加密被騙 8 種姿勢 · 含 JPEX 與 165 在地視角

假冒交易所客服 · 遠端接管你帳戶

典型劇本

你帳戶出了點小問題——比如收到一則「提幣失敗」簡訊,或者郵箱裡冒出「帳戶被異常登入」郵件。 2024 年假客服騙局已經完全產業化,Telegram 上一週能撞見 5-8 個自稱「幣安客服」的私聊,一個都不是真的。 過幾分鐘,一個「客服」加你 Telegram 或者直接打電話過來。 聲音溫和,用你的真實姓名打招呼, 讓你下載一個「遠端協助工具」(TeamViewer 或 AnyDesk)「幫你查一下」。 你裝了。

他坐在你電腦前幫你「修復」, 你眼睜睜看著鼠標自己動—— 登入你的交易所、改 API 權限、把幣轉出去。 你不敢動,因為「客服」一邊操作一邊跟你解釋每一步。 等你反應過來,資產已經清空。

技術上怎麼動手腳

• 騙子從交易所數據洩漏事件(2022 Binance KYC 洩漏、2023 OKX 用戶郵箱洩漏等)拿到你的真實資訊。
• 偽造簡訊跟郵件(SMS spoofing / phishing email),讓你以為真的出事。
• 真正的攻擊在「遠端協助」那一步——你給了他螢幕控制權,2FA / Google Authenticator 都被繞過(因為是你本人在操作)。

防禦要點

• 任何客服都不會主動加你 TG / LINE / 電話。任何「主動聯繫」的客服 100% 是騙子。需要客服的時候,你主動從交易所 APP 內建 chat 找。
• 絕不安裝 TeamViewer / AnyDesk / 向日葵給陌生人。哪怕「客服」說是「官方協助工具」也一樣。
• 帳戶出問題先自己登入交易所 APP 內 看公告 / 工單,不要相信簡訊跟郵件裡的連結。
• 下載工具有疑慮,先到交易所官方 Twitter 核實,任何官方人員都不會要求遠端權限。

真實事件回顧

2023 年某位台北用戶在 Dcard 發過一篇長文:晚上 10 點接到自稱「Binance 風控部」的電話, 對方報出用戶的姓名、手機後 4 位、最近一筆交易金額—— 然後說「帳戶已被烏克蘭 IP 異地登入,請協助驗證身份」。 用戶跟著對方裝了 AnyDesk, 所謂「驗證」實際上是開啟 API 寫入權限 + 關閉提幣簡訊驗證, 18 分鐘後帳戶裡 30 萬 USDT 被分批提走到 6 個不同地址, 鏈上追蹤發現最終匯集到混幣器 Tornado Cash, 到現在還沒追回。 警方立案需要 6 個月以上, 涉外案件追回率長期低於 5%——這個比例在台灣 165 警政署 2024 統計裡也大致一致。

「老師帶單」合約群 · 拿你當韭菜燃料

典型劇本

X 或者抖音 / IG 上的「百萬操盤手」,曬交易截圖、曬法拉利、曬粉絲感謝轉帳。 讓你加 Telegram 群, 免費帶幾單—— 巧的是,前 3 單都對了, 你賺了點小錢,覺得這老師真神。 然後「老師」說「機會來了,跟這一單 10× 槓桿」—— 你重倉上,被爆。 回去看群,被踢出。

這套話術的精髓是「先甜後辣」—— 前面對的幾單是真的。 老師手上有 1000 個新人, 給一半喊買、一半喊賣, 贏的一半留下, 輸的一半淘汰。 下一輪再把贏的一半再分兩份。 幾輪之後留下來的「幸運兒」 會覺得這老師是神。 然後割他們最後一刀。

技術上怎麼動手腳

• 群裡的「曬單賺錢」截圖 95% 是 PS / 模擬交易帳戶截圖。鏈上可驗證的真實帳戶極少。
• 群裡發言的「群友」很多是機器人,會按劇本互動:「老師又對了!」「老師我賺了 50 萬!」
• 更狠的做法叫「對賭莊」:老師就是平台莊家,你下 10× 槓桿,平台從你爆倉中賺錢。這種平台多數是騙局,不是真交易所,提不出錢來。

