領空投前必看:惡意簽署 / 授權詐騙怎麼避開

很多人以為:「我又沒把助記詞或私鑰給別人,錢包就是安全的。」這個想法少了一塊,而那一塊正是最多人栽進去的地方。在去中心化的世界裡,你不用交出鑰匙,只要在一個惡意網站設計好的視窗按一下「確認」,對方就可能合法地把你的幣搬走。這不是駭客技術多高,而是你「親手授權」了它。幣安官方學院的 代幣授權與撤銷說明 也把這列為錢包安全的重點之一。

領空投、玩 DeFi、跟任何智能合約互動,幾乎都繞不開簽署和授權這兩個動作。看懂它們、知道哪一種要特別小心,你才有辦法在按下確認之前喊停。這篇就把這件事從頭講清楚。

沒給私鑰,怎麼還是被搬光

先建立一個關鍵觀念:在區塊鏈上,「動用你的資產」有兩條路。一條是你自己發起轉帳;另一條是你授權某個智能合約,讓它「之後可以代替你動用某種代幣」。後面這條路,正是 DeFi 能運作的基礎——你授權交易所合約動用你的 USDT,它才能幫你換幣;但壞人也用同一條路,只要騙到你的一次授權,就能在你不知情的情況下把幣轉走。

所以重點來了:被盜不一定是因為你洩漏了鑰匙,很多是因為你「簽錯了東西」。鑰匙還在你手上,但你發出去的那張授權許可,讓對方有了動你資產的權限。

打個比方會好懂一點。私鑰像是你家的鑰匙,給出去等於房子整間沒了;而授權比較像是你簽了一張委託書,允許某個人「之後可以進你某個房間搬東西」。你以為簽的是「讓系統幫我領空投」,實際簽的卻是「准許這個陌生人隨時來搬我這種幣」。鑰匙你一直握著,但委託書一旦給錯人,結果一樣慘。這也是為什麼很多受害者事後一頭霧水:「我明明沒把密碼告訴任何人啊?」——問題不在密碼,在那張你親手簽下去的委託書。

簽署和授權,到底差在哪

錢包跳出來的視窗,粗分成兩大類,危險程度差很多:

類型	它在做什麼	風險
簽署訊息 (signature / sign message)	多半是登入、驗證你是這個地址的主人,不直接動鏈上資產,通常也不花 gas	大致較低,但有一種「離線授權簽名」例外,見下方提醒
授權交易 (approve / transaction)	批准某個合約「可以動用你某種代幣」,或直接送出一筆交易,會花 gas	高。惡意的 approve 是最常見的搬幣手法

一般人最該警覺的,是approve(授權)。當視窗顯示「允許某某合約使用你的 USDT / USDC / 某代幣」,而且額度是「無上限(unlimited)」時,你等於開了一張空白支票。對方拿到這張授權,日後隨時能把你那種幣全部轉走。想多了解代幣授權(token approval)的機制與風險,以太坊官方的 安全頁面 有淺白的整理。

惡意 approve 怎麼把你的幣搬走

把完整的劇本拆給你看,你就懂為什麼要這麼小心:

1. 你被一個假空投或假網站吸引,連上錢包(這步還沒事)。
2. 網站跳出一個視窗,介面寫得像「領取空投」或「驗證資格」,但實際內容是 approve 一個它控制的合約,動用你某種代幣,額度無上限。
3. 你沒細看就按確認、付了 gas。表面上「什麼也沒發生」,你可能還以為空投沒領到。
4. 但對方現在握有授權。它可能立刻、也可能過幾天趁你忘了這回事,呼叫那個合約把你的幣一次搬走。

陰險的地方就在第三步:當下你的餘額沒少,沒有任何被盜的感覺,幾乎不會有人發現,等到幣真的不見往往已是事後。這也是為什麼「定期檢查並收回授權」這麼重要,後面會講。

還有更陰的玩法:有些攻擊不當下動手,而是先「養」著你的授權,等你的錢包累積到一定金額、或你早就忘了這回事,才一次清空。你授權的那一刻,就像在身上裝了一個它隨時能拉的開關。這正是為什麼「沒事別亂授權、有授權要定期清」是錢包安全的基本功。

兩個最常見的詐騙情境拆解

原理講完,把實務上最常見的兩種拆給你看,之後遇到就認得出來。

情境一:假空投領取頁的「無上限 approve」。你在社群看到某項目要空投,點進一個看起來很官方的網站,連上錢包,按下「Claim(領取)」。錢包跳出視窗——你以為是在領幣,實際內容卻是 approve,授權網站背後的合約「可以動用你某種代幣,額度無上限」。你沒細看就確認、付了一點 gas,畫面顯示成功,但你「沒收到任何空投」,還以為是項目方還沒發。其實你剛把那種幣的提領權交了出去,過幾天你早忘了,對方一個指令就把幣搬光。識破的關鍵:領空投正常只需要簽一則訊息驗證地址,不該要你 approve 動用代幣;一看到 approve、看到動用你的 USDT/USDC,立刻停手。

