15. 常见骗局与防范

#一句话理解

Web3 是骗子的天堂——默认无客服、转账不可逆、监管和平台很难即时帮你撤回损失。这一章把最常见的几十种套路梳理成模式，让你看一眼就认得出。

这一章建议收藏 + 反复看。哪怕你之前每一章都没仔细读，这一章读完，能帮你少踩 80% 的坑。

#为什么 Web3 骗局这么多

三个结构性原因，决定了 Web3 几乎是骗子最理想的工作环境：

1. 转账不可逆——你按了确认，钱就出去了，没有任何人能帮你撤销
2. 缺少即时兜底——出了事可以报警和取证，但链上转账通常没法像银行卡盗刷那样一键撤回
3. 用户教育门槛高——很多新手并不真的理解自己在签什么，骗子只需要利用这层认知差

所以唯一的防御就是你自己。看下面这些套路，每一种都让无数人血本无归过。

#套路一：钓鱼网站

最古老最有效的套路。

怎么发生：

骗子搭一个跟正规网站长得一模一样的假网站，域名差几个字母（uniswap.org vs unlswap.org，l 和 i），通过 Twitter 评论、Telegram 消息、Google 广告、私信链接等推送给你。你以为是真的，连上钱包签了名——钱没了。

变种：

• Google 搜索结果置顶广告：搜「Uniswap」第一个出来的可能是广告，且是假的
• Twitter 蓝 V 仿冒账号：买个蓝 V，名字头像跟项目方一致，评论区刷链接
• DM 链接：「我帮你解决问题，点这个链接」
• Discord 假管理员私聊：「您的账号有异常，请到 https://xxx 验证」

防御：

1. 官方网站收藏到书签，从此只从书签进入，从不点链接
2. 不要点 Google 广告——直接看自然结果，或者去 Twitter 看项目方置顶的官方链接
3. 任何主动联系你的「客服/管理员」都是骗子——没有例外。正规项目方永远不会主动 DM 你
4. 看清域名每一个字符——l/I/1、O/0、rn/m 替换是最常见的伎俩

#套路二：假授权 / setApprovalForAll

签名章节 详细讲过，这里再强调一遍最危险的几种签名：

怎么发生：

骗子让你「领空投」「免费 mint」「验证账号」，弹出钱包签名时，你点了确认。实际签的是：

• approve 把你的某个 ERC-20 代币无限授权给攻击合约
• setApprovalForAll 把你某系列所有 NFT 授权给攻击合约
• permit / permit2 不上链不花 Gas 的离线授权，更隐蔽

签完之后，骗子机器人立刻把你账户里的资产全部转走。

防御：

1. 任何签名先看清楚内容，看不懂就不签
2. 用现代钱包（Rabby、OKX Wallet 等），它们会解析并标红风险签名
3. 金额、对方地址都要核对
4. 不花 Gas 的签名反而最危险——不要因为「没费用」就轻易点
5. 定期到 revoke.cash 检查并取消用不到的授权（核实当前域名）

#套路三：地址投毒 / 剪贴板劫持

怎么发生：

骗子用一个前后几位跟你常用地址一模一样的地址，给你转一笔 0 元或极小额代币。你的转账历史里就会出现这个地址。

下次你要给朋友转账时，从历史里复制地址——结果复制错了，转给了骗子。

变种：剪贴板劫持木马。你复制一个钱包地址，木马自动替换成攻击者地址，你粘贴时根本不知道。

防御：

1. 核对地址前后多位，不要只看头尾 4 位
2. 大额转账先发 1 美元测试，确认对方收到再发大额
3. 用钱包的「地址簿」功能，把常用地址保存下来，别每次复制粘贴
4. 粘贴后再核对一遍——剪贴板劫持是真实存在的

#套路四：高 APY 资金盘

怎么发生：

某个新平台宣传「日利 1%」「年化 300%」「USDT 理财绝对保本」。前期真的发利息，社区氛围火热。等资金规模够大，跑路。

经典话术：

• 「跟某大所/项目方合作的官方理财」（假的）
• 「AI 量化交易，月化稳赚 30%」（不可能）
• 「质押挖矿，年化 500%」（项目方自印的 token 在跌价，你拿到的是垃圾）