防禦要點

• 真正的高手不會公開喊單——他們靠交易賺的錢遠比「帶單收會員費」多得多。
• 任何收會員費 + 推薦你去某個不知名平台開戶的「老師」,100% 是騙子。
• 看到「老師」曬收益截圖,要求他用鏈上錢包地址證明,而不是交易所截圖。
• 群裡「恭喜賺錢」的留言,統計一下時間分布——多數集中在某老師喊單後 5 分鐘內大量出現,這是機器人特徵。

變種 · 「跟單平台」陷阱

這兩年又冒出一種新變種:正規跟單平台(比如 Bitget Copy Trading)上面有些「高 ROI 交易員」 故意拉爆某個高槓桿帳號秀業績, 引導散戶跟單之後,自己切到另一個對手帳號做反向操作—— 跟單的人爆倉,他自己的對手帳號賺走對應倉位。 這種操作在正規平台上也防不住, 因為平台本身沒辦法判斷交易員是「真實操盤」還是「故意做局」。 跟單永遠只跟歷史 1 年以上、最大回撤 < 30%、收益曲線平滑的交易員, 不要看月度 ROI 那種短期爆款。

Approve 釣魚 · 一簽授權清空整個錢包

典型劇本

你看到一個 NFT 項目空投,或者一個 DeFi 收益高得離譜的產品, 點連結進網站(URL 看起來跟官方差一個字母), 連接你的 MetaMask 錢包, 點 “Claim Airdrop” 或 “Stake Now”, MetaMask 彈窗簽名,你以為是常規授權,點確認。 下一秒,你錢包裡的 USDT、ETH、WBTC 全部被轉走。

技術上怎麼動手腳

• 你以為簽的是「領空投」,實際上簽的是 approve(攻擊者地址, MAX_UINT256)—— 把無限額度的代幣花費權批給了攻擊者。
• 更惡的是 setApprovalForAll(攻擊者, true)——把你整個錢包裡所有 NFT 的轉移權都給了對方。
• 最新的「Permit2 釣魚」利用一種新的 EIP-2612 簽名機制,簽名後就能直接轉走 USDC,而且不留鏈上交互痕跡,更難察覺。

防禦要點

• 任何 wallet 彈窗,先看 “Function” 是什麼:Transfer = 轉帳(數額可見);Approve = 授權(危險);Sign Message = 普通簽名(通常無害但要警惕 Permit2)。
• 領空投 / 用 DeFi 之前,URL 一個字一個字核對,Twitter / Discord 官方帳號 confirm 一次再點。
• 用 獨立錢包做高風險操作——比如專門一個「空投錢包」只放少量 ETH,主倉錢包絕對不碰這些。
• 定期到 revoke.cash 檢查你的錢包目前授權了哪些合約,把不用的全部撤銷(每次 revoke 要付一點 gas)。
• 用硬體錢包 + 安全模式,Approve 類簽名會顯示完整數據。

真實事件 · Ledger Connect Kit 投毒(2023.12)

Ledger 官方推出的 Connect Kit JS 函式庫被前員工惡意篡改, 所有用它接入錢包的 DeFi 網站(包括 SushiSwap、Zapper、Revoke.cash 自己等知名應用) 在 5 小時內全部變成了潛在釣魚站, 用戶連接錢包並簽名就會觸發授權轉出。 累計損失約 60 萬美元。 最諷刺的是連 revoke.cash 本身都中招—— 這告訴我們:即便是「看起來可信的工具」也可能瞬間變成攻擊向量。 日常 DeFi 操作的錢包必須獨立於主倉錢包, 這是沒有第二選項的設置。

假空投 · 錢包裡突然多出來一些「代幣」

典型劇本

某天你打開 MetaMask,發現錢包裡多了一種代幣, 叫 “Visit Site Claim Reward”,或者 “$25000_USDT_Reward”。 數量很大,看起來值不少錢。 你點進去想交易,提示「前往官網領取」, 跳到一個看起來很專業的網站,要你連接錢包 + 簽名。 簽完,你的 USDT / ETH 沒了。

