你某天打开钱包,发现资产被转得干干净净,可你从没把私钥、助记词告诉过任何人,也没在哪里"确认转账"。怎么会这样?最常见的答案只有一个:你在某个时刻签过一笔"授权(Approval)",把动用你代币的权限交给了一个恶意合约。它不需要你的私钥,也不需要你再点一次转账,时机一到,盗刷器一键就把你的币搬空。这篇用大白话讲清:授权到底是什么、骗子怎么骗你签、怎么防、以及万一签过了还能怎么补救。
- 被转空不一定是私钥泄露——你亲手签的一笔"授权"就足以让对方合法地搬走你的币。
- 最毒的是"无限额度"授权:签一次,对方就能在你不知情时,把你那种代币一次性全部转走。
- 防它的核心:签名前看清你在授权什么,并用 Revoke 这类工具定期清掉用不到的授权。
先说清:"授权(Approve)"到底是什么
在以太坊、BSC、Solana 这些链上玩 DeFi、换币、买 NFT,你几乎绕不开一个动作:授权(Approve)。它的意思是——你允许某个智能合约,在将来动用你钱包里某种代币,而不用每次都再问你一次。这本身是正常设计:比如你在去中心化交易所用 USDT 换币,你得先授权它能动你的 USDT,交易才跑得起来。
问题在于,授权这把钥匙本身不区分好人坏人。你授权给正经的合约,它帮你完成交易;你要是被骗着授权给了一个恶意合约,它就能光明正大地把你那种代币转走——因为从链上规则看,这是"你自己批准的",没有任何异常。它不需要你的私钥,也不需要你再确认第二次。这就是授权盗刷最阴的地方:整个过程你"合法"地参与了,却浑然不觉。
骗子怎么骗你签下那一笔授权
没人会平白无故去授权一个陌生合约,所以骗子要做的,是造一个让你"必须签一下"的场景。常见的有这么几类:
假空投 / 假领币
"你有一笔空投待领取",点进去要你"连接钱包并确认"。那个确认,往往就是一笔恶意授权。天上掉的币,常常是来钓你授权的。
高仿 DApp / 钓鱼站
把知名交易所、跨链桥、NFT 平台仿得一模一样,靠广告或社群推给你。你在假站上"正常操作",签下的却是掏空自己的授权。
假客服 / 假"解卡解冻"
假装官方客服,说你账户异常、需要"验证钱包",一步步引导你签授权。真客服永远不会要你签这种东西。
高收益诱饵 / 假质押
用"稳赚高息""质押挖矿"当鱼饵,让你把授权当成"开始赚钱的第一步"签下去。
看出共性了吗:它们都在制造一个"你需要签一下才能继续"的理由。只要你把"签名/授权"当成和转账一样严肃的事,这些套路就少了大半威力。假空投这一路尤其常见,单独看这篇假空投与钱包授权盗币。
两个最深的坑:无限额度与 Permit 签名
同样是授权,危险程度差别很大。有两种情况最该警惕:
- 无限额度(Unlimited)授权。很多钱包弹窗默认把授权额度设成"无限",图的是你以后不用反复授权。可一旦这个合约是恶意的,"无限"意味着它能把你那种代币连本带利、有多少搬多少。能填具体额度时,就只授权你这次要用的量。
- Permit / 离线签名。有些钓鱼站不让你发一笔"看得见的授权交易",而是让你签一条看起来人畜无害的"消息"(Permit、Permit2 这类)。它不花你 gas、钱包也可能不弹明显警告,但效果等同于一次授权。看不懂的签名,别签。
一个判断口诀
签任何东西前先问自己三句:这是哪个合约?我在授权哪种代币?额度是不是"无限"?三个里有一个答不上来,就停手别签。
盗刷器怎么秒空你的钱包
你签下授权之后,骗子那边接手的往往不是人,而是一套自动化的盗刷器(drainer)脚本。它会盯着你这个地址,一旦发现授权到手,就在几秒内把你被授权的那种代币批量转走;有的还会扫描你钱包里所有值钱的资产,挑贵的先搬。
这也是为什么"我签完好像没事啊"是种错觉——盗刷可能不在当下,而在你钱包里那种代币多起来、或价格涨上去、更值得下手的时候。授权只要还挂在那儿,风险就一直在。据安全机构 CertiK 的 2026 年上半年报告,钓鱼类攻击是当期损失最惨重的类别之一,金额以亿美元计,授权钓鱼正是其中的主力打法之一(数据来自公开安全报告)。