判断公式：

利息高得离谱 = 早期参与者的钱是新韭菜的本金 = 这是庞氏

任何「保本高息」的承诺，在金融世界都是骗局。Web3 不会例外。

防御：

1. 牢记：越接近无风险，收益越不可能离谱。成熟 DeFi 的收益通常来自真实借贷、交易手续费或质押奖励；超过 20% 就要警惕，超过 50% 几乎一定是高风险或骗局
2. 看清楚利息从哪来。如果发利息的 token 是项目方自己印的，那利息本质上是 ponzi
3. 小额测试 ≠ 安全——前期发息是套路的一部分

#套路五：杀猪盘（Pig Butchering）

怎么发生：

一个声称是「投行美女/海外华人/CEO 助理」的人主动加你微信/Telegram，先聊几周天甚至几个月，建立信任，再「分享内部消息」——告诉你某个 App / 平台能稳赚。

这个 App 看起来跟币安一样专业，前期让你赚钱，鼓励你加大投入。等你投入大额，提不出来了。

特点：

• 对方头像极其精美（盗图）
• 聊天极其耐心，可以两周不提钱
• 最后引导你下载一个「专属 App / 网站」（这是诈骗版的假交易所）
• 一旦你想提大额，平台要求各种「保证金」「税费」——这些钱也是骗你的

防御：

1. 任何陌生人主动加你聊感情/聊投资 = 杀猪盘，没有例外
2. 永远不要在「专属 App / 网站」交易——主流交易所就那几家，不会有「内部专用版」
3. 这种骗局已经全球受害，损失通常 50 万人民币起步——不要心存侥幸，及时拉黑

#套路六：假空投 / 假 mint

怎么发生：

你收到通知：「某项目空投，连接钱包 claim 价值 X 美元的代币！」

链接进去，签名授权，钱没了。

变种：

• Twitter 评论区伪装项目方说「现在开始 mint，先到先得」
• 项目方真的有空投，但骗子搞个一模一样的假网站抢量
• 钱包里凭空收到「空投代币」，名字本身就是钓鱼链接

防御：

1. 任何 claim/mint 链接，只从项目方官方 Twitter 置顶或官网导航点进
2. 钱包里突然出现的代币，当不存在——不点、不卖、不转、不授权
3. 「先到先得」「最后几小时」的紧迫感，是骗子最常用的施压话术——越急越要慢

#套路七：跑路盘 / Rug Pull

怎么发生：

项目方发一个新代币，价格短期内拉升 10 倍、100 倍，社区疯狂。等到资金盘子够大，项目方抽走流动性池，币归零，群解散。

变种：

• 直接抽走：开发者本就保留着合约权限
• 慢慢抽：项目方持续小额卖出预留份额，最后没人买时跑路
• honeypot（蜜罐）：合约设计成「能买不能卖」——你能买进去，但永远卖不出来

防御：

1. 新发币、小币种，永远只用你愿意亏光的钱
2. 检查代币合约：项目方有没有大量预留？流动性有没有锁？谁有 mint 权限？（这些可以用 token sniffer 类工具查，但新手很难判断准确）
3. 流动性低、社区热度过高、项目方匿名、没有官方资料——四条占两条就别碰
4. 名人推、KOL 喊单的新币，80% 是被付了费的，别当成专业意见

#套路八：硬件钱包钓鱼

怎么发生：

你买了一个二手或非官方渠道的硬件钱包，里面预设了助记词——你以为是出厂状态，把币转进去了。骗子早就备份了那套助记词，等你存够了直接搬空。

防御：

1. 只从官网或官方授权渠道买——Ledger 官网、Trezor 官网、OneKey 官网等
2. 不买二手——任何理由都不
3. 开箱时检查包装封条——破损、有重置痕迹的立刻退货
4. 助记词必须是你自己设备生成的，任何「预设/打印好的」助记词都是骗子

#套路九：虚假客服

怎么发生：

你在某个交易所 / 钱包遇到问题，去 Twitter 或 Discord 发帖求助。立刻有「官方客服」私信你，让你点链接、提供助记词、屏幕共享。

真相：几乎所有 Web3 平台都不会通过 DM 主动提供客服。真客服只通过工单系统、邮件、或者在官方 Discord 频道公开回答。

防御：

1. 不要在公开渠道发求助帖——你成了骗子的目标
2. 走平台官方的工单 / Help Center
3. 任何「客服」要求助记词、私钥、屏幕共享的，100% 是骗子
4. 任何客服让你「先转一笔保证金/手续费再帮你解决」的，100% 是骗子

