假撤销空投骗 gas · 损失虽小但量大

解剖这个钓鱼站

2025 年 6 月 10 日 X 上一条 8 万赞的推文导流了 1.4 万用户去钓鱼站 secure-revoke[.]app，合计损失 460 万美元。其中包括杭州的小韩损失 1.4 ETH + 12,000 USDC。这个攻击表面是一个钓鱼网站，里面是三层不同维度的诱导叠加 —— 把这三层拆开看，下次类似推文出现时你能秒识破。

第一层壳 · 「安全焦虑」的话术包装

推文原文是：「收到的可疑空投不能直接卖出，会触发恶意合约自动 transferFrom，必须用 revoke 工具撤销才能安全卖。」 这句话技术上 50% 对、50% 错 —— 恶意 token 确实存在、确实有一些会监听 transferFrom 触发后门，但「必须用 revoke 工具撤销」是错的（你根本没授权过它就没什么可 revoke 的）。这种「半真半假」的话术包装是这层壳的核心 —— 它给你一种「在做正确的安全动作」的感觉。

第一层防线在你心里那一个反射：任何让你「立刻做安全动作」的推文 / 私信 / 弹窗都先停 24 小时再说。真威胁不会因为你慢 24 小时就 catastrophic，但假威胁会因为你着急上当。

第二层壳 · 「假数据」制造的紧迫感

小韩连钱包到 secure-revoke[.]app，页面显示他有 23 笔「危险授权」。这个数字是攻击者后端编出来的 —— 你账户上链上实际授权可能只有 5-7 笔，但页面给你显示 23 个红色 ⚠️ 行项，每个标着不同 dApp 名字。视觉上看起来「我账户怎么这么危险」，让你越想快点 revoke。

第二层防线在工具核实 —— 真正的 revoke 工具只有两个：revoke.cash（多链支持）、对应链区块浏览器自带的 Token Approval Checker（etherscan 的在 https://etherscan.io/tokenapprovalchecker）。这两个工具显示的「危险授权」数字在你账户上一致，且通常 5-15 笔（除非你用 DeFi 用了几年）。任何第三个工具显示几十笔授权都默认假。

第三层壳 · 「签名 UI 误读」的技术诱骗

最里层的攻击在签名内容上。用户按 Confirm 23 次，每次 MetaMask 弹出来的签名内容不是 approve(spender, 0)（这是真 revoke）而是 setApprovalForAll(spender, true)（这是新授权 spender 提走该地址所有 NFT）或 Permit 签名（授权 spender 在 30 天内任意提走 ERC-20）。

MetaMask 的签名 UI 会显示「Spending cap: unlimited」「Function: setApprovalForAll」等关键字 —— 但用户没逐个看，因为「我都在 revoke 怎么可能签错」。这是认知盲点：当你心理状态已经把当前动作定义成「revoke」后，你看签名 UI 时大脑会自动滑过那些跟 revoke 矛盾的关键字。每签一次就授权一个新 spender，23 次签了 23 个授权。

第三层防线是签名内容核读 —— 真 revoke 的签名 function 一定是 approve（参数 0）或 setApprovalForAll（参数 false）。看到 true / unlimited / Permit / PermitBatch 一律 Reject。

三层壳的对应识别清单：

• 推文要求你访问非 revoke.cash 的 revoke 工具 —— 默认假（穿透第一层壳）
• 工具显示你有几十笔「危险授权」—— 真账户在 revoke.cash 上通常 5-15 笔（穿透第二层壳）
• 每笔撤销都要付 gas —— revoke.cash 也要 gas 但金额匹配链上实际气价
• 签名内容是 setApprovalForAll(spender, true) —— 这是授权不是撤销（穿透第三层壳）
• 推文转发量异常高 + 评论清一色「已撤销谢谢科普」—— 水军特征

立刻去 revoke.cash 真站点撤销所有授权。注意签的是 approve(spender, 0) / setApprovalForAll(spender, false)，不是 true。按《私钥泄露应急 · 五步抢救流程》第三、四步把资产转新地址、撤光授权。小韩后来花了一周时间在 Etherscan 把自己所有钱包的链上 approval 重新清理一遍 —— revoke.cash 加 Etherscan 自带的 Token Approval Checker 双工具交叉验证。这是恢复期最稳的复检流程。

2025 年的同类变种还有：假杀毒软件下载（伪装成 SlowMist Detection Tool / GoPlus Wallet Security）、假双因素认证 App（伪装成 Google Authenticator 备份工具）、假冷钱包备份工具（伪装成「24 词云端加密备份」服务）、假 Etherscan 浏览器扩展（声称能在地址栏直接显示授权风险）。共同点是攻击者抓住用户「我要更安全」的动机，把安全工具本身做成钓鱼 —— 这种攻击的妙处在于用户使用工具的过程本身就是「上钩流程」，不需要任何额外说服。

应对这类「假安全工具」攻击的通用规则有三条：（1）所有声称解决安全问题的工具，都从官方文档链接进入 —— 不从搜引擎、不从社交媒体推荐；（2）官方文档地址自己事先记录、做浏览器书签 —— 一次记录终身受益；（3）任何让你「现在就用」的紧迫安全建议都先冷静 24 小时再行动 —— 真威胁不会因为你慢 24 小时就 catastrophic，但假威胁会因为你着急上当。