加密被骗 8 种姿势

假冒交易所客服 · 远程接管你账户

典型剧本

你账户出了点小问题——比如收到一条"提币失败"短信,或者邮箱里"账户被异常登录"邮件。 2024 假客服骗局产业化,Telegram 一周能撞见 5-8 个"币安客服"私聊,1 个都不是真的。 过几分钟,一个"客服"加你 telegram 或者打电话。 声音温和,用你真实姓名招呼, 让你下载一个"远程协助工具"(TeamViewer 或 AnyDesk)"帮你查一下"。 你装了。

他坐在你电脑前帮你"修复", 你眼睁睁看着鼠标动—— 登录你交易所、改 API 权限、把币转出去。 你不敢动,因为"客服"在跟你解释每一步。 等你反应过来,资产已经清空。

技术上怎么动手脚

• 骗子从交易所数据泄露(2022 Binance KYC 泄露、2023 OKX 用户邮箱泄露事件等)拿到你的真实信息。
• 伪造短信和邮件(SMS spoofing / phishing email),让你以为真的出事。
• 真正的攻击在"远程协助"那一步——你给了他屏幕控制权,2FA / 谷歌验证器 都被绕过(因为是你本人在操作)。

防御要点

• 任何客服都不会主动加你 TG/微信/电话。任何"主动联系"的客服 100% 是骗子。需要客服时,你主动从交易所 APP 内置 chat找。
• 绝不安装 TeamViewer / AnyDesk / 向日葵给陌生人。哪怕"客服"说是"官方协助工具"。
• 账户出问题先自己登录交易所 APP 内看公告 / 工单,不要相信短信和邮件链接。
• 下载工具有疑虑,先到交易所官方推特核实,任何官方人员不会要远程权限。

真实事件回顾

2023 年某位国内用户在小红书发帖:晚上 10 点接到自称"Binance 风控部"的电话, 对方报上用户的姓名、手机后 4 位、最近一笔交易金额—— 然后说"账户已被乌克兰 IP 异地登录,请协助验证身份"。 用户跟着对方装了 AnyDesk, 所谓"验证"实际是开启 API 写入权限 + 关闭提币短信验证, 18 分钟后账户里 30 万 USDT 被分批提走到 6 个不同地址, 链上追踪发现最终汇集到混币器 Tornado Cash, 到现在没追回。 警方立案需要 6 个月以上, 涉外案件追回率长期低于 5%。

「老师带单」合约群 · 用你做韭菜燃料

典型剧本

X 或者抖音上的"百万操盘手",晒交易截图、晒法拉利、晒粉丝感谢转账。 让你加 telegram 群, 免费带几单—— 巧的是,前 3 单都对了, 你赚了点小钱,觉得这老师真神。 然后"老师"说"机会来了,跟这一单 10× 杠杆"—— 你重仓上,被爆。 回去看群,被踢出。

这套话术的精髓是「先甜后辣」—— 前面对的几单是真的, 老师有 1000 个新人, 给一半喊买、一半喊卖, 赢的一半留下, 输的一半淘汰。 下一轮再把赢的一半再分两份。 几轮之后留下来的"幸运儿" 会觉得这老师是神。 然后割他们最后一刀。

技术上怎么动手脚

• 群里的"晒单赚钱"截图 95% 是 PS / 演示账户截图。链上可验证的真实账户极少。
• 群里发言的"群友"很多是机器人,会按剧本互动:"老师又对了!""老师我赚了 50 万!"
• 更狠的做法叫"对赌庄":老师就是平台庄家,你下 10× 杠杆,平台从你爆仓中赚钱。这种平台多数是骗局,不是真交易所,提不出钱。

防御要点

• 真正的高手不会公开喊单——他们靠交易赚的远比"带单收会员费"多得多。
• 任何收会员费 + 推荐你去某个不知名平台开户的"老师",100% 是骗子。
• 看到"老师"晒收益截图,要求他用链上钱包地址证明,而不是交易所截图。
• 群里"恭喜赚钱"的留言,统计一下时间分布——多数集中在某老师喊单后 5 分钟内大量出现,这是机器人特征。

变种 · "跟单平台"陷阱

这两年又冒出新变种:正规跟单平台(比如 Bitget Copy Trading)上有些"高 ROI 交易员" 故意拉爆某个高杠杆账号秀业绩, 引导散户跟单后切到自己的另一个对手账号反向操作—— 跟单的人爆仓,他自己的对手账号赚走对应仓位。 这种操作在正规平台上也防不住, 因为平台本身没办法判断交易员是"真实操盘"还是"故意做局"。 跟单永远只跟历史 1 年以上、最大回撤 < 30%、收益曲线平滑的交易员, 不要看月度 ROI 那种短期爆款。

