怎麼分辨真假空投?5 個一看就知道是詐騙的訊號
有個朋友傳給我一張截圖:他在某個群組看到「某某項目空投開領,限時 24 小時」,點進去網站做得有模有樣,連錢包後跳出一個確認視窗,他正要按下去,才想到先問我一句「這安全嗎?」——還好他問了。那個視窗按下去,他錢包裡的幣大概就不是他的了。這類釣魚手法,連幣安官方學院的 空投詐騙說明 都專門寫過,可見有多常見。
假空投現在做得越來越精緻,光看「漂不漂亮」根本分不出真假。但好消息是:騙子要得手,一定得讓你做某幾個動作裡的至少一個。把這幾個動作背後的訊號認清楚,不管包裝多好看,你都能當場喊停。下面五個,看到任何一個就先別動。
訊號一:一進去就要你連錢包簽授權
正常領空投的順序是:先連接錢包(這步只是讓網站看到你的地址),確認你符合資格、能領多少,最後才在領取時簽一次。問題出在那一次「簽什麼」。
假空投常常一連上錢包,馬上就跳一個要你「批准(approve)」某個合約動用你代幣的視窗,而且通常是無上限授權。你以為在領空投,其實是給了對方一張「隨時可以把你這種幣搬走」的許可證。
怎麼當場驗證:看清楚錢包視窗要的是哪種動作。如果只是領空投,合理的是「簽署一則訊息(signature)」,不該出現「授權某合約動用你 USDT / USDC / 某代幣」這種字樣。看到授權、看到一長串合約地址要你批准動用資產,先取消。簽署和授權差在哪、惡意授權怎麼把幣搬走,看 惡意簽署與授權詐騙 講得最清楚。
還有一個小細節:正派的領取頁,通常會先讓你看到「你這個地址能領多少」,你心裡有個底之後才簽。如果一連上錢包,什麼資格、什麼數量都還沒顯示,就急著要你按一個確認鍵——這個順序本身就不對。資訊還沒給你,就要你先授權,那它要的根本不是讓你領幣,而是你那一下確認。
訊號二:開口要私鑰或助記詞
這個最簡單,也最致命。任何頁面、任何「客服」、任何「驗證錢包」的步驟,只要叫你輸入私鑰或助記詞(seed phrase),百分之百是詐騙,沒有例外。
助記詞是你整個錢包的總鑰匙,正常領空投從頭到尾都不需要它。會跟你要的,只有想偷走你全部資產的人。話術會包裝得很合理:「為了確認這是你本人」「同步一下錢包才能領」「系統偵測到異常,請重新驗證」——再合理都是假的。一個原則記死:這串字只在你「自己」建立或還原錢包時,在你信任的錢包 App 裡才會輸入,任何網頁、任何聊天視窗叫你打助記詞,一律是騙。
變形版本也要小心。有的不直接叫你打字,而是給你一個「掃描 QR code 連接錢包」的步驟,或假裝是某個熱門錢包的官方頁面要你「匯入」帳戶。重點不在它用什麼包裝,而在於——只要過程中你的助記詞會離開你自己的錢包 App,跑去任何別的地方,就是有問題。連 MetaMask 官方說明 都把「絕不向任何人透露助記詞」列為第一守則,可見這條有多基本。
訊號三:要你先付一筆錢才能解鎖
「你中了一大筆空投,但要先付一點手續費 / 保證金 / 解鎖費才能提領。」這是經典中的經典。
真相是:真空投的領取,你頂多付一點鏈上 gas 費(由你的錢包直接付給網路,不是付給某個人),而且金額通常不大。沒有任何正派空投會要你「先匯一筆款項給對方」才放幣。邏輯也很簡單——既然是免費送你的,哪有送之前還要你先付錢的道理?
