錢包突然多了陌生幣?三種空投詐騙拆解(連冷錢包都會中招)
錢包裡突然出現你沒買過的幣?這不是有人送你錢,是有人精心設計好的陷阱。這篇拆三種最常見的空投詐騙、為什麼連冷錢包都中招、還有 3 個習慣讓你保住資產。
你有沒有突然發現,錢包裡多了一些你從來沒買過的幣?
第一反應可能是:哇,有人送我幣?哪個項目空投了?先別急著去換成錢——這很可能是有人精心設計好的陷阱。而且不管你用熱錢包還是冷錢包,這個詐騙手法通通有效。
這篇講三種幣圈最常見的空投詐騙:怎麼運作、為什麼能把幣送進你錢包、還有你該怎麼保護自己。
免費幣怎麼跑進你錢包的?
先破解一個很多人有的誤解:收到陌生幣,不代表你的錢包被入侵了。
你可以把錢包地址想像成你家的信箱。任何人只要知道你家門牌號碼,就可以塞東西進去——不需要你家的鑰匙,也不需要進你家。寄幣這件事也一樣,對方只需要你的錢包地址,就能把幣送過來。不需要你的私鑰、不需要你的助記詞,什麼都不需要。
那詐騙集團怎麼拿到你的錢包地址?
最主要的方式是掃區塊鏈。你每一筆鏈上交易都是公開的,任何人都可以查,詐騙集團當然也不例外。他們不是自己坐在那邊一個一個找,而是用機器人程式自動掃,專門抓那些正在活躍交易的錢包——因為活躍代表你最近在用,最容易犯錯。
另外一個方式更簡單:如果你曾經在推特或任何社群平台貼過你的錢包地址,詐騙集團的爬蟲程式很快就能抓到。
拿到你的地址之後,他們就開始行動了。接下來這三種手法,危險程度不一樣,但每一種都有人真的被坑過。
一、蜜罐詐騙 — 你以為撿到錢
第一種叫蜜罐詐騙,英文叫 Honeypot,字面意思就是蜂蜜罐,甜到讓你忍不住想去舔。
手法是這樣的:
你錢包裡突然出現一顆幣,而且這顆幣看起來有一定價值,不是什麼廢幣,帳面上可能顯示幾十塊甚至幾百塊美金。你第一個念頭一定是:這怎麼換成錢?
然後你去看幣的詳細資訊,或者幣的名稱裡直接就寫了一個網站,說你要去那裡才能解鎖這顆幣、才能出售。
你進去那個網站,它叫你連接錢包、簽署一筆小額手續費的交易。
你以為你只是在付幾塊錢的手續費,但實際上你簽的是一份授權書——讓詐騙集團可以動用你錢包裡所有的資產。簽完之後,你的幣可能在幾秒內就被清空。
怎麼避免?很簡單:不要去動那些你沒買過、莫名出現的幣。不管它看起來多值錢,十次有十次不是詐騙就是垃圾,沒有例外。
但如果你覺得蜜罐詐騙還算容易識破,接下來這個就厲害多了,因為它靠的不是貪心,靠的是你的習慣。
二、地址污染 — 68 億台幣就這樣沒了
第二種叫地址污染,英文叫 Address Poisoning。
在講手法之前,我先跟你說一個真實故事。
2024 年 5 月,有一個幣圈巨鯨,帳戶裡放著價值 6800 萬美元的 Wrapped Bitcoin,折合台幣超過 20 億。他要做一筆轉帳,跟平常一樣,習慣性地去交易紀錄找之前用過的地址,複製貼上,確認送出。
幣就這樣不見了。
更誇張的是後續——這個巨鯨在鏈上直接發訊息給詐騙集團,用區塊鏈交易的備註欄求對方退錢。沒想到詐騙集團居然真的把錢退回來了,但因為這段時間幣價有波動,他們還是淨賺了將近 300 萬美元走人。整個幣圈當時都傻眼。
那這個人到底做錯了什麼?他做的事情看起來完全正常——只是複製貼上一個地址而已。
問題就在這裡。
手法怎麼運作
詐騙集團會先觀察你的錢包,看你最常跟哪些地址互動,然後刻意製作一個「高仿地址」——開頭和結尾幾個字母跟你常用的地址一模一樣,中間才不同。
