你以为只是点了个链接,钱包就空了
很多人第一次接触 NFT,都是冲着"限时 Free Mint""中奖了点击领取"这类消息去的——点进去连上钱包,签了一笔自己都没看懂的交易,回头发现整个钱包被搬空。NFT 世界没有客服、没有撤销按钮,一旦签错几乎不可能追回。据公开的链上分析报告,每年因 NFT 相关欺诈和盗窃造成的损失数额巨大,而且大多数受害者选择沉默、从不上报。了解这些骗术长什么样,是保护自己的第一步。
本文目录
1. Rug Pull(项目方跑路)
Rug Pull 直译是"抽地毯"——你站在地毯上,突然有人把地毯一抽,你就摔了。在 NFT 世界里,项目方先造势、画饼、卖出大量 NFT,等资金池满了直接跑路,社交媒体账号全部注销,网站关闭,Discord 服务器解散。
真实案例
2022 年的 Frosties NFT 项目:团队承诺元宇宙游戏、奖品抽奖等一系列福利,卖出 8,888 个 NFT 后卷走约 130 万美元。FBI 最终逮捕了两名创始人,但大多数 Rug Pull 骗子从未被抓获。
如何识别
- 团队匿名:没有任何成员公开真实身份(doxxed),LinkedIn 查不到人
- 路线图过于宏大:又做游戏、又发币、又搞元宇宙,但团队只有 3 个人
- 合约代码不开源:无法验证合约是否有后门
- 急于催促铸造:不断制造 FOMO,"最后 2 小时!""只剩 100 个!"
- 社区讨论被管控:任何质疑都被秒删或禁言
2. 假冒 NFT(山寨系列)
在 OpenSea 等交易市场上搜索 Bored Ape,你可能会发现十几个长得差不多的系列。骗子会复制知名项目的图片和名称,创建山寨合约,低价出售让你以为自己捡到了便宜。
真正的 BAYC 地板价在巅峰时超过 100 ETH,如果有人告诉你 0.05 ETH 就能买到——那一定是假的。
如何识别
- 检查验证标记:OpenSea 等平台会给官方系列一个蓝色对勾
- 核对合约地址:去项目官方网站或 Twitter 确认合约地址,逐字符比对
- 查看创建时间和交易量:山寨系列通常创建时间晚、交易量低
- 价格异常低:如果远低于地板价,大概率是假的
3. 钓鱼链接(假网站 / 假 Discord)
这是 NFT 领域最高频的骗术。骗子制作一个和正版几乎一模一样的网站,域名只差一个字符(比如把 opensea.io 改成 0pensea.io),然后通过 Discord 私信、Twitter 评论、钓鱼邮件等渠道传播。
你点进去连接钱包,以为自己在铸造 NFT,实际上签署了一个把钱包里所有 NFT 转给骗子的交易。
URL 检查方法
- 手动输入:不要点击别人发的链接,自己在浏览器地址栏输入官网地址
- 检查域名:注意
l和1、o和0、rn和m的区别 - 检查协议:必须是
https://,但 https 并不代表安全——骗子也能申请 SSL 证书 - 使用书签:把常用 NFT 网站加入浏览器书签,以后直接从书签访问
4. 恶意合约授权(setApprovalForAll)
这是技术含量最高也最隐蔽的骗术。当你与某个智能合约交互时,MetaMask 会弹出一个授权请求。大多数人不看内容直接点"确认"——但如果你授权的是 setApprovalForAll,你就把整个系列的所有 NFT 的转移权限交给了对方。
骗子拿到授权后,可以随时把你钱包里的 NFT 全部转走,不需要你再次确认。
防范方法
- 仔细阅读 MetaMask 弹窗:看到
setApprovalForAll一定要警惕 - 使用 Revoke.cash:定期检查并撤销不必要的合约授权。访问 revoke.cash,连接钱包即可查看所有授权
- 使用热钱包和冷钱包分离:高价值 NFT 存在冷钱包,日常交互用热钱包,即使热钱包被盗损失也有限
- 使用 Pocket Universe 等浏览器插件:交易前模拟执行,提前发现风险
setApprovalForAll 就像你把家门钥匙给了一个陌生人,告诉他"你随时可以来搬我家的东西"。即使你当时不觉得有问题,但他随时可能来搬空你的家。
在区块浏览器里看哪些字段
真要确认一个授权或一笔交易有没有问题,与其听对方解释,不如自己去 Etherscan 上对一对:
- 看交易的 Method(方法名):如果显示的是
setApprovalForAll,且参数approved为true,就是在把整个系列的转移权交出去——除非你确实在和官方市场交互,否则要停下来 - 看授权对象地址:弹窗里要求授权的合约地址,是否就是项目官网/官方推特公布的那个,逐字符比对,别只看开头结尾几位
- 在合约页看 "Contract" 标签是否 Verified:未开源(未验证)的合约你无法核对里面写了什么,风险更高
- 用 Revoke.cash 反查:连接钱包后它会列出你当前所有的
setApprovalForAll授权,把不认识或不再用的逐个撤销
5. 虚假空投(钱包里突然多出的 NFT)
有一天你打开钱包,发现多了几个从未买过的 NFT,名字可能是 "Claim 10 ETH at xxx.com" 或者某个看起来很值钱的系列。千万不要点击。
这些 NFT 的智能合约里可能嵌入了恶意代码。一旦你尝试出售、转移、甚至只是查看详情(如果触发了合约交互),就可能被触发 setApprovalForAll 或直接盗取你的资产。
正确做法
- 完全忽略:不要点击、不要转移、不要尝试出售
- 在 OpenSea 中隐藏:如果看着碍眼,可以在 OpenSea 里隐藏该 NFT,但不要与合约交互