怎么防:签名前几步 + 定期撤销
授权盗刷听着高级,但它同样依赖"你亲手签下去"。把下面几条做到,它就很难得手:
- 签名前,逐项看清弹窗。别机械点"确认"。看清是哪个合约、授权哪种代币、额度是不是无限。看不懂、对不上,直接拒绝。
- 定期用 Revoke 清授权。用
revoke.cash这类工具连上钱包,把你给各合约的授权列出来,按风险从高到低撤销掉用不到的。参加过空投、连过陌生 DApp 之后,尤其要清一遍。 - 冷热分离,大额上硬件钱包。日常交互用一个只放小额的"热钱包",大额资产放另一个几乎不连 DApp 的地址或硬件钱包。就算热钱包中招,损失也有上限。
- 别在陌生链接里连钱包。DApp 从官方入口进,别点空投私信、群里的"领取链接"。假站的第一步,就是骗你连钱包。相关的高仿钓鱼网站套路可以对照看。
- 拿不准就用工具自查。不确定某个平台或合约靠不靠谱,先过一遍诈骗自查工具再动手。
已经签了、被盗了,怎么办
如果你怀疑自己签过恶意授权,或者已经被转走了一部分,别慌,按顺序做这几步:
1 · 立刻撤销授权
用 Revoke 找到那个可疑合约,撤销它的授权,断掉它继续搬币的权限。这是止血第一步,越快越好。
2 · 转移剩余资产
有条件的话,尽快把钱包里还没被搬走的资产,转到一个全新的、干净的钱包地址。别再往这个可能已被盯上的地址里放钱。
3 · 保全证据、必要时报案
截图交易记录、记下恶意合约地址和被转金额。链上转账不可逆,被搬走的基本追不回——任何主动联系你"包追回"的,几乎都是二次诈骗,别再上一次当。
关于被骗之后完整的取证、止损和报案流程,单独写在这篇已经被骗了怎么办里。
常见疑问
我只是点了个授权、签了个名,又没转账,币怎么就没了?
关键就在这里:在链上,授权(Approve)本身就是一笔有效操作,它等于你亲手给某个合约开了一张可以动用你某种代币的许可证。骗子要的从来不是你转账,而是你这一下授权。一旦你签了,尤其签成无限额度,对方就能在你毫不知情的情况下,把你钱包里那种代币一次性全部转走。所以没丢私钥、没主动转账,钱照样能没——因为你亲手把门钥匙递了出去。
我怎么知道自己给哪些合约授过权,又怎么取消?
可以用 Revoke.cash 这类授权管理工具:连上钱包,它会列出你在各条链上给哪些合约授过权、额度多大,你按风险从高到低把可疑或用不到的授权逐个撤销即可。撤销本身是一笔链上交易,需要花一点 gas。养成习惯:每隔一段时间清一次授权,尤其是参加过空投、连过陌生 DApp 之后。
我用的是硬件钱包(冷钱包),是不是就不会被授权盗刷?
不能完全免疫。硬件钱包保护的是你的私钥不外泄,但如果你用它连了恶意 DApp、并亲手在设备上确认了那笔授权,资产照样会被转走——因为这是你合法授权的,私钥全程没离开设备也拦不住。硬件钱包能挡私钥被盗,挡不住你自己签的恶意授权。所以关键还是签名前看清你在授权什么。
已经被授权盗刷了,币还能追回吗?
链上转账不可逆,被转走的部分基本追不回,任何主动联系你包追回的几乎都是二次诈骗。但你要立刻做一件事:用 Revoke 撤销掉那个恶意合约的剩余授权,防止它把你后续转进来的、或还没搬走的同种代币继续搬空;有条件的话尽快把剩余资产转到一个全新的、干净的钱包地址。然后保全证据、必要时报案。
授权盗刷盯的是链上乱连乱签,在正规大所走官方渠道能少踩一截坑
很多人中招,是在陌生 App、来路不明的链接里乱连钱包、乱签授权。如果你打算交易,建议用正规大所、走官方渠道注册,把大额资产和日常链上交互分开管理。OKX 是其中一家主流交易所,可通过下面的官方入口进入,官方域名是 okx.com。
相关阅读
- 假空投与钱包授权盗币——那个凭空出现的"代币"想骗你点链接、签授权时,看这篇。
- 高仿钓鱼网站与假交易所——授权盗刷常和钓鱼站配合,引你去假页面签名。
- 已经被骗了怎么办——签错授权、被转币之后的止损、取证与报案,这篇讲全了。