假领币页 · 你以为在领空投实际在签 approve

为什么假领币页骗得到老用户

因为它玩的不是技术，是认知偏差。你心里想着「我要领 1,247 ARB」，钱包弹窗里写着「Approve USDT spending」 —— 大脑只挑跟自己想法一致的信息看。攻击者只需要让你点一次 Confirm，整笔生意就完成。这跟「我以为是中奖结果转账了」这类杀猪盘逻辑同源，只是搬到了链上。

小李是怎么被吃掉的

2025 年 2 月 4 日，Arbitrum 社区有传闻官方要发「忠诚用户二期空投」。上海读者小李在 Telegram 群里看到一个「提前查询资格」的链接 arbitrum-airdrop[.]top。页面让他输入地址，回显「恭喜，您可领取 1,247 ARB」。他点 Claim，弹窗显示「Approve USDT spending」 —— 他眼里只剩「1,247 ARB」那几个字，确认。10 秒后主钱包 1.8 万 USDT 没了。

关联钱包为什么也跟着没了

这才是真正吓人的部分。攻击者脚本扫到一个被钓中的钱包后，立刻搜同邮箱 OAuth、同手机号、同设备指纹下的其他钱包一并尝试。小李有两个「钓鱼测试号」，全部因为同邮箱 OAuth 暴露，分钟级被清，合计 4.6 万 USDT。这意味着「我有测试号隔离」并不安全 —— 关联关系是攻击者横扫的入口。

假领币页的 5 个反向特征

• 查询空投资格的网站让你 connect wallet —— 真官方查询通常只要地址，不连钱包
• 弹窗标题跟页面文字对不上（页面「领 ARB」、弹窗「Approve USDT」）
• Claim 之前要支付「激活费 0.005 ETH」—— 真空投不预付费
• URL 是 arbitrum-airdrop / claim-arb / arb-token 等变体 —— 真域名只有 arbitrum.foundation
• 「24 小时内不领过期」—— 真空投通常给几个月 claim 窗口

避免下次的两条硬规则

第一，钱包弹窗只看里面的 method 字段和 spender 地址，不看页面文字。Approve USDT 跟领 ARB 是两件完全不同的事，弹窗里的 method 永远是真相。第二，测试号和主号在 OAuth 层完全隔离 —— 不同邮箱、不同手机号、不同浏览器 profile，最好不同设备。

关联钱包都要扫一遍

立即用旧地址登录 revoke.cash 把那笔 approve 撤掉。剩余资产按《私钥泄露应急 · 五步抢救流程》第三、四步处理。关联钱包（同 OAuth / 同手机号 / 同设备）逐个检查，攻击者脚本会跨地址扫。