- 不要访问 NFT 名称中的 URL:那些 URL 100% 是钓鱼网站
6. 名人代言骗局(冒充名人推广)
骗子创建与名人极为相似的社交媒体账号,或在评论区冒充名人推广 NFT 项目。更高级的做法是用 Deepfake 视频,让"名人"亲口说出"我投资了这个项目"。
2022 年就有不少名人因为推广 NFT 项目被告上法庭——包括一些真的收了钱推广了垃圾项目的名人。
验证方法
- 检查账号验证标记:Twitter/X 蓝标现在不太可靠了(可以花钱买),看粉丝数和历史推文
- 去名人官方渠道确认:如果某名人真的在推广一个 NFT 项目,他的官网或经纪公司一定会有相关信息
- 警惕 Deepfake:视频里人物表情僵硬、嘴唇不同步、背景模糊——可能是伪造的
- 名人代言 ≠ 项目靠谱:即使是真的名人推广,也不代表项目值得投资。很多名人收了钱就推,根本不了解项目
7. Wash Trading(刷交易量)
项目方或大户创建多个钱包,自己跟自己交易,人为制造"这个系列很火爆"的假象。你看到某个 NFT 在 24 小时内交易了 500 ETH,以为是真实需求,冲进去就成了接盘侠。
如何识别
- 查看链上数据:用 Etherscan 追踪交易历史。如果反复在同几个钱包之间来回转
- 使用分析工具:NFTGo 和 Dune Analytics 都有 wash trading 检测功能
- 关注唯一买家数:交易量高但唯一买家数极少 = wash trading 嫌疑
- 检查买卖价差:wash trading 通常以接近相同的价格来回倒,真实市场会有价格波动
8. 社群骗局(Discord / Telegram 假客服)
你在 Discord 里提了一个问题,几分钟后收到私信:"我是官方客服,我来帮你解决问题。请把你的 seed phrase 发给我 / 请点击这个链接验证你的钱包。"
恭喜你遇到了骗子。
关键规则
不管是 Discord、Telegram 还是 Twitter,任何主动私聊你的"客服""管理员""官方人员"都是骗子。官方公告只会在官方频道发布。
- 关闭 Discord 私信:在服务器设置中关闭"允许来自服务器成员的私信"
- 不要在任何地方输入 seed phrase:没有任何正当理由需要你在线输入 12/24 个助记词
- 警惕"验证"机器人:真正的 Discord 验证用的是 Captcha,不会让你连接钱包
- 检查管理员名称:骗子会模仿管理员名称,但 ID 不同。不确定的时候在公开频道 @ 确认
安全行为清单
把以下习惯刻进 DNA,能避开 99% 的骗局:
☐ 永远不分享 seed phrase / 私钥——任何人、任何情况都不行
☐ 不点击私信中的链接——不管对方说自己是谁
☐ 手动输入网址或用书签——不要从搜索引擎或社交媒体点链接
☐ 交易前仔细阅读 MetaMask 弹窗——看清楚你在签署什么
☐ 使用 Revoke.cash 定期检查授权——每月至少一次
☐ 热钱包和冷钱包分离——高价值资产存冷钱包
☐ 忽略钱包中不明来源的 NFT——不点击、不交互
☐ 验证项目方身份——团队匿名 = 红旗
☐ 不因 FOMO 冲动行动——骗子最爱制造紧迫感
☐ 关闭 Discord 陌生人私信——在服务器隐私设置中操作
常见问题
被骗了能追回损失吗?
绝大多数情况下无法追回。区块链交易不可逆,且骗子通常使用匿名钱包,即使报警也很难追踪。少数大案(涉及数百万美元)中执法部门介入后有追回的案例,比如 Frosties NFT 创始人被 FBI 逮捕,但普通用户基本无望。
有些公司(如 Chainalysis)提供链上追踪服务,但费用高昂,通常只有机构客户才用得起。预防永远比补救重要。
怎么检查一个 NFT 项目是不是骗局?
没有百分百的方法,但可以检查以下几点:
- 团队是否公开身份(doxxed)——能在 LinkedIn 找到真实的人
- 合约代码是否开源并经过第三方审计(如 CertiK、SlowMist)
- 社区互动是否真实——Discord 里是在讨论项目还是只有"GM""LFG"
- 路线图是否合理——一个 5 人团队承诺做 3A 游戏?别信
- 有无知名投资人或合作方背书——但也要验证真实性
如果以上信息都不透明,这个项目的风险极高。参考我们的 项目评估指南 了解更多。
硬件钱包能防止被骗吗?
硬件钱包(如 Ledger、Trezor)能防止私钥被盗——即使你的电脑被木马入侵,黑客也无法提取硬件钱包中的私钥。
但硬件钱包无法防止你主动签署恶意交易。如果你在钓鱼网站上用硬件钱包确认了 setApprovalForAll,NFT 照样会被转走。硬件钱包保护的是"技术层面的安全",而不是"判断层面的安全"。
所以最佳实践是:硬件钱包 + 安全意识,两者缺一不可。
资料来源
本文涉及的核对动作和工具,都可以在下面这些官方/权威站点上自己动手验证,不必只听别人转述:
- Etherscan —— 以太坊区块浏览器,用来核对合约地址、查看交易方法名(如 setApprovalForAll)和合约是否已验证
- Revoke.cash —— 查看并撤销钱包里的合约授权,定期清理不再使用的 setApprovalForAll
- MetaMask 官网 —— 钱包的唯一官方下载源,避免从搜索结果或私信链接安装假钱包
- OpenSea —— 核对系列的官方验证标记、合约地址与创建时间,识别山寨系列