保护您的加密资产:防范网络钓鱼和诈骗的安全指南
在加密货币领域,安全性不仅是一项建议,更是一项必要条件。了解如何保护您的数字资产,使其免受钓鱼攻击、诈骗及其他欺诈手段等不断演变的威胁。

去中心化的加密货币世界带来了巨大的机遇,但也伴随着新的风险。网络钓鱼、诈骗、恶意智能合约以及其他类型的欺诈行为,时刻威胁着您的数字资产。为了确保安全,了解相关信息并采取主动的安全措施至关重要。
加密资产面临的主要威胁
1. 网络钓鱼和虚假网站
诈骗分子会制作热门加密货币交易所、钱包或DeFi平台的完美复制品,诱骗您透露私钥、助记词或登录凭据。请务必仔细核对网站的URL,并使用书签访问,切勿点击邮件或消息中的链接。
2. 掏空钱包的骗局
这些是恶意脚本,一旦连接到您的钱包或签署交易,就会将您所有的资产转入攻击者的钱包,从而清空您的钱包。它们通常伪装成合法的去中心化应用(dApp)、NFT 项目或空投活动。
3. 诈骗与社会工程学
其中包括承诺轻松赚钱、虚假赠品活动、“拉高出货”骗局,以及要求您提供钱包访问权限或个人信息的“技术支持”诈骗。
保护您的加密资产的实用步骤
1. 定期撤销权限(Revoke.cash)
每次您与智能合约进行交互(例如,为去中心化交易所或 NFT 交易平台授权代币),您都会授予该合约访问您一定数量代币的权限。如果该合约被证实具有恶意或遭到入侵,这些权限可能会被利用来清空您的钱包。
- 该怎么做: 使用诸如 Revoke.cash. 该工具可让您查看并撤销已授予智能合约的所有权限。请定期检查并撤销不必要或可疑的权限。这对降低风险至关重要。
2. 及时更新系统和应用程序
过时的软件为攻击者大开方便之门。更新通常包含安全补丁,用于修复已知的漏洞。
- 该怎么做:
- 操作系统: 请确保您的操作系统(Windows、macOS、Linux)始终更新到最新版本。
- 浏览器: 请使用最新版本的浏览器(如 Chrome、Firefox、Brave 等),因为这些浏览器通常内置了防范网络钓鱼的安全功能。
- 加密货币钱包和扩展程序: 请定期更新您的软件钱包(例如 MetaMask)及其相关扩展程序。
3. 投资组合多元化:不要把所有的鸡蛋都放在一个篮子里
将所有加密资产都存放在一个钱包中,会增加在遭遇黑客攻击或网络钓鱼攻击时损失所有资产的风险。
- 该怎么做:
- 热钱包: 请仅将它们用于日常交易或与去中心化应用(dApp)交互的小额交易。
- 冷钱包/硬件钱包: 若需长期存储大额资产,请使用硬件钱包(如Ledger、Trezor)。它们通过将私钥离线存储,提供最高级别的安全保障。
- 资产隔离: 将资产分散存放在多个钱包和交易所中,以最大限度地降低单次成功攻击造成的潜在损失。
4. 务必核对地址和已签名的交易
诈骗者可能会利用恶意软件篡改剪贴板中的收件人地址,或伪造交易详情。
- 该怎么做:
- 再次确认: 在汇款前,请务必仔细核对收款人的地址,尤其是地址的首尾几个字符。
- 阅读签名请求: 请仔细阅读钱包中的所有交易签名请求。确保您完全清楚自己正在批准的内容。可疑的请求(例如,将“设置对所有合约的批准权限”授予未知合约)可能是资金窃取者。
5. 使用双因素认证(2FA)
双因素认证(2FA)为您的交易所和各类服务账户增添了一层额外的安全保障。
- 该怎么做: 尽可能启用双因素认证(2FA),并使用身份验证应用(如 Google Authenticator、Authy)代替短信验证,因为基于短信的双因素认证更容易遭到拦截。
6. 警惕意外的邀约和消息
如果某项提议好得令人难以置信,那它很可能就是假的。
- 该怎么做: 请忽略陌生人发来的、承诺提供“免费”加密货币或轻松赚钱的消息。请通过项目的官方渠道核实信息。
7. 硬件钱包与物理隔离签名
热钱包(浏览器/移动端)是加密货币领域中最大的攻击面。请将长期持有的资产转移到一个 硬件钱包 — Ledger、Trezor、Keystone 或 BitBox — 私钥绝不会离开设备。对于高价值交易,请考虑 物理隔离 通过二维码进行签名(Keystone、Coldcard、AirGap Vault),因此即使计算机遭到入侵,密钥也不会被窃取。
- 购买硬件钱包 仅限厂家直供 渠道——供应链篡改是一种真实的攻击。
- 请在洁净的环境中设置该设备;首次使用前请验证固件签名。
- 将助记词记录在 钢 备份(Cryptotag、Billfodl)——纸质备份会烧毁或褪色。
- 切勿将种子输入、拍照或以数字形式存储——无论是iCloud、Google Drive、密码管理器还是备忘录应用,都不要这样做。
8. 审慎批准津贴
“掏空钱包者”并不需要你的私钥——他们只需要一份经你签名的授权,即可转走你的代币。每次你签署交易时,请仔细阅读:
- 检查该函数:
approve,setApprovalForAll,permit,increaseAllowance,以及signOrder授予代币转移权——而非转让权。 - 查看支出情况: 您正在批准的地址应为已知的协议合约——绝不能是 EOA(外部拥有账户)或未经验证的合约。
- 请核对金额: 如果被要求提供无限量的(
2^256-1),更倾向于设定一个确切的上限。 - 检查链条: 钓鱼网站可能会将您的钱包切换到一个意料之外的区块链,从而绕过您的过滤机制。
- 使用 Blockaid, ScamSniffer,或 钱包守护者 扩展功能,用于在签名前标记恶意批准。
9. 域名与书签管理
最成功的网络钓鱼攻击往往瞄准你输入网址或点击链接的瞬间。防御措施:
- 收藏 无论您使用的是哪款钱包、交易所或跨链桥——切勿手动输入敏感网站的域名。
- 避免点击谷歌上的赞助/广告结果——与加密货币钱包、交易所和跨链桥相关的赞助关键词是头号网络钓鱼途径。我们在此文档中对此进行了记录: 域名注册商助长全球诈骗.
