危險指數 5 / 5 · 錢包授權

假空投與錢包授權盜幣:為什麼「領個免費幣」能讓錢包一夜清空

ScamLens 編輯部 ✓ 最後核對 2026 年 5 月約 10 分鐘讀完

一隻手伸向飄下來的免費代幣禮物,禮物下面連著一根抽走錢包的隱形絲線,象徵假空投授權盜幣 — 假空投不搶你的幣,它騙你「親手」把動用錢包的權限交出去——你點的那個確認,才是真正的開關。

「免費領空投」這四個字,大概是鏈上最貴的免費。假空投騙的不是你的貪心那麼簡單——它利用的是大多數人根本看不懂錢包跳出來的那一串確認到底在確認什麼。你以為在領幣,其實是在給一個陌生合約簽下「今後隨便動我的 USDT」的同意書。這篇不講錢包底層技術,只講清楚一件事:那個「授權(approve)」按鈕為什麼這麼危險,以及怎麼不被它坑。

先記這幾條:

假空投盜幣的核心不是「騙你轉帳」,而是騙你簽一筆授權(approve),授權一旦給出去,對方可以在之後任意時間把對應代幣轉走。
大多數授權預設是無上限額度、長期有效的,所以一次簽署就足以讓錢包裡的某種代幣被慢慢、甚至一次性搬空。
錢包裡憑空多出來的代幣九成是誘餌,別去「領取」「兌換」它;參與空投用獨立小錢包,大額資產放冷錢包。

假空投騙局到底是什麼

空投本身是真實存在的:一些專案會把代幣免費發給早期用戶或符合條件的錢包,用來做推廣和分發。問題是,這件好事被詐騙集團整套照搬,做成了誘餌。

假空投的劇本通常是:你在某個群、某條推文、某個私訊裡看到「XX 專案空投開放領取,先搶先贏」,或者你打開錢包發現裡面莫名其妙多了一筆代幣,名字看著挺正經。你順著提示進到一個領取頁面,頁面讓你「連接錢包」——到這裡都還沒出事。真正的陷阱在下一步:它跳出一個讓你確認的視窗,文案寫著「領取」「啟用」「驗證資格」,而你點下去的那一下,實際簽的是一筆授權交易。

從這一刻起,對方不需要你的私鑰、不需要你的助記詞,也能把你錢包裡對應的代幣轉走。整個過程你甚至感覺「我什麼都沒轉出去啊」——沒錯,你沒轉,你只是給了別人轉的權限。

先把「授權(approve)」講成白話

錢包裡的代幣(比如 USDT、各種 ERC-20 代幣)有個機制:當你想在某個去中心化應用(DApp)裡用某種代幣——比如去交易、去質押——你得先「授權」這個應用的合約可以動用你的這種代幣,之後它才能在你發起操作時幫你劃轉。這是 DeFi 正常運作需要的一步,本身不是壞事。

打個不太精確但好懂的比方:授權就像你把一張銀行卡的代扣權限開給某個商家。開了之後,這個商家在約定範圍內可以從你卡裡扣錢,不用你每次再輸密碼。問題來了——

真正要命的是「額度」和「期限」這兩件事

很多授權請求預設申請的是無上限額度(你能看到一長串大得離譜的數字,或者直接寫「unlimited」),而且沒有到期時間。翻譯成白話:你不是開了「最多扣 100 元」的代扣,而是開了「這張卡裡這種錢,你想扣多少扣多少,永久有效」。如果開權限的對象是詐騙合約,它什麼時候來把你這種代幣全劃走,完全由它決定。

這就是為什麼很多人「明明很久沒操作,錢包卻突然被掏空」——授權是幾個月前簽的,對方只是挑了個時候來收割而已。授權不會因為時間過去就自動失效,你不主動撤銷,它就一直掛在那裡。

簽署和授權,到底差在哪

很多人把錢包跳出來的所有確認都籠統叫「簽署」,其實它們不是一回事,危險等級也不同。

	普通鏈下簽署(signature)	授權 / 交易(approve)
常見用途	證明「這錢包是我的」,比如登入 DApp、加入白名單	授予合約動用你某種代幣的權限
是否上鏈	多數不上鏈、不花網路費	會上鏈,需要支付網路費(gas)
直接動資產嗎	正常情況下不直接動	授權後,對方可在權限內劃走對應代幣
釣魚時的風險	對方會構造「看起來無害」的簽署,實則等同授權或轉移資產	額度無上限 + 長期有效時,一次就夠把某種代幣搬空