怎麼當場驗證:區分「付 gas」和「付錢給對方」。付 gas 是你錢包簽一筆交易、由網路收取;而「請先匯一筆款到這個地址以解鎖」這種要你主動轉帳給一個地址的,直接關掉。你也可以把對方給的地址貼到 Etherscan 或 BscScan 看看,通常會發現一堆受害者的轉入紀錄,那就是鐵證。
這類騙局還有個續集,叫「殺豬盤式追加」:你付了第一筆,對方說「金額不夠、要再補一點才能放更大筆」,一步步把你越套越深。一旦你發現自己在「為了拿回剛剛付出去的錢,只好再付一筆」的迴圈裡,那就是典型的詐騙結構,該停損的是現在,不是再付一次。記住:你從來沒有真的中過那筆空投,所謂的提領,只是讓你一直掏錢的鉤子。
訊號四:網址不太對勁
釣魚網站的本體,就是那串網址。騙子會把網域做得跟官方幾乎一樣:差一個字母、把 l 換成 1、用相近的拼法、或在後面接一串雜訊。你瞄一眼覺得「對啊就是它」,其實差之毫釐。
怎麼當場驗證:不要從私訊、群組、廣告點連結。永遠從你信得過的來源——項目官方頻道、大型交易所的上幣頁、區塊瀏覽器收錄的官方連結——點過去。貼地址或進站前的檢查習慣,可以照 錢包地址檢查 做一遍。瀏覽器網址列上的網域,逐字看清楚再連錢包。
有一個特別容易中的場景:你用搜尋引擎搜某個項目名,結果最上面那一兩條是廣告位,網域看起來八九不離十,點下去卻是釣魚站。所以搜尋結果最上面的廣告,反而是最該警惕的。另一個常被忽略的細節是:HTTPS 的小鎖頭只代表連線有加密,不代表這個網站是好人——騙子的釣魚站照樣可以有小鎖頭。別把「有鎖頭」當成安全保證。想搞懂錢包連接、簽署這些動作背後的原理,以太坊官方的 安全頁面 有不錯的入門說明。
訊號五:逼你「現在馬上」的急迫話術
「限時 24 小時」「剩最後 100 個名額」「過期作廢」——這些倒數計時和稀缺話術,目的只有一個:不讓你有時間冷靜查證。因為只要你停下來查,大概就會發現破綻。
真正有規模的空投,通常領取的時間窗口很長,根本不缺你這幾分鐘。越是催你快、越是讓你怕錯過的,你越要慢下來。
怎麼當場驗證:遇到急迫話術,刻意停 10 分鐘,回到項目官方頻道確認有沒有這回事、確認領取入口的正確網址。10 分鐘錯過的若是真空投,損失有限;但若衝動點下去的是假的,可能就是你錢包的全部。安全觀念也可以參考幣安官方說明中心的 防詐專區。
還可以多留意一種變形:對方營造「你很特別」的氛圍——「只發給前 100 名」「你的地址被選中」。被點名的虛榮感會讓人卸下戒心,這正是它要的。真空投講的是「符合資格的人都能領」,不會搞這種挑你一個人的戲碼。把急迫和稀缺擺在一起看,十之八九是包裝。
把這五個訊號連起來看:要你連錢包就簽授權、要私鑰助記詞、要先付錢、網址怪、急著逼你點。中一個就該停,中兩個以上幾乎可以確定是騙局。
編輯實測:被一個假空投差點騙到
讓我們印象最深的一次,是同一個「項目」我們前後收到兩個版本的領取連結——一個來自官方公告區,一個是私訊塞進來的。兩個頁面長得幾乎一模一樣,配色、字體、那顆綠色的領取按鈕都對得上,光看畫面根本分不出真假。差別全藏在網址列:私訊那個把官方域名裡的一個小寫 l 換成了數字 1,不放大盯著看,眼睛會自動把它「腦補」成對的。
我們把兩個網址並排比對、再回官方頻道對了一次連結,才確定私訊那個是假的。這件事讓我們把一個習慣定了下來:任何空投連結,一律從官方自己的頻道點進去,別人「好心」轉發的一概不點。整趟最大的體會是:假空投騙的不是笨,是賭你「趕時間、又懶得逐字核對網址」。把這篇列的五個訊號當成一張隨身檢查表,大多數假頁面在你還沒連上錢包之前,就已經先露餡了。
把這五個訊號背起來,大概就能擋掉市面上絕大多數的假空投。它們的共同邏輯其實只有一句:真空投讓你「看得懂、不急、不用先掏錢、不用交鑰匙」;只要其中一條被打破,就先當它是假的。寧可錯過一個真的,也別賠掉整個錢包——孰輕孰重,其實一眼就分得出來。
看懂訊號只是第一步,真正動手領空投時的完整安全流程,在 加密貨幣空投完整指南 裡有逐步教學;想系統性地認識去中心化錢包會遇到的各種騙法,可以接著看 錢包詐騙最常見的 5 種。空投有沒有領到是一時的,這份「先停一下再動手」的判斷力,才會一直跟著你。如果你想隨手檢查一個地址或網址對不對,也可以用我們的 地址檢查器。
最後給一個務實建議:練判斷力,最好是在一個你本來就熟、出問題有客服可問的環境裡起步。先在交易所把基本流程摸熟,再帶著這份警覺心去碰鏈上的空投,會穩很多。如果你還沒有帳號,可以用邀請碼 BNB3311 註冊幣安,順手把費率減免也帶上(實際比例以幣安頁面顯示為準,可能隨政策調整)。