- 对包含额外字符的任何网址都要保持警惕:
uniswap-app.org,metamask-extension.com,app-pancakeswap.io— 官方域名很简单。 - 通过证书透明度(Certificate Transparency)验证域名(crt.sh) —— 一个刚签发的、针对某品牌仿冒网站的证书,是一个巨大的警示信号。
10. 警惕“广告”及“职场窥视”诈骗
加密货币团队越来越频繁地遭遇伪装成广告或合作邀约的商业式社会工程学攻击。攻击者会要求你安装“媒体资料包查看器”、“广告管理器”、“Zoom客户端”或“安全保密协议工具”——而这些“工具”实则都是窃取工具。 我们记录了一起此类攻击导致项目资金被掏空的案例: $100K Returned — Adverting Scam Foiled.
- 切勿安装未经核实的第三方提供的专用客户端、查看器或“更新程序”。
- 请仅使用 Zoom、Telegram 和 Discord 的官方下载链接——切勿点击赞助搜索结果。
- 如果某个工作流需要自定义客户端,请默认将其视为恶意程序。
11. 加密货币团队的运营规范
- 专用机器 用于资金管理——全新的操作系统、硬件钱包、极简扩展程序,不使用电子邮件/社交媒体。
- 多签名 对于任何规模超过每月销毁量的国库(如“Safe”、“Squads”等)。
- 将提现地址加入白名单 在交易所中;尽可能设置时间锁。
- 备份运营种子 在采用 M-of-N 分割(沙米尔秘密共享)的地理分布式钢材存储中。
- 事件处置手册:事先明确记录谁会联系谁、需要撤销哪些钱包的权限、审计日志存储在何处。发生安全事件后的第一小时至关重要。
12. 如果你已经遭到入侵
- 转移资金 立即 来自任何曾访问过恶意网站或签署过可疑交易的钱包。速度比流程的完美更重要。
- 在以下位置撤销所有令牌授权: revoke.cash 来自一台未受感染的设备。
- 将受感染的设备从所有网络中断开连接;轮换该设备上所有被访问过的凭据;使用干净的安装介质重新安装操作系统。
- 保留证据:磁盘映像、浏览器历史记录、交易哈希值——这些内容在撰写事件报告以及可能进行的恢复操作中都会用到。
- 向……汇报 @PhishDestroy_bot 并联系 SEAL 911 如需紧急安保专业帮助。
- 阅读我们的完整事件响应指南: 关键措施——遭遇黑客攻击后该怎么做.
增强安全性的其他资源
掌握信息就是成功的一半。推荐信息来源:
- 安全联盟 — 恶意软件 — 对针对加密货币用户的恶意软件家族的深入分析。
- PhishDestroy 销毁列表 — 13万多个活跃的网络钓鱼/诈骗域名,可集成到您的DNS、防火墙或浏览器中。
- @PhishDestroyAlerts — 针对新出现的诈骗基础设施的实时警报。
- 一次关停的剖析 — PhishDestroy 如何破坏网络钓鱼基础设施。
- 打击网络犯罪的开源工具 — 完整的OSINT工具包。
- 对150多个假冒Mozilla扩展程序的调查 — 恶意扩展程序是如何收集种子信息的。
“在 PhishDestroy,我们致力于为您提供在数字世界中保障安全的工具和知识。请记住,您的警惕性是您第一道也是最有效的防线。”
保护您的加密资产需要时刻保持警惕并采取主动措施。遵循这些建议,您将大大降低成为诈骗受害者的风险,并能更有信心地在去中心化金融领域中游刃有余。