技術上怎麼動手腳

• 騙子用 airdrop 函式批量給幾十萬個地址發「代幣」——發幣幾乎免費(只花一點 gas)。
• 這些代幣是蜜罐:你看得到但賣不掉,合約裡寫死了「只有特定地址才能 transfer」。
• 代幣名字裡嵌入了網站 URL,引誘你去那個 phishing 網站。
• 到了網站,套路跟 CASE 03 一樣——簽 approve,被清空。

防禦要點

• 錢包裡突然多出來的代幣,99% 是騙局——直接 hide,不要點不要交互。
• 區塊瀏覽器(Etherscan / OKLink)上,這種代幣顯示為 “Spam” 或 “Phishing”,可以直接屏蔽。
• 真正的官方空投會透過項目 Twitter / Discord 提前公告,而且通常需要你主動 claim,不會「突然到帳」。
• 遇到誘人的「領空投」,冷靜 24 小時再決定——真空投不會 24 小時就過期。

辨識真假空投的幾個信號

• 真空投:項目方官方帳號(Twitter blue verified + 歷史粉絲量級合理) 提前幾週公告 → snapshot 快照 → claim 網站使用官方域名 → 通常需要你主動簽名領取(簽名內容是普通 message,不是 approve)。
• 假空投:錢包裡「突然到帳」 → 代幣名嵌入網址 → 所謂「領取」網站域名怪異(.xyz / .top / .live 居多) → 連上 wallet 之後立刻要求 approve 一個大額代幣。

Uniswap、Arbitrum、Optimism、ENS 等歷史上真實的大空投全都符合「真」的特徵。 如果你懷疑某個空投真假, 最簡單的方法是去項目官方 Discord 公告頻道搜一下, 官方會明確說「已結束」或者「未發生」。

假交易所 · 高仿域名 + 山寨 APP

典型劇本

你在 Google 搜「幣安下載」,點了第一條廣告, 下載安裝一個 APP, 介面跟幣安一模一樣。 你照常 KYC、充值、交易——一切正常。 幾個月後,你想提幣, APP 提示「需要先做稅務清繳,轉 1000 USDT 到指定地址」。 你轉了,APP 還說不夠。 你再轉,直到開始懷疑—— 但這時候帳戶餘額已經查不到了。

技術上怎麼動手腳

• 騙子註冊類似域名(binance-cn.app 這種)在搜尋引擎投放廣告。
• APP 是高仿的,前端跟官方一模一樣,但是後端是騙子自己的資料庫——你的「充值」實際上是直接轉到騙子地址,APP 假裝記帳給你顯示餘額。
• 這種 APP 在 iOS 上常透過「企業憑證」分發(因為上不了 App Store),Android 上則是 APK 直接安裝。

防禦要點

• 永遠不要點搜尋引擎廣告下載交易所 APP——直接去 App Store / Google Play / 交易所官網(用書籤)下載。
• iOS 用戶:如果一個 APP 要求安裝「企業憑證」,99% 是假的。正規交易所 APP 全部在 App Store 上架。
• 第一次充值之前,先小額試一筆提幣——能正常出幣的才是真平台。
• 「任何理由的提幣保證金」100% 是騙局,正規交易所不會要你為了提幣再轉一筆錢過去。

高仿域名常見伎倆

騙子註冊的高仿域名通常透過以下幾種方式讓人誤判:

• 字母替換:binance 用 binance(用小寫 L 替換 i)或者 blnance,字體上幾乎一樣。
• 頂級域名替換:binance.com 換成 binance.app、binance.live、binance.io——後綴不同但前綴完全一致。
• 子域名包裝:binance-cn.com、binance-official.com,加了一段看起來正規的尾巴。
• punycode 同形異字:用看起來一樣的西里爾字母或者其他 Unicode 字符替換 a / e / o 等。

永遠把官方域名加入瀏覽器書籤, 之後所有的訪問都從書籤點而不是從搜尋 / 連結進去, 這是最樸素也最有效的防禦。

「假交易所」的資金歸途

你「充值」到假交易所的 USDT 通常在 10-30 分鐘內被轉出, 去向是三步洗白:先到一個收單熱錢包, 再分散到幾十個中轉地址, 最後匯集到混幣器(Tornado Cash)或者跨鏈橋(到 Tron / Solana 之後再換幣)。 整套流程在工業化的詐騙團夥手裡能壓縮到 2 小時內完成, 留給受害者反應的時間極短。 這也是為什麼「提幣測試」必須在充值前做—— 充值之後再測試,即使發現是假平台, 錢已經在洗白鏈路上,基本不可能追回。