接著從這個假地址轉一點點幣給你,讓這筆交易出現在你的交易紀錄最上面。
然後他們等。
等到你下次要轉幣,你習慣性地從交易紀錄複製地址,只看開頭結尾幾個字對了就送出。但那個地址是假的,幣直接進了詐騙集團的錢包。
怎麼避免
只有一個原則:
永遠不要從交易紀錄複製地址。
要轉幣去哪裡,就直接去那個地方按「接收」,從源頭複製,不要走捷徑。
那個多花的 5 秒鐘,可能替你省下幾千萬。
這兩種詐騙都是要立刻偷你的幣,但第三種更陰——它不急著偷幣,它先偷的是你這個人。
三、粉塵攻擊 — 先查清楚你是誰,再下手
第三種叫粉塵攻擊,英文叫 Dusting Attack。
粉塵的意思就是極少量的幣,少到你可能完全沒注意到,帳面上可能只有幾分錢台幣。但這幾分錢的目的不是讓你去賣,而是要追蹤你。
原理
詐騙集團把這一點點幣送進你的錢包,如果之後你做了任何一筆交易,把這點粉塵幣也帶進去了,他們就可以從區塊鏈上追蹤這筆交易,開始拼湊出你的幣去了哪裡、你跟哪些地址有往來、你在用哪個交易所。
目標是去匿名化——把你的錢包地址跟你這個真實的人連結起來。
- 01
送粉塵
極小金額送進你的錢包,等你拿去合併交易
- 02
追蹤鏈上活動
從粉塵流向反推你用的交易所、其他錢包
- 03
比對社群
配對推特、IG 上你曾經貼過的地址,連到真人
- 04
釣魚 / 實體威脅
寄精準釣魚信,或最壞情況「五美元扳手攻擊」
一旦他們知道你用的是哪個交易所,可能就能找到你的名字。再搭配社群媒體搜尋,你的電子郵件、真實姓名,慢慢都可能被拼出來。
然後詐騙集團就可以發送一封超級精準的釣魚信給你——不是那種一眼看出是垃圾信的,而是用你的名字稱呼你、提到你最近轉了多少幣、假裝是你用的交易所的官方信件。
這種信你點開的機率高很多。點開之後可能就是釣魚連結、要你輸入個資,甚至要你下載惡意程式。
最極端的狀況
如果他們真的查到你的家庭住址,而且知道你持有大量加密貨幣,就有可能出現所謂的「五美元扳手攻擊」——直接實體上門逼你轉幣。
這種事雖然不常見,但真實案例是存在的。
怎麼避免
最根本的方式是不要把你的錢包地址公開貼在任何社群平台上。
另外很多錢包現在已經會自動把這些可疑的幣隱藏起來,你根本看不到,這樣就更安全了。
那你現在該怎麼做?
講了三種手法,我知道你可能現在有點擔心,但其實只要記住三件事,風險就能大幅降低。
最重要的一點是——收到陌生幣本身不代表你被駭了,你的錢包沒有問題。真正的風險只有在你主動去互動的那一刻才會發生。只要你不動,它傷不了你。
三種詐騙背後的共同邏輯
| 詐騙手法 | 攻擊的是 | 你需要做的 |
|---|---|---|
| 蜜罐詐騙 | 你的貪心 | 看到免費幣,就當沒看到 |
| 地址污染 | 你的習慣 | 複製地址只從源頭,永遠不從交易紀錄 |
| 粉塵攻擊 | 你的耐心(他們的) | 錢包地址不公開、開錢包的自動過濾 |
幣圈裡有很多詐騙是靠技術漏洞,但這三種不是。它們靠的是你的習慣和你的心理。
詐騙集團永遠不會強行闖入,他們只是把門開著等你自己走進去。而你要做的事情很簡單——就是不要走進那扇門。
所以說,幣圈真正的安全感不是來自你用了多貴的冷錢包,而是你有沒有養成正確的習慣。硬體可以保護你的私鑰,但保護不了你的決策。
接下來看什麼
同主題:詐騙 / 安全
錢包工具