Approve 钓鱼 · 一签授权清空整个钱包

典型剧本

你看到一个 NFT 项目空投,或者一个 DeFi 收益高得离谱的产品, 点链接进网站(URL 看起来跟官方差一个字母), 连接你的 MetaMask 钱包, 点 "Claim Airdrop" 或 "Stake Now", MetaMask 弹窗签名,你以为是常规授权,点确认。 下一秒,你钱包里的 USDT、ETH、WBTC 全部被转走。

技术上怎么动手脚

• 你以为签的是"领空投",实际签的是 approve(攻击者地址, MAX_UINT256)—— 把无限额度的代币花费权批给了攻击者。
• 更恶的是 setApprovalForAll(攻击者, true)——把你整个钱包里所有 NFT 的转移权全给了对方。
• 最新的"Permit2 钓鱼"利用一种新的 EIP-2612 签名机制,签名后能直接转走 USDC,且不留链上交互痕迹,更难察觉。

防御要点

• 任何 wallet 弹窗,先看"Function"是什么:Transfer = 转账(数额可见);Approve = 授权(危险);Sign Message = 普通签名(通常无害但要警惕 Permit2)。
• 领空投 / 用 DeFi 前,URL 字符级别核对,推特/Discord 官方账号 confirm 一次再点。
• 用 独立钱包做高风险操作——比如专门一个"空投钱包"只放少量 ETH,主仓钱包不碰这些。
• 定期到 revoke.cash 检查你的钱包当前授权了哪些合约,把不用的全部撤销(每次 revoke 要付一点 gas)。
• 用硬件钱包 + 安全模式,Approve 类签名会显示完整数据。

真实事件 · Ledger Connect Kit 投毒(2023.12)

Ledger 官方推出的 Connect Kit JS 库被前员工恶意篡改, 所有用它接入钱包的 DeFi 网站(包括 SushiSwap、Zapper、Revoke.cash 自己等知名应用) 在 5 小时内全部成了潜在钓鱼站, 用户连接钱包并签名会触发授权转出。 累计损失约 60 万美元, 最讽刺的是连 revoke.cash 本身都中招—— 这告诉我们:即使是"看起来可信的工具"也可能瞬间变成攻击向量。 日常 DeFi 操作的钱包必须独立于主仓钱包, 这是没有第二选项的设置。

假空投 · 钱包里突然多出来一些"代币"

典型剧本

某天你打开 MetaMask,发现钱包里多了一种代币, 叫"Visit Site Claim Reward",或者"$25000_USDT_Reward"。 数量很大,看起来值不少钱。 你点进去想交易,提示"前往官网领取", 跳到一个看起来很专业的网站,要你连接钱包 + 签名。 签完,你的 USDT/ETH 没了。

技术上怎么动手脚

• 骗子用 airdrop 函数批量给几十万地址发"代币"——发币几乎免费(只花点 gas)。
• 这些代币是蜜罐:你能看到不能卖,合约里写死了"只有特定地址才能 transfer"。
• 代币名字里嵌入了网站 URL,引诱你去那个 phishing 网站。
• 到了网站,套路跟 CASE 03 一样——签 approve,被清空。

防御要点

• 钱包里突然多的代币,99% 是骗局——直接 hide,不要点不要交互。
• 区块浏览器(Etherscan / OKLink)上,这种代币显示为"Spam"或"Phishing",可以直接屏蔽。
• 真正的官方空投会通过项目 Twitter / Discord 提前公布,且通常需要你主动 claim,不会"突然到账"。
• 遇到诱人的"领空投",冷静 24 小时再决定——真空投不会 24 小时就过期。

识别真假空投的几个信号

• 真空投:项目方官方账号(Twitter blue verified + 历史粉丝量级合理) 提前几周公告 → snapshot 快照 → claim 网站官方域名 → 通常需要你主动签名领取(签名内容是普通 message,不是 approve)。
• 假空投:钱包里"突然到账" → 代币名嵌入网址 → 所谓"领取"网站域名怪异(.xyz / .top / .live 居多) → 链接 wallet 后立即要求 approve 一个大额代币。

Uniswap、Arbitrum、Optimism、ENS 等历史上真实大空投都符合"真"的特征。 如果你怀疑某个空投真假, 最简单方法是去项目官方 Discord 公告频道搜一下, 官方会明确说"已结束"或者"未发生"。

假交易所 · 高仿域名 + 山寨 APP

典型剧本

你 Google 搜"币安下载",点了第一条广告, 下载安装一个 APP, 界面跟币安一模一样。 你照常 KYC、充值、交易——一切正常。 几个月后,你想提币, APP 提示"需要先做税务清缴,转 1000 USDT 到指定地址"。 你转了,APP 还说不够。 你再转,直到怀疑—— 但这时账户余额已经查不到了。