說明:不同錢包、不同鏈對簽署與授權的呈現方式略有差異。共同的安全原則只有一條——看不懂的確認一律不點,先搞清楚它到底在請求什麼。

這裡要補一句別掉以輕心的話:「鏈下簽署不上鏈、不花錢」不等於一定安全。對方可以把一個等同於「允許轉移你資產」的請求,包裝成一個看上去人畜無害的簽署視窗(沒有 gas、沒有「approve」字樣),讓你放鬆警惕點下去。所以判斷標準不是「它要不要花錢」,而是你是否看懂了它在請求什麼、對方是不是你信任的地址。

三種盜法,長什麼樣

同樣是假空投,引你上鉤的入口不太一樣,認出它們的形態能幫你提前剎車。

① 假領取頁誘你簽授權

最常見。一個做得很像專案官網的「空投領取頁」,連上錢包後立刻跳出確認。看似在「領幣」,實際請求的是對你錢包裡 USDT 或主流代幣的授權。頁面往往用倒數計時、「僅剩 N 個名額」催你別細看直接點。

② 假代幣 / 假 NFT 空投進你錢包,誘你去互動

你沒做任何事,錢包裡卻憑空多了一個代幣或一張 NFT。它的名字或圖片裡常嵌著一個網址,像是在喊「快來這個站領取/兌換我」。你一旦照做去那個站互動,真正的授權陷阱就在那等著。資產本身躺在錢包裡不會害你,去那個站互動才會。

③ 假「解除風險 / 檢測授權」頁面

這一種專坑已經警覺的人。它偽裝成「授權安全檢測」「一鍵解除風險授權」的工具,聲稱幫你掃描並撤銷危險授權。結果你點的「解除」,本身又是一筆新的惡意授權。打著安全的旗號,做的是反向的事。

看到這些訊號,就該停手

越是符合下面幾條,越要警惕

錢包裡憑空出現你沒買過、沒參與過的代幣或 NFT,名字裡還帶著網址。
「領空投」必須先連接錢包並簽一個你看不懂的確認,尤其確認內容涉及 approve、unlimited、或一長串大額數字。
頁面用倒數計時、限量名額、「立即啟用否則作廢」催你別細看。
連結來自陌生私訊、群裡「管理員」、被縮短的短網址,而不是你主動找到的官方管道。
聲稱能幫你「檢測/解除危險授權」,卻要你再簽一次。

有一條經驗值得單獨記:真正的專案方不會催。正經空投就算有領取窗口,也不會用「再不點就沒了」這種話術逼你在三秒內連錢包簽東西。催得越急,越大機率是局。

參與空投的安全姿勢

不是讓你徹底遠離空投——而是把「如果中招,損失也有限」這件事提前安排好。

準備一個獨立的小錢包專門用來打空投、試新專案,裡面只放你輸得起的小額資金,不放大頭資產。
每次簽東西前讀一眼視窗:它是簽署還是授權?對方是哪個合約地址?額度是不是無上限?看不懂就直接取消。
能設額度的時候,給授權設一個夠用就好的額度,不要預設放行無上限。
定期用授權管理工具複查並撤銷舊授權:把那些早就不用的 DApp、來路不明的合約權限清理掉,別讓它們一直掛著。
真正值錢的資產放冷錢包(硬體錢包),日常互動的熱錢包和它實體隔離,熱錢包就算出事也燒不到冷錢包。
錢包裡憑空多出來的東西,當它不存在,不點、不領、不兌換。