殺豬盤 · 跨境戀愛 + 「穩賺合約平台」

典型劇本

Tinder / Bumble / Dcard 約會板加到一個「投行女精英」, 在新加坡 / 香港 / 舊金山工作, 照片真人真好看。 她跟你聊幾週生活、工作、家庭, 慢慢提到她叔叔有個「內幕系統」能穩賺加密合約, 她自己每週賺 5-10%, 你要不要試試小額的。

你拿 1000 美元試,真的賺了 200 美元出金。 她說「看吧」, 讓你再上 1 萬、5 萬、10 萬。 到最後想全提的時候, 平台要你「補保證金」。 你不補,資產凍結。 你補了,要求更多。 你打過去的電話再也沒人接。 她從 LINE / Tinder 消失, 整套人設是 zero。

技術上怎麼動手腳

• 「投行精英」是話術包裝出來的虛擬身份,LINE / Tinder 頭像照片很可能是從 Instagram 網紅那邊盜來的。
• 「穩賺平台」是騙子自己搭的,前端偽裝得很專業,後端就是個虛擬數字遊戲,你充進去的錢直接進騙子口袋。
• 小額提現是「投資讓你信任」的成本,後期大額提現一定不會讓你出金。

防禦要點

• 任何「透過陌生人聊天介紹」的加密投資 = 殺豬盤。這是過去 5 年最暴力的騙局,FBI 單 2023 一年就記錄了 35 億美元的相關損失。
• 陌生人聊天對象主動引導你下載 APP / 註冊某平台,99% 是殺豬盤的初始動作。
• 視訊通話的時候觀察對方面部表情是否真實——很多騙子用 AI 視訊換臉,有口型對不上、眨眼頻率異常等破綻。
• 真投資 + 真感情,不會有人在認識你 3 週後就教你「內幕系統」。

殺豬盤產業鏈拆解

「殺豬盤」這個詞本身就是行業黑話—— 把受害者養肥(培養信任 + 讓其投入更多)再宰殺(套現 + 消失)的全流程。 這是過去 5 年加密領域最完整、最工業化的詐騙模式, 已經形成產業鏈:

• 引流組:在 Tinder / Bumble / Dcard / IG / 抖音群, 用美女 / 帥哥頭像批量加粉。一個引流員一天能加 200+ 目標。
• 話術組:維護「曖昧 + 工作精英」人設, 按劇本劇情培養感情(早安晚安、生活分享、慢慢滲透投資話題)。一個話術員同時維護幾十個目標。
• 技術組:搭建假平台 + 維護數據看板, 模擬「帳戶餘額逐月增長」的假象。
• 洗錢組:把騙到的 USDT 透過混幣器、跨鏈橋、鏈上 P2P 等多重洗白。

這種產業鏈多數總部在緬北、柬埔寨等執法弱區, 被騙的錢通常 90%+ 追不回。 FBI 2023 年專項打擊之下,追回率提高到 ~12%, 仍然屬於「基本拿不回」的範疇。 最有效的方法是不上鉤—— 任何陌生人主動教你「賺錢內幕」全部預設是騙子, 不需要二次判斷。

錢包地址投毒 · 你以為複製了自己的地址

典型劇本

你有個常用收款地址 0xabc123...def456。 某天你想轉帳,從 Etherscan 的最近交易記錄複製目標地址(習慣上只看前 4 後 4 位)。 你貼上、看一眼、前後都對、確認、簽名、發送。 錢到了一個跟你目標地址前後 4 位一模一樣的「投毒地址」—— 錢不見了。