技术上怎么动手脚

• 骗子注册类似域名(binance-cn.app 这种)在搜索引擎投广告。
• APP 是高仿的,前端跟官方一模一样,但后端是骗子自己的数据库——你的"充值"实际上是直接转到骗子地址,APP 假装记账给你显示余额。
• 这种 APP 在 iOS 上常通过"企业证书"分发(因为上不了 App Store),Android 上是 APK 直接安装。

防御要点

• 永远不要点搜索引擎广告下载交易所 APP——直接去 App Store / Google Play / 交易所官网 (用书签)下载。
• iOS 用户:如果一个 APP 要装"企业证书",99% 是假的。正规交易所 APP 全部在 App Store。
• 第一次充值前,先小额试一笔提币——能正常出币的才是真平台。
• "任何理由的提币保证金"100% 是骗局,正规交易所不会要你为了提币再转一笔钱过去。

高仿域名常见伎俩

骗子注册的高仿域名通常通过以下几种方式让人误识:

• 字母替换:binance 用 binance(用小写 L 替换 i)或者 blnance,字体里几乎一样。
• 顶级域名替换:binance.com 换成 binance.app、binance.live、binance.io——后缀不同但前缀完全一致。
• 子域名包装:binance-cn.com、binance-official.com,加了一段看起来正规的后缀。
• punycode 同形异字:用看起来一样的西里尔字母或者其他 Unicode 字符替换 a/e/o 等。

永远把官方域名加入浏览器书签, 之后所有访问从书签点而不是从搜索/链接, 这是最朴素也最有效的防御。

"假交易所"的资金归途

你"充值"到假交易所的 USDT 通常在 10-30 分钟内被转出, 转向是3 步洗白:先到一个收单热钱包, 再分散到几十个中转地址, 最后汇集到混币器(Tornado Cash)或者跨链桥(到 Tron / Solana 后再换币)。 整套流程在工业化的诈骗团伙手里能压缩到 2 小时内完成, 留给受害者反应的时间极短。 这也是为什么"提币测试"必须在充值前做—— 充值后再测试,即使发现是假平台, 钱已经在洗白链路上,基本不可能追回。

杀猪盘 · 跨境恋爱 + "稳赚合约平台"

典型剧本

Tinder / Bumble / 微信摇一摇加到一个"投行女精英", 在新加坡 / 香港 / 旧金山工作, 照片真人真好看。 她跟你聊几周生活、工作、家庭, 慢慢提到她叔叔有个"内幕系统"能稳赚加密合约, 她自己每周赚 5-10%, 你要不要试试小额的。

你拿 1000 美元试,真赚了 200 美元出金。 她说"看吧", 让你再上 1 万、5 万、10 万。 到最后想全提的时候, 平台要你"补保证金"。 你不补,资产冻结。 你补了,要求更多。 你打过去的电话再也没人接。 她从微信 / Tinder 消失, 整套人设是 zero。

技术上怎么动手脚

• "投行精英"是话术包装出来的虚拟身份,微信 / Tinder 头像照片很可能是从 Instagram 网红那盗的。
• "稳赚平台"是骗子自己搭的,前端伪装得很专业,后端就是个虚拟数字游戏,你充进去的钱直接进骗子口袋。
• 小额提现是"投资让你信任"的成本,后期大额提现一定不会让你出金。

防御要点

• 任何"通过陌生人聊天介绍"的加密投资 = 杀猪盘。这是过去 5 年最暴力的骗局,FBI 单 2023 一年记录了 35 亿美元的相关损失。
• 陌生人聊天对象主动引导你下载 APP / 注册某平台,99% 是杀猪盘的初始动作。
• 视频通话时观察对方面部表情是否真实——很多骗子用 AI 视频换脸,有口型对不上、眨眼频率异常等破绽。
• 真投资 + 真感情,不会有人在认识你 3 周后就教你"内幕系统"。

杀猪盘产业链拆解

"杀猪盘"这个词本身就是行业黑话—— 把受害者养肥(培养信任 + 让其投入更多)再宰杀(套现 + 消失)的全流程。 这是过去 5 年加密领域最完整、最工业化的诈骗模式, 已经形成产业链:

• 引流组:在 Tinder / Bumble / 微信摇一摇 / 小红书 / 抖音群, 用美女/帅哥头像批量加粉。一个引流员一天能加 200+ 目标。
• 话术组:维护"暧昧 + 工作精英"人设, 按剧本剧情培养感情(早安晚安、生活分享、慢慢渗透投资话题)。一个话术员同时维护几十个目标。
• 技术组:搭建假平台 + 维护数据看板, 模拟"账户余额逐月增长"的假象。
• 洗钱组:把骗到的 USDT 通过混币器、跨链桥、链上 P2P 等多重洗白。