#套路十：恶意浏览器插件 / App

怎么发生：

你装了一个看起来很有用的浏览器插件——「DeFi 工具」「价格提醒」「钱包余额聚合」——它偷偷读取你的钱包数据，或者直接劫持你的签名。

防御：

1. 浏览器插件越少越好，只装绝对必要的
2. 装之前看：开发者是谁？多少用户？多久没更新？多少差评？
3. 钱包专用的浏览器配置——一个浏览器（或 Chrome 配置文件）专门用来连钱包，不装其他插件、不登录其他账号
4. 手机上只从官方应用商店装钱包 App，不要装来路不明的安装包

#真实感案例拆解

下面这些是「拟真案例」：人物和细节是虚构的，但每一种都来自 Web3 里反复出现的真实骗局模式。

#案例一：免费的空投，其实是 permit

小 A 在 X 上看到一个热门协议「给早期用户空投代币」。网站做得很像真的，提示她「签名验证资格」。钱包弹窗没有显示 Gas 费，小 A 以为只是登录验证，就点了确认。

实际发生了什么：她签的是一个 permit 授权，允许攻击者转走她的钱包里的 USDC。攻击者机器人拿到签名后，立刻在链上提交交易，把稳定币转走。

危险信号：

• 链接来自评论区、DM、转发帖，而不是项目官网
• 钱包里出现了 approval、spender、permit 或看不懂的原始数据
• 网站制造紧迫感：「30 分钟后结束」「只剩最后 1000 个名额」