情境二:Permit / Permit2 的「離線簽名」陷阱。這個更陰險,連 gas 都不用付。釣魚站請你「簽個名驗證一下」,視窗顯示的是簽署(signature)而不是交易,你心想「簽名又不花錢」就簽了。但有一種叫 Permit、Permit2 的標準,讓你能用離線簽名授權對方動用你的代幣——那張看似無害的字條,本質上是授權書。它不上鏈、不花 gas,連區塊瀏覽器當下都查不到痕跡,等對方拿你的簽名去鏈上執行,幣才不見。識破的關鍵:不管視窗叫「簽署」還是「授權」,只要提到允許某地址動用你某種代幣、或出現 Permit、額度這類字眼,就要當成高風險;看不懂又被催著快簽,本身就是訊號。

兩個情境的共通點都是:你「以為」在做無害的事,實際卻把資產提領權交了出去。判斷的依據永遠是視窗的實際內容。

看懂錢包彈出的那個視窗

不要再反射性按確認了。視窗跳出來,花十秒做這幾個檢查:

• 這是簽署訊息,還是授權交易?領空投通常只需要簽一則訊息;一旦看到 approve、看到要授權動用你的某種代幣,先停。
• 授權的額度是多少?無上限(unlimited / 一長串很大的數字)最危險。就算真的要授權,也優先選「只授權這次需要的額度」。
• 對方是哪個合約地址?把那串地址貼到 Etherscan 或 BscScan 查一下,看看是不是已驗證的、有沒有一堆可疑紀錄。
• 網址對不對?很多惡意授權的源頭是釣魚站。進站前先核對網域,可以照 錢包地址檢查 的習慣做。
• 看不懂就取消。這是最有用的一條。看不懂但被催著按,本身就是危險訊號。MetaMask 官方也有一份 安全使用說明 值得讀。

新版的錢包通常會幫你標示「這是一筆授權交易」或對可疑網站給警告,但工具只是輔助,最後按下確認的是你。把判斷權留在自己手上。

定期 revoke,把舊授權收回來

就算你很小心,只要玩過 DeFi、領過空投,錢包多半累積了一堆你早就忘記的舊授權。其中任何一個,只要當初授權的對象有問題,都是潛在的破口。好消息是:授權可以收回(revoke)。

常見做法是用授權管理工具,把你某個地址目前「授權了哪些合約、動用哪些幣、額度多少」全部列出來,然後把你不再需要、或來路不明的授權一個個收回。收回本身要付一點 gas,但比起哪天被搬空,這點成本很值得。

實務上你可以用像 Revoke.cash 這類工具檢視與撤銷授權,連上你的錢包(記得先核對網址)就能看到清單。建議養成習慣:每隔一段時間、或每次玩完一個新項目後,回頭檢查一次,把用不到的授權清掉。

怎麼自查?有兩條路。一是用授權管理工具,把你的地址貼進去查看(只看清單不必連錢包,要撤銷時才連),它會列出你這地址授權了哪些合約、動用哪種代幣、額度多少;重點看有沒有「無上限(unlimited)」的、有沒有你根本不記得或來路不明的合約。二是用區塊瀏覽器,把地址貼到 Etherscan(以太坊)或 BscScan(BSC),它們多半有「Token Approvals」頁面,能查到同樣的清單,還能順著看那合約是不是已驗證。查到不對勁的,回管理工具 revoke 掉。

萬一被盜了,第一時間做什麼

先說一句殘酷但要知道的事實:區塊鏈交易不可逆,已經被轉走的幣,基本上拿不回來。所以這一段的重點是「止血」,把還沒被搬走的東西保住。

1. 馬上把錢包裡還在的資產轉到另一個全新、安全的錢包。動作要快,跟對方搶時間。
2. 去撤銷可疑授權。用授權管理工具,把你能找到的、來路不明的 approve 全部 revoke,堵住它繼續搬的路。
3. 這個被盜的錢包以後就別再用了。它的私鑰或授權可能已經暴露,別再往裡面放任何東西。
4. 保留紀錄,需要時報案。把交易雜湊、對方地址、時間都記下來。雖然追回機會不高,但留證據總是對的。
5. 檢查其他錢包。如果你用同一組助記詞衍生過多個地址,確認一下其他地址安不安全。

被盜當下最忌諱的是慌到不動或亂簽。記住順序:先搬走還在的、再撤授權、棄用舊錢包。事後再來檢討哪一步出了問題。

編輯實測:走一遍授權與收回

真正要你帶走的其實只有三件事:看不懂的就別簽,授權只給最低額度,玩完記得收回。這三件事做到,你在鏈上就避開了最常見、損失也最重的那一類災難。它不需要你懂程式、不需要你多聰明,只需要你願意在按確認前慢個幾秒。

授權詐騙是領空投時最容易翻車、損失也最重的一關,值得你花時間弄懂。想看假空投長什麼樣、怎麼一眼識破,接著看 真假空投 5 個訊號;想系統認識錢包會遇到的各種騙法,看 錢包詐騙最常見的 5 種;而保管好助記詞是這一切的地基,別跳過 助記詞保管教學。把安全流程整套走完,再回頭看 加密貨幣空投完整指南 動手領,會穩很多。

如果你還在準備階段、想要一個有客服、出事有人問的環境慢慢練手,可以先從交易所開始上手。用邀請碼 BNB3311 註冊幣安 順便把手續費減免帶上(實際比例以幣安頁面顯示為準,可能隨政策調整),熟了之後再帶著這份對授權的警覺去碰鏈上的世界。