网络钓鱼是加密行业中最普遍的欺诈类型之一。它的威力在于简单:攻击者所需要的,不过是诱骗某人点击一个链接或签署一笔交易。2023 年,使用钱包盗取器脚本的钓鱼网站,从超过 32 万个钱包中窃取了约 2.95 亿美元。
网络钓鱼,就是有人说服你自愿打开自己钱包的大门——交出助记词、签署一笔交易,或在假冒网站上输入密码。
网络钓鱼如何运作
网络钓鱼始终遵循同一套模式:先把受害者引入陷阱,再攫取其对资产的访问权限。
1. 投放渠道
电子邮件钓鱼
看起来像交易所或钱包官方消息的邮件。例如,「来自 KuCoin」、警告存在「安全违规」的邮件,或一封「来自 MetaMask」的消息。更多详情见 CISA。

网页钓鱼(假冒网站)
热门平台的克隆站点。借助广告,它们常常出现在 Google 搜索结果的顶部,看起来与正版一模一样。差别可能仅仅是域名里的一个字符。ScamSniffer 发布了一份详尽的分析。

广告与社交媒体
钓鱼链接通过定向广告、社交媒体帖子或 Telegram 机器人传播。例如 notcoin-airdrop.world,用「免费空投」诱骗受害者,而连接钱包便导致资金被盗。一个类似的案例是 MS Drainer,它通过 Google Ads 窃取了 5,900 万美元。

短信钓鱼(smishing)
「来自交易所」或「来自银行」的消息:「您的账户已被冻结,请点击链接。」链接指向一个假冒的登录表单。

假冒应用
诸如 Ledger Live 之类钱包的伪造版本,或参见 Ledger 的官方警告。一经安装,这类应用便索要助记词,或直接窃取数据。
社群与网红
假冒品牌或意见领袖的虚假 Telegram 频道、Discord 群组、YouTube 直播和 Twitter 账户。它们兜售「独家优惠」和「赠币活动」。一个臭名昭著的例子:Group-IB 报告称,仅三天内就有 160 万美元被盗。BankInfoSecurity 也证实了这一点。
2. 盗窃机制
数据窃取——受害者在假冒的表单或应用中输入助记词、私钥或密码。
签名钓鱼——受害者被说服签署一笔「用于确认安全」或「用于参与空投」的交易。而实际上,这个签名赋予了攻击者抽干代币的技术权限。
真实的网络钓鱼案例
一次点击损失 313 万美元
一名用户把钱包连接到一个钓鱼网站、签署了一笔交易——损失了 313 万美元的 WBTC。
更多详情——见我们的 Telegram 剖析。
当黑客成为受害者
2025 年 2 月,一名黑客从 zkLend 窃取了 2,930 枚 ETH(540 万美元),并试图通过 Tornado Cash 洗白。但他却落到了一个已存在五年多的 Tornado Cash 钓鱼克隆站点上。另一批骗子拿走了他的资金。
更多详情——见我们的帖子。
App Store 里的假冒应用
2025 年,一款面向 Mac 的伪造 Ledger Live 应用出现在 App Store 上。用户安装了它、输入了助记词,结果损失了资金。
用马斯克和布特林做诱饵的 YouTube 直播
2022 年,一系列使用 Elon Musk 和 Vitalik Buterin 形象的虚假直播,仅三天就为骗子带来了超过 160 万美元。
用数字看网络钓鱼
据 ScamSniffer,2025 年上半年共有 43,628 名受害者,合计损失 3,933 万美元(平均损失约 902 美元)。与 2024 年上半年相比,网络钓鱼活动显著减少。
如何识别网络钓鱼
- 网站 URL 仅有一个字符之差。
- 「客服」抢先给你发消息。
- 消息承诺存款翻倍、免费代币,或「好得不像真的」的优惠。
- 他们索要助记词或私钥——那百分之百是欺诈。
如何自我保护
- 务必核对网站地址,并只从官方来源安装应用。
- 切勿在第三方网站上输入助记词、私钥或密码。
- 通过身份验证器应用或硬件密钥使用 2FA,而非短信。
- 避免点击邮件、广告或陌生消息中的链接。
- 把你所用服务和交易所的官方网站加入书签。
- 管理资产时,使用一个单独的浏览器,甚至一台专用设备。