钓鱼攻击是自托管用户损失资产的最常见方式。不是密码算法被破解,也不是私钥遭到攻击——而是一条极具欺骗性的消息、一个高度仿真的网站,或一笔看似平常实则暗藏危机的交易。你钱包背后的密码学是可靠的,攻击者深知这一点,所以他们完全绕开密码学,直接攻击系统中唯一可能被说服做出错误行为的环节:你。每年,数十亿美元因加密货币欺诈和社会工程学而损失,而其中大部分都始于一条钓鱼消息,而非技术漏洞。
本文将深入讲解加密货币钓鱼攻击真正针对的目标、你可以学会一眼识破的具体模式,以及 SSP 的设计如何提供帮助——同时也坦诚说明它力所不及之处。
钓鱼攻击真正针对的目标
针对自托管用户的钓鱼攻击,目标不外乎三样:你的助记词、你的授权,或你的签名。盗取助记词,攻击者就永久拥有了由此派生的每一个账户。诱骗你授予代币授权,他们便可随时转走特定资产。只需让你签署一笔恶意交易,资金就会在一个区块内转移。
这三种方式的共同点是:你必须主动采取行动。攻击者无法直接进入你的钱包取走任何东西;他们需要你输入、点击、授权或签名。这种依赖性也正是你的优势——每次攻击都有一个你可以叫停的时刻,只要你知道那个时刻是什么样的。
你可以识别的模式
加密货币钓鱼攻击一再重复同一套手法。一旦你能叫出它们的名字,就很难再上当了。
伪造钱包网站与搜索广告仿冒域名
最古老的手法是克隆真实钱包或交易所网站,托管在仿冒域名上,并常以付费广告的形式推至搜索结果顶端。页面看起来与真品一模一样,存在的唯一目的是:窃取你的助记词,或诱骗你连接并签名。把搜索栏视为危险地带。找到真实网站后,验证它,将其加入书签——此后只通过该书签访问。SSP 绝不会在网站上要求你提供助记词,而正版扩展程序安装自官方浏览器商店,而非搜索广告。如果你不确定合法的扩展程序钱包长什么样,请阅读浏览器扩展程序钱包详解。
助记词输入提示
这一条值得单独立规,因为它是绝对的:没有任何合法钱包会要求你将助记词输入网站、表单、弹窗或 DM。 不是为了“验证”,不是为了“同步”,也不是为了“领取”任何东西。你的助记词只在一个地方输入——钱包软件内部,在初始设置或恢复时。SSP 仅在扩展程序或移动应用中接受你的助记词,用于这一目的,绝不在网页上。如果其他任何地方要求输入,就是盗窃行为,毫无例外。有关更全面的保护规范,请参阅助记词最佳实践。
授权钓鱼与钱包窃取器
更新颖、更隐蔽:恶意 dApp 根本不要求你提供助记词。它要求你签署一笔看似正常的交易——但实际上是一个代币授权或 setApprovalForAll,将你的代币或 NFT 的控制权授予攻击者的合约。你仍然持有密钥;你只是签署了放弃资产权利的文件,钱包窃取器会在之后转走资产,有时甚至是数周之后。防御方法是理解授权机制,并将授权期限保持短暂。阅读代币授权——你一直在授予的权限,然后撤销不再需要的授权。
地址污染
地址污染利用的是复制粘贴习惯。攻击者从一个精心设计的地址向你的钱包发送极小额或零价值的转账,该地址与你常用地址的前四位和后四位完全一致。然后它就留在你的交易记录里,下次你从历史记录中复制一个“已知”地址时,复制的是攻击者的地址,你的资金就直接转给了攻击者。解决方法很简单:永远不要从交易历史中复制地址,并逐字符核验完整地址——不只是开头和结尾的四位。仿冒地址可以做到两端完全吻合,中间部分却完全不同。
DM 中的身份冒充
如果有人在 Discord、Telegram 或 X 上主动私信你,声称是“官方支持”,默认就是诈骗。真正的支持团队不会主动滑入你的 DMs,任何管理员、版主或“验证机器人”都不需要你的助记词、私钥,或让你连接钱包来“验证”它。紧迫感是识别标志——“你的资金有风险,立即行动”的目的就是阻止你思考。关闭 DM,只通过你自己导航到的渠道联系支持团队。
恶意签名请求 / 盲签
最具技术性的手法要求你签署一条消息而非一笔交易——一个 Permit、一个 eth_sign 载荷,或一段你无法解读的不透明数据。这些可以在链下授权代币转移或授权,有时无需 gas 费用,也没有明显警告。规则是:在签名之前,理解你在签什么,并对任何你无法解码的请求保持高度警惕。在连接 dApp 时,了解会话及其签名请求的运作方式——WalletConnect 是什么以及它如何与 SSP 配合使用介绍了这一方面。
SSP 的设计如何提供帮助——以及力所不及之处
SSP 是一个 2-of-2 multisig 钱包:每笔交易都必须在第二台设备——SSP Key——上进行联署,才能广播。这为你提供了第二块屏幕,在独立硬件上,在交易提交前再次显示请求——这是单设备钱包所没有的真正的二次审核界面。扩展程序也绝不会在网页上要求你的助记词,从设计上关闭了最常见的窃取途径。
说实话:multisig 不是钓鱼的解药。 如果一笔恶意交易摆在你面前,你在扩展程序中批准了它,又在 SSP Key 上确认了它,钱包就会完全按照你的指示执行。第二台设备保护你免受单一设备被攻陷后独立签名的风险——它不能保护你免受两次批准错误行为的风险。所以请仔细阅读两块屏幕:如果目标地址、金额或操作与你的意图不符,就在 SSP Key 上拒绝。钓鱼防御归根结底仍然靠你。为什么这份责任值得承担,正是为什么自托管在当下如此重要的核心所在。
60 秒钓鱼自查
在签署任何内容之前,执行以下检查:
- URL 检查 — 你是通过自己的书签到达这里的,还是通过别人发给你的链接或广告?如果不是你的书签,停下来。
- 助记词检查 — 有任何地方要求你提供助记词吗?如果是,那就是诈骗,每次都一样,没有例外。
- 阅读 SSP Key — 第二台设备上的操作和金额是否与你的意图完全一致?
- 目标地址检查 — 核验完整的收款地址,而不只是开头和结尾的四位字符。
- DM 检查 — 这是否始于一条主动联系你的消息或紧急的“立即行动”?将其视为威胁。
- 授权管理 — 撤销不再需要的过期代币授权,以免被遗忘的授权日后遭到转移。
如果任何一步失败,拒绝并离开。错过一次机会毫无损失;签署一个窃取器可能损失一切。
继续深入
钓鱼防御只是更广泛的个人安全实践的一个层面。通过面向加密货币用户的浏览器扩展程序安全规范加固其余防线,并通过你的加密货币 opsec 清单将这一切纳入定期执行的计划。若要了解更广泛的生态系统如何追踪这些攻击,APWG 钓鱼活动趋势报告和 FBI 的 IC3 是可靠的一手资料。