更好的做法：关掉页面，从书签、官网或项目官方账号重新进入，确认真的有 claim 页面，再看清签名内容。

#案例二：看起来很熟的地址

小 B 经常往同一个交易所充值 USDT。有一天他从钱包交易历史里复制了一个「头尾几位都很像」的地址，直接转了一大笔。后来才发现中间字符不一样。

实际发生了什么：攻击者提前用一个相似地址给他转过一笔极小额资产，污染了他的交易历史。小 B 复制错了地址。

危险信号：

• 从交易历史里复制地址，而不是从地址簿复制
• 只核对了前后 4 位
• 大额转账前没有先小额测试

更好的做法：常用地址存进地址簿；核对更多位地址；第一次或大额转账先发小额测试。

#案例三：公开求助后冒出来的「客服」

小 C 在 Discord 里发：「我的交易卡住了，有人能帮忙吗？」几分钟后，一个头像和管理员一样的账号私信她，发来一个「support portal」。

实际发生了什么：那个页面要求她「同步钱包」，输入助记词。攻击者拿到助记词后，直接导入钱包转走资产。

危险信号：

• 对方主动 DM 你
• 网站要求输入助记词或私钥
• 对方催你马上操作

更好的做法：不要相信主动私信你的客服。只走官网 Help Center、工单系统或官方公开频道。助记词永远不能输入网站。

#案例四：假交易所的提现手续费

小 D 被网上认识的人带进一个「专业交易平台」。后台显示他赚了很多钱，但提现时平台要求先交「税费」，后来又要求交「风控保证金」「账户解锁费」。

实际发生了什么：这个交易所是假的。后台利润只是数据库里随便显示的数字，每一笔额外费用都是继续骗钱。

危险信号：

• 平台来自陌生人推荐
• 收益曲线异常平滑、异常高
• 提现之前必须继续充值

更好的做法：停止转钱，保存聊天记录、域名、收款地址和交易哈希并报警。不要再交任何「解锁费」。

#案例五：能买不能卖的代币

小 E 在社交媒体上看到一个 meme 币暴涨，K 线一路向上，群里都在喊单。她买进去后余额上涨，想卖时却发现每次交易都失败。

实际发生了什么：这是 honeypot（蜜罐）合约。普通用户可以买入，但不能卖出；项目方或白名单地址可以卖，最后把流动性和买盘吃掉。

危险信号：

• 代币刚上线不久，却被大量 KOL 同时推广
• 合约未验证，或者有奇怪的转账限制
• 流动性很低，没有可信文档和团队信息

更好的做法：新币、小币只用愿意亏光的钱。看不懂合约、没有独立分析时，不碰。

#案例六：带着打印助记词的「官方硬件钱包」

小 F 在二手平台买了一个打折硬件钱包，盒子里有一张已经打印好的 24 个单词卡片，说明书写着「已为你预配置安全助记词」。他把资产转进去，几天后资产消失。

实际发生了什么：攻击者早就知道那套助记词。硬件钱包只是诱饵。

危险信号：

• 设备来自非官方渠道
• 助记词是预先写好、打印好、刮刮卡里的
• 初始化时没有让你在设备上生成新助记词

更好的做法：硬件钱包只从官网或官方授权渠道购买。助记词必须由你的设备现场生成。

#案例七：恶意「资产看板」插件

小 G 装了一个号称能聚合显示多链资产的浏览器插件。插件用户数很少，但界面看起来不错。后来她发现不相关网页也会弹钱包确认，某次签名后 NFT 被转走。

实际发生了什么：插件在网页里注入恶意脚本，篡改钱包交互，诱导她签了恶意交易。

危险信号：

• 插件用户少、开发者不清晰、权限很大
• 没有主动操作时也弹出钱包签名
• 同一个浏览器既日常上网又连钱包

更好的做法：钱包浏览器越干净越好。少装插件，最好用单独的浏览器配置文件专门做 Web3 操作。

#案例八：选错网络的提币

小 H 想给朋友的交易所账户转 USDT。她看到某条链手续费更低，就选了便宜网络，但朋友的交易所这个币只支持另一条网络充值。

实际发生了什么：资金到了一个交易所没有自动入账的网络。能不能找回取决于交易所，可能很慢、很贵，也可能找不回。

危险信号：

• 只确认了币种，没有确认网络
• 收款方没有明确告诉你支持哪条充值网络
• 先看手续费便宜，再倒推选择网络

更好的做法：永远同时确认「资产 + 网络 + 地址」。第一次转账先发小额测试。

#X / Twitter 上常见的骗局

X 是 Web3 信息流的核心阵地之一，也因此成了最重要的攻击面之一。下面这些套路在 X 上尤其常见。

#1. 评论区里的假认证账号

真实项目方发了一条公告。几秒钟后，评论区出现一堆头像、名字都很像的账号，有些还带付费认证标识，发「官方 claim 链接」。

常见话术：

Claim is live now. Use the official link below.

为什么有效：很多人刷评论比核对域名更快，看到头像和蓝标就放松警惕。

防御：

• 不点评论区链接
• 点进项目官方主页，再从官网或置顶链接进入
• 看 handle，不只看头像、昵称和认证标识

#2. 官方账号 / 创始人账号被盗

有时骗局不是假账号发的，而是真账号被盗。项目方、创始人、KOL 的真实账号突然发假 mint、假空投、假代币链接。

为什么有效：账号本身是真的，普通的「看主页」已经不够。

防御：

• 任何突然出现的紧急 claim / mint 都先怀疑
• 用官网、Discord、GitHub、多个团队成员账号交叉确认
• 如果帖子要求你快速连接钱包或签名，尤其要慢

#3. 假空投长帖

骗子写一条很完整的 thread，解释某大项目「突然开放空投」。里面有截图、资格规则、领取步骤和 claim 链接，看起来非常专业。

危险信号：

• 项目官方渠道没有同步公告
• 线程里强调「前 10000 个钱包」「最后几个小时」
• claim 过程要求消息签名、permit 或授权

防御：不要只从 thread 链接领取。回到项目官网、官方文档或官方账号确认。

#4. Quote Tweet 里的假合约地址

真实项目发布上线消息后，骗子 quote tweet 并附上一个假合约地址。

常见话术：

Official CA: 0x....

为什么有效：很多人想抢早期价格，看到第一个合约地址就复制去买。

防御：

• 不从随机评论、转推、quote tweet 里复制合约地址
• 合约地址只从官网、官方文档、区块浏览器验证页、CoinGecko、CoinMarketCap 等渠道确认
• 新币上线时，等多个官方渠道交叉确认

#5. 求助帖下面的假客服

你发帖说「钱包卡住了」「claim 失败了」。机器人和假客服马上在评论区或 DM 里出现。

常见话术：

We can help. Validate your wallet here.