一句話原則

錢包安全的真正分界線,不在「我會不會被騙」,而在「我簽每一筆確認前,有沒有看懂它在請求什麼」。把「看不懂就取消」變成肌肉記憶,絕大多數授權盜幣都進不來。

已經簽了授權,馬上做這幾件事

如果你剛反應過來自己可能在某個可疑頁面簽了授權,別糾結「會不會真出事」,直接按下面的順序處理,越快越好。

先搶救大額資產

如果錢包裡有較大金額,第一動作不是研究怎麼撤銷,而是立刻把值錢的資產轉到一個全新的、從沒在可疑站互動過的錢包。撤銷授權要時間,轉移資產更直接。

撤銷(revoke)那筆可疑授權

用授權管理工具找到給可疑地址的授權,執行撤銷。注意:撤銷本身是一筆鏈上交易,需要支付網路費;網路壅塞時給足手續費,別讓撤銷卡在路上。

順手清理所有可疑授權

既然在查了,把所有來路不明、早不用的授權一併撤掉,免得漏掉別的隱患。

這個錢包以後降級使用

已經在可疑站簽過東西的錢包,信任度就打了折。重要資產換新錢包管理,這個舊的留著跑跑小額、當試驗田就好。

保留證據、必要時報案

截圖保存可疑站網域、交易雜湊(hash)、聊天紀錄。在台灣可撥 165 反詐騙諮詢專線並向警方報案,在香港可報警並用反詐騙協調中心(ADCC)的防騙視伏器(Scameter)查可疑網址。被騙後的取證、止損和報案怎麼做,看我們的已經被騙了怎麼辦。

別再上「幫你追回」的二次詐騙

錢包被盜的消息一傳出去,很快會有人私訊你「我能幫你追回被盜資產」「先付點手續費就行」。這幾乎全是盯著受害者的二次詐騙,詳見我們對 USDT 回收 / 解凍騙局的拆解。

常見問題

錢包裡憑空多出來一個代幣,能賣嗎?

先別動它,更不要去任何頁面「領取」「兌換」它。這種憑空出現的代幣常被用作誘餌,代幣名字裡往往帶一個網址,引導你去一個釣魚站連接錢包、簽授權。你不去互動,它就只是錢包裡一個躺著的數字,本身不會讓你掉幣;一旦你被誘導去那個站簽了授權,真正的資產才有危險。

簽署(signature)和授權(approve)有什麼差別?

普通的鏈下簽署通常用來證明「這個錢包是我的」,比如登入某個 DApp,本身不直接動你的資產;而授權(approve)是一筆會上鏈的交易,等於你授予某個合約地址「今後可以動用你錢包裡某種代幣」的權限。危險在於授權可以設成無上限額度且長期有效,對方拿到授權後,可以在你毫無察覺時把對應代幣轉走。不過釣魚站也會構造看起來無害、實則等同於授權或轉移資產的特殊簽署,所以看不懂的簽署一律不要點確認。

我已經在可疑頁面簽了授權,錢還沒被轉走,來得及嗎?

有可能,關鍵是快。立刻用授權管理工具撤銷(revoke)給那個可疑地址的授權,並盡快把錢包裡有價值的資產轉到一個全新的、從沒在可疑站點互動過的錢包。撤銷本身也是一筆需要支付網路費的鏈上交易。如果你的資產較大,最穩妥的做法是先轉移資產,再處理撤銷。

用硬體(冷)錢包是不是就不怕授權盜幣了?

硬體錢包能保護你的私鑰不被偷,但它擋不住你親手簽下的惡意授權——如果你用硬體錢包連上釣魚站,確認了一筆無上限授權,對方照樣能劃走對應代幣。冷錢包的正確用法是只放資產、盡量少做日常互動;真要在鏈上到處試,用一個隔離的小熱錢包。

從源頭減少風險敞口

與其在鏈上到處簽看不懂的授權,不如把大頭資產放在正規管道

授權盜幣之所以高發,是因為很多人把全部身家都放在一個天天到處互動的熱錢包裡。一個更穩的做法是:日常小額折騰用獨立小錢包,真正想長期持有的資產,透過正規大所的官方管道管理。OKX 是主流交易所之一,可以從下面的官方註冊入口進入,官方網域是 okx.com。

透過官方管道註冊 OKX 怎麼判斷交易所正不正規

透過本站邀請碼 OK1717 註冊 OKX,可享 20% 交易手續費減免(手續費打折,非投資收益;由 OKX 提供,比例可能隨官方政策調整,以官方為準)。ScamLens 是 OKX 推介夥伴,不向你收取任何費用,也不提供投資建議。請認準官方網域 okx.com。

接著讀這些

高仿釣魚網站與假交易所——假空投的領取頁,本質上也是一種高仿釣魚站。
地址投毒(轉帳地址被掉包)——同樣發生在鏈上,盯的也是你錢包裡的資產。
假預售與貔貅盤(rug pull)——同樣發生在鏈上,只是騙的是你的本金而不是授權。
已經被騙了怎麼辦——授權被盜後的止損、取證與報案完整流程。