签名钓鱼是什么?钱包怎么防
签名钓鱼是什么?钱包怎么防

结论

签名钓鱼,是攻击者诱导用户在钱包里签署看似无害、实则可能改变资产权限或证明账户控制权的消息。它危险的地方在于:用户未必看到“转账”两个字,也可能没有立刻支付链上 Gas,但一次签名或一次授权仍可能让后续资产被转走、NFT 被挂单、登录态被接管,或者让攻击者取得对某个合约操作的许可。MetaMask 官方帮助把 signature phishing 单独列为需要警惕的骗局类型,原因正是钱包弹窗里的文字、域名和权限范围经常被用户忽略。

防御签名钓鱼,不需要学习攻击细节,而要建立固定核查流程:只从可信入口进入网站,先看域名,再看钱包请求类型,再看权限范围和资产对象,不懂就拒绝。本文只讲识别与防范,不提供任何作恶方法,也不构成投资建议。

为什么“签一下”也可能有风险

钱包签名可以分成多种场景。普通登录签名通常用于证明“这个地址由我控制”,例如登录某个 DApp;交易签名会把一笔链上交易发送到网络;代币授权则允许合约在限定条件下操作你的 ERC-20、NFT 或其他资产。用户看到的钱包弹窗不一定总是用直白中文解释所有后果,尤其在盲签、复杂合约调用或第三方前端包装后,更容易误判。签名钓鱼常利用紧迫感、相似域名、仿冒社媒和空投叙事,把高风险授权包装成登录、领取或验证。如何识别加密货币钓鱼网站?常见骗局和防范 已经讲过仿冒域名和假客服,签名钓鱼是这些套路在钱包交互环节的延伸。

钱包弹窗应该看哪些信息

第一看请求来源。弹窗里展示的网站域名必须和你准备访问的官网一致,最好从书签、项目官方社媒或可信搜索结果进入,而不是从私信、群聊短链和广告链接进入。第二看请求类型。登录签名、交易签名、授权批准、NFT 授权、批量操作的风险不同,不要把所有弹窗都当成“确认登录”。第三看权限范围。Revoke.cash 对 token approvals 的说明强调,授权本质上是允许智能合约代表用户花费或操作一定数量的代币。若页面要求无限授权、全系列 NFT 授权或与当前操作无关的资产权限,应先拒绝并查明原因。第四看消息内容。若钱包展示的是长串不可读数据、无法解释的合约地址或你不理解的英文消息,不要因为页面催促就确认。Token授权怎么查?撤销前看什么 可作为授权检查的后续步骤。

连接网站前的防御清单

连接钱包前先做四件事。第一,核查域名拼写、证书和跳转地址,避免把官方网站和高仿域名混淆。第二,确认入口是否来自项目官网、官方文档或经过长期验证的书签。第三,用单独的小额钱包参与新项目,把长期持仓、冷钱包和日常交互地址分开。第四,关闭自动连接,定期清理浏览器里不再使用的网站连接。对于空投、白名单、Mint 和任务平台,更要先查项目是否真实存在,社媒历史是否连贯,合约是否经过公开披露,社区是否出现大量异常投诉。任何要求输入助记词、私钥、云盘备份、短信验证码或远程控制电脑的页面,都不是正常 Web3 交互。Passkey钱包安全吗?和助记词区别 提醒过,助记词和私钥一旦泄露,通常无法通过客服找回。

已经签了可疑请求怎么办

第一步是断开连接并保留证据。截图保存域名、钱包弹窗、交易哈希、社群消息和时间线,方便后续排查。第二步是尽快检查授权。使用可信的授权检查工具或钱包内置功能,查看是否存在未知合约、无限额度、NFT 全局授权或异常权限。第三步是撤销不需要的授权,但要确认撤销交易发往正确合约,避免在二次钓鱼页面上继续签名。第四步是转移高风险资产。若怀疑助记词或私钥已经泄露,单纯撤销授权不够,应在安全设备上创建新钱包,把仍可控制的资产转移到新地址。第五步是检查浏览器扩展、下载文件和系统安全,防止恶意扩展、剪贴板篡改或假钱包插件继续制造风险。

风险提示

本文仅为信息与教育内容,不构成投资建议、交易建议、项目背书或安全结果保证。签名钓鱼、恶意授权、假网站、假客服、恶意插件、助记词泄露和用户误操作都可能造成资产不可逆损失;加密资产价格波动剧烈,也可能因处置延迟产生额外亏损。请独立核实网站来源、钱包弹窗和授权范围,不理解的签名请求应直接拒绝。