技術上怎麼動手腳

• 騙子透過鏈上爬蟲盯著大額錢包的轉帳記錄。
• 找到你最近的轉帳地址 0xabc123...def456 之後, 騙子用「vanity address generator」生成一個前綴與後綴都跟你目標地址一致的釣魚地址(暴力算力窮舉,幾個小時就能算出)。
• 騙子從這個釣魚地址往你錢包發一筆0 價值的 transfer(0.000001 ETH 或者一個虛假代幣)—— 這樣下次你打開 Etherscan 看交易記錄, 會發現一個「很像你目標地址」的最近交互對手方。
• 你一個不小心從交易歷史複製了錯的地址, 中招。

防禦要點

• 轉帳地址永遠複製完整地址,不要只看前後 4 位——任何時候都一樣。
• 從可信來源(自己的錢包通訊錄 / 自己保存的 txt)複製地址,不要從交易歷史複製。
• 大額轉帳先發小額(1 USDT)測試,確認到達正確目標後再發主額。
• 錢包用 白名單地址功能(MetaMask / Coinbase Wallet 等都支援),只允許向預先添加的地址轉帳。

真實事件 · 大鯨投毒 6800 萬美元損失(2023.05)

2023 年 5 月一個匿名大鯨錢包想給自己 cold wallet 轉 6800 萬 USDT, 不慎從交易歷史複製了一個投毒地址(前後 4 位完全一致), 錢直接發到攻擊者地址。 鏈上幾小時後被多方關注, 攻擊者最終(可能因為輿論壓力)把錢歸還了—— 這是地址投毒史上最戲劇的一次, 但 99% 的中招者拿不回。 硬體錢包社群從那次之後開始把「轉帳顯示完整地址」當作強制功能, 現在 Ledger / Trezor 等主流硬體都預設顯示完整 40 位地址, 用戶必須翻頁確認才能簽名。

合約後門 / Rug Pull · 項目方一夜跑路

典型劇本

一個新的 DeFi 農場,APY 顯示 5000%。 你看到 KOL 轉推、TG 群很活躍、項目方「已審計」, 你 stake 了幾千 USDT 進去, 24 小時後回來看, 流動性池 0, 代幣歸零, 項目方 Twitter 帳號刪除, 所有聯絡方式消失。

技術上怎麼動手腳

Rug pull 的合約後門花樣很多,常見的:

• Mint 函式無上限:項目方隨時可以無限增發代幣,然後砸盤拋售。
• Owner 可移除流動性:LP 被項目方持有,他一鍵移除幾乎全部 USDT / ETH,跑路。
• Blacklist 函式:可以禁止特定地址賣出代幣(讓散戶買進賣不出去)。
• 「假審計」:聲稱「已經被 CertiK / PeckShield 審計」,但截圖是 PS 的或者審計的是另一個合約。

防禦要點

• APY 超過 100% 的項目,98% 是 ponzi 或者 rug pull。可持續的鏈上收益通常在 5-30% APY 區間。
• 看合約 owner 權限——能 mint 無上限、能 pause 合約、能 blacklist 用戶的合約,等於把控制權交給項目方。
• 看流動性是否鎖倉。Unicrypt / Team Finance 鎖定 1 年以上的項目相對安全,no lock 的隨時跑。
• 看審計——CertiK、Trail of Bits、OpenZeppelin、Halborn 是頭部審計機構。審計報告必須是官方發布渠道的(certik.com 上能搜到),不是項目方 PDF 截圖。
• 小額參與,即使損失也只是學費。新項目第一週不進,第一個月不重倉。

近幾年標誌性 rug pull 案例

• Squid Game Token(2021.11):借魷魚遊戲的熱度,5 天漲了 1 萬倍,然後項目方 cash out,代幣歸零。損失約 330 萬美元。
• AnubisDAO(2021.10):仿 OlympusDAO 概念,幾小時內籌集到 6000 萬美元 ETH,項目方一鍵全部轉走。
• Snowdog(2021.11):仿 Wonderland,代幣上線 24 小時內 owner 透過預埋後門套現 1000 萬美元。
• Mantra(2025.04):已被審計、上架多家 CEX、市值數十億的「主流」項目,某日突然 90% 暴跌,被懷疑是團隊精心策劃的內部減持。

規律是:市值越大、上線時間越久,不等於不會 rug。 Mantra 之前所有人都認為它是「合規化主流項目」。 永遠把 rug pull 風險放在心上,不要因為某些項目大就放下警覺。