这种产业链多数总部在缅北、柬埔寨等执法弱区, 被骗的钱通常 90%+ 追不回。 FBI 2023 年专项打击下追回率提高到 ~12%, 仍属于"基本拿不回"的范畴。 最有效的方法是不上钩—— 任何陌生人主动教你"赚钱内幕"全部默认是骗子, 不需要二次判断。

钱包地址投毒 · 你以为复制了自己的地址

典型剧本

你有个常用收款地址 0xabc123...def456。 某天你想转账,从 Etherscan 的最近交易记录复制目标地址 (习惯只看前 4 后 4 位)。 你粘贴,看一眼,前后都对,确认,签名,发送。 钱到了一个跟你目标地址前后 4 位一模一样的"投毒地址"—— 钱不见了。

技术上怎么动手脚

• 骗子通过链上爬虫盯着大额钱包的转账记录。
• 找到你最近的转账地址 0xabc123...def456 之后, 骗子用「vanity address generator」生成一个前缀和后缀都跟你目标地址一致的钓鱼地址(暴力算力穷举,几小时就能算出)。
• 骗子从这个钓鱼地址往你钱包发一笔0 价值的 transfer(0.000001 ETH 或者一个虚假代币)—— 这样下次你打开 Etherscan 看交易记录, 会发现一个"很像你目标地址"的最近交互对手方。
• 你一不小心从交易历史复制了错的地址, 中招。

防御要点

• 转账地址永远复制完整地址,不要只看前后 4 位——任何时候。
• 从可信源(自己的钱包通讯录 / 自己保存的 txt)复制地址,不要从交易历史复制。
• 大额转账先发小额(1 USDT)测试,确认到达正确目标后再发主额。
• 钱包用 白名单地址功能(MetaMask / Coinbase Wallet 等支持),只允许向预先添加的地址转账。

真实事件 · 大鲸投毒 6800 万美元损失(2023.05)

2023 年 5 月一个匿名大鲸钱包想给自己 cold wallet 转 6800 万 USDT, 不慎从交易历史复制了一个投毒地址(前后 4 位完全一致), 钱直接发到攻击者地址。 链上几小时后被多方关注, 攻击者最终(可能因为压力)把钱归还了—— 这是地址投毒史上最戏剧的一次, 但 99% 的中招者拿不回。 硬件钱包社区从那次之后开始把"转账显示完整地址"作为强制功能, 现在 Ledger / Trezor 等主流硬件都默认显示完整 40 位地址, 用户必须翻页确认才能签名。

合约后门 / Rug Pull · 项目方一夜跑路

典型剧本

一个新的 DeFi 农场,APY 显示 5000%。 你看到 KOL 转推、TG 群很活跃、项目方"已审计", 你 stake 几千 USDT 进去, 24 小时后回来看, 流动性池 0, 代币归零, 项目方推特账号删除, 所有联系方式消失。

技术上怎么动手脚

Rug pull 的合约后门花样很多,常见的:

• Mint 函数无上限:项目方随时可以无限增发代币,然后砸盘抛售。
• Owner 可移除流动性:LP 被项目方持有,他一键移除几乎全部 USDT/ETH,跑路。
• Blacklist 函数:可以禁止特定地址卖出代币(让散户买进卖不出去)。
• 「假审计」:声称"已经被 CertiK / PeckShield 审计",但截图是 PS 的或者审计的是另一个合约。

防御要点

• APY 超过 100% 的项目,98% 是 ponzi 或者 rug pull。可持续的链上收益通常在 5-30% APY 区间。
• 看合约 owner 权限——能 mint 无上限、能 pause 合约、能 blacklist 用户的合约,等于把控制权交给项目方。
• 看流动性是否锁仓。Unicrypt / Team Finance 锁定 1 年以上的项目相对安全,no lock 的随时跑。
• 看审计——CertiK、Trail of Bits、OpenZeppelin、Halborn 是头部审计机构。审计报告必须是官方发布渠道的(certik.com 上能搜到),不是项目方 PDF 截图。
• 小额参与,即使损失也只是学费。新项目第一周不进,第一个月不重仓。

近几年标志性 rug pull 案例

• Squid Game Token (2021.11):借鱿鱼游戏热度,5 天涨 1 万倍,然后项目方 cash out,代币归零。损失 ~330 万美元。
• AnubisDAO (2021.10):仿 OlympusDAO 概念,几小时筹集 6000 万美元 ETH,项目方一键全部转走。
• Snowdog (2021.11):仿 Wonderland,代币上线 24 小时内 owner 通过预埋后门套现 1000 万美元。
• Mantra (2025.04):已被审计、上 CEX 多家、市值数十亿的"主流"项目,某日突然 90% 暴跌,被怀疑团队精心策划的内部减持。

规律是:市值越大、上线时间越久、不等于不会 rug。 Mantra 之前所有人都认为它是"合规化主流项目"。 永远把 rug pull 风险放在心上,不要因为某些项目大就放下警惕。