接下来发生什么：所谓 validate 页面会要求助记词、私钥，或者诱导你签恶意交易。

防御：

• 公开求助前，先意识到自己会立刻被骗子盯上
• 必要时关闭陌生人 DM
• 真客服永远不需要你的助记词

#6. 假白名单 / allowlist 名额

某个账号通知你「中了白名单」「获得私募资格」「可以提前 mint」，要求你马上连接钱包签名。

危险信号：

• 你根本没参与过对应活动
• 对方用倒计时催你
• mint 页面没有从项目官网链接出来

防御：白名单资格应该能从官方渠道独立验证。无法验证就当不存在。

#7. 假安全警报：诱导你 revoke

骗子发帖说某协议被黑了，要求用户马上通过某链接撤销授权。

为什么有效：恐惧和贪婪一样容易让人失去判断。用户急着「保护资产」，反而点进恶意 revoke 页面。

防御：

• 需要撤销授权时，自己输入可信工具域名或从书签打开
• 不点随机帖子里的紧急链接
• 通过多个可靠来源确认事故是否真实

#8. 假直播、Spaces、Giveaway

骗子开假直播或 Spaces，盗用项目品牌、创始人名字，甚至用 AI 声音，宣传「转 1 ETH 返 2 ETH」或发 claim 链接。

防御：

• 正经项目不会让你先转钱再返双倍
• Spaces、直播间聊天区、转发里的 giveaway 链接默认高危
• 从官网确认，不从直播聊天区确认

#一份「Web3 自保清单」（建议打印贴墙上）

#不要做的事

• ❌ 永远不要把助记词/私钥告诉任何人，包括「官方客服」
• ❌ 永远不要把助记词截图、存到云笔记、发邮件
• ❌ 永远不要在 Google 广告里点击交易所/钱包链接
• ❌ 永远不要相信陌生人主动 DM/加好友的投资机会
• ❌ 永远不要因为「时间紧迫」而仓促签名
• ❌ 永远不要把大额资产长期放在 CEX
• ❌ 永远不要相信「保本高息」「稳赚」的项目
• ❌ 永远不要盲签（钱包显示乱码、看不懂的签名）

#要做的事

• ✅ 把官方网站收藏到书签，从书签进入
• ✅ 助记词抄在纸上，存两份，物理保管
• ✅ 大额用硬件钱包冷存，日常用小额热钱包
• ✅ 钱包分用途——金库 / 日常 / 试错
• ✅ 大额转账前先小额测试一笔
• ✅ 每次签名先停 5 秒，看清内容
• ✅ 定期到 revoke.cash 取消用不到的授权
• ✅ 遇到不确定的事，关掉网页问朋友或自己冷静一下——错过空投比丢钱好

#万一已经被骗了怎么办

如果你刚刚发现自己签了不该签的，或者转错了地址：

1. 快速行动：如果还有资产没被转走，立刻把所有资产转到一个新的、安全的钱包——授权了 USDC 就把 USDC 转走，授权了 NFT 就把 NFT 转走
2. 撤销授权：到 revoke.cash 检查并撤销所有可疑授权
3. 如果是 CEX 转账错误：立刻联系交易所客服，少数情况能拦截
4. 报警 + 链上追踪：报警、保留交易哈希、聊天记录、域名和收款地址。如果金额巨大，可以咨询专业链上调查或法律服务，但要先核实对方资质
5. 警惕二次骗局：大多数情况下，钱很难追回。止损离场，不要再被「帮你追回资金」的二次骗局割一刀——所谓「黑客大佬帮你找回资产、先交手续费」的，几乎都是骗子

#怎么记这一章

整本手册到最后，如果你只能记三句话：

1. 任何主动联系你的「客服 / 大佬 / 美女」都是骗子。
2. 签名前停 5 秒；不花 Gas 的签名最危险。
3. 保本高息不存在；助记词出门等于钱没了。

#全书结束

读到这里，你已经掌握了 Web3 入门最核心的一套地图：

• 你知道什么是区块链、Layer、Gas
• 你理解钱包、地址、私钥、签名的关系
• 你能区分 Coin、Token、稳定币、NFT
• 你大致明白 DeFi、DEX、DAO 在做什么
• 你认识了主流的骗局套路

接下来怎么走，看你自己的兴趣和需求：

• 想动手实操 → 装个钱包，在 L2 上做一笔几美元的兑换，感受流程
• 想深入某个领域 → DeFi、NFT、DAO、链游……每个都有自己的世界
• 想做开发 → 学 Solidity、Rust（Solana）、智能合约安全
• 不感兴趣 → 也很合理，至少现在你能跟人聊 Web3 不犯怵了

可以查的附录：

• 术语速查表
• 推荐资源

---

保护自己最好的方式，不是杀毒软件，是慢一点、再慢一点。