

钓鱼有几个共通的味道：紧迫感、超额回报、域名细微错位（多一个字母 / .app / .vip / .top）、要求输入助记词或在不认识的合约上签名。看到任意一个就停手。

密码层：长密码 + 不复用 + 密码管理器。账户层：放弃短信 2FA，改 Passkey 或 YubiKey。链上层：每月去 Revoke.cash 撤一次旧授权。