先分清:你说的「空投」是哪一种
很多新手第一次听到「空投」,脑子里是「白拿」两个字。但在 NFT 和加密这一行,同一个词其实指着两件性质完全相反的事,得先掰开。
一种是真空投:某个项目方为了奖励早期参与者、活跃用户或者老持有者,主动把代币或 NFT 发到这些人的钱包地址里。它有公开的规则、有官方公告、有明确的领取入口,本质上是项目方在「回馈」。这种空投确实存在,但它通常不会无缘无故落到一个从没参与过任何活动的钱包上。
另一种是钓鱼空投:骗子把一个看起来很值钱、名字很唬人的 NFT,免费发到成千上万个陌生钱包里。它不是奖励,是诱饵。诱饵里藏着一个网址或一句「去这里领取你的奖励」,只要你照做,去连它的网站、签它要求的那笔交易,钱包就可能被搬空。
为什么陌生人能往你钱包扔东西
这一点很多人想不通:我又没给谁地址,凭什么有人能往我钱包塞 NFT?
原因在于公链的设计。你的钱包地址是公开的——任何人在区块浏览器上都能看到一长串地址、看到它有过哪些交易。而往一个地址转账或发送 NFT,不需要对方同意。就像别人知道你家门牌号,就能往你信箱里塞传单,你拦不住。骗子写一段程序,一次性把同一个诱饵 NFT 群发给几万、几十万个活跃地址,成本极低。
所以「收到了」这件事本身,完全不代表你被选中、被看上。它只说明你的地址在某个公开名单里。理解这一层,你就不会再被「专属奖励」「限你领取」这类话术牵着走了。
钓鱼空投常见的三套路
陌生 NFT 进了钱包之后,骗子真正想要的是下一步——让你做点什么。常见的有三种套路,看懂它们,遇到时就能立刻警觉。
套路一:假领取页,骗你连钱包再签授权
这个 NFT 的图片或描述里写着一个网址,比如「前往 xxx 领取配套代币」。你点进去,是一个做得跟正规市场几乎一样的页面,提示你「连接钱包领取」。连上之后,它弹出一笔交易让你签名——这笔交易往往是一个 approve(授权),意思是「允许这个合约动用你钱包里的某种代币」。一旦签了,对方合约就能在你不知情的情况下把你的代币转走。
套路二:恶意 approve,把支配权交出去
approve 本来是正常机制:你在去中心化交易所换币、在市场挂单卖 NFT,都需要先授权合约来动你的资产。问题是授权可以设成「无限额度」,而钓鱼页面会刻意让你授权一个高价值代币的全部余额。签的时候钱包界面可能只显示一串看不懂的字符,你以为是「领取」,其实是「放行」。这也是为什么任何看不懂的签名都要先停下。
套路三:permit 签名盗刷,连 Gas 都不用你出
还有一种更隐蔽的,叫 permit 签名。它不是一笔上链交易,而是一个「离线签名」——你点一下「签署」,没有 Gas 费、没有弹出转账,看起来人畜无害。但这个签名等于给对方开了一张授权凭证,对方拿着它就能在链上替你发起授权、转走资产。因为没有 Gas、没有明显的转账提示,很多人签完根本没意识到出了事。
收到不明 NFT,正确的处理步骤
如果你已经在钱包里看到一个来路不明的 NFT,别慌,也别去「研究」它。按下面的顺序处理就好。
| 该做的 | 千万别做的 |
|---|---|
| 把它隐藏 / 标记为垃圾(多数钱包和市场都有隐藏功能) | 点开它附带的任何链接 |
| 当它不存在,正常使用钱包其它资产 | 用钱包去连它指向的网站 |
| 如果想清场,可在市场把它标记隐藏即可 | 试图「转走」或「卖掉」它(互动本身可能触发陷阱) |
| 怀疑误签过授权,立刻去撤销(见下一节) | 在它的页面上签任何 approve / permit |
核心就一句:不互动。收到不明 NFT 不会自动让你损失什么,损失永远发生在你「按它说的去做」之后。把它当成信箱里的小广告,看一眼,扔进垃圾,继续过日子。
怎么撤销已经签过的授权
万一你回想起来,自己在某个可疑页面上确实点过「连接」并签过名,现在最该做的是检查并撤销授权。
- 打开授权检查工具。区块浏览器(如 Etherscan)有专门的 Token Approval(代币授权)页面,社区也常用 revoke.cash 这类站点。用它们连上你的钱包,能看到这个地址给过哪些合约授权、授权了多少额度。
- 逐个核对。把不认识的、记不起来为什么会授权的合约挑出来——尤其是授权额度显示为「无限」的。
- 撤销(revoke)。点撤销会发起一笔链上交易,需要你付一点 Gas 并用钱包确认。撤销完成后,那个合约就不能再动你的对应资产了。
- 资产较多时考虑换地址。如果你担心助记词本身可能在某次操作中泄露过(比如曾经把它输进过某个网站),那撤销授权还不够。最稳的是新建一个全新钱包,把值钱的资产转到新地址,旧地址彻底弃用。
撤销授权和逐字核对地址,是 NFT 世界里少数几个「亡羊补牢还来得及」的动作,值得花点 Gas 去做。转账前想确认一个地址是否正确,可以用本站的以太坊地址校验工具先比对一遍。
真空投一般长什么样、怎么领
说了这么多防范,也别因噎废食。真空投确实是 NFT 生态里给老用户的福利,只是领取方式和钓鱼空投有明显区别。
- 消息来自官方渠道。项目方会通过自己经过验证的官网、官方社媒账号公布空投规则,而不是直接塞进你钱包让你「自己发现」。
- 规则可核对。谁有资格、按什么标准、什么时间领,都写得清清楚楚,并且能在区块浏览器上对照快照(snapshot)核实。
- 领取入口要反复确认。就算是真项目,也要从官方公告里点进领取页,别从搜索结果、别从私信链接、别从评论区进——这些地方最容易被假站冒充。
- 真领取通常不要求高风险授权。正规领取一般是一笔常规的 claim 交易,看清楚再签;如果突然要你授权某个高价值代币的全部余额,停下来重新确认。
一句话:真空投你是「主动去官方那里领」,钓鱼空投是「它追着你让你领」。方向反过来,性质就反过来了。
常见问题
钱包里突然多出一个我没领过的 NFT,是中奖了吗?
几乎可以肯定不是好事。任何人都能往你的钱包地址免费发送 NFT,不需要你同意,所以收到陌生 NFT 本身不代表你被选中,更可能是骗子撒网。这类 NFT 常常把诱饵藏在图片或名称里,引你去某个网站连钱包、签授权。正确做法是不点开它带的链接、不连它的网站、把它隐藏掉,当作没看见即可。
我只是连接了钱包、还没转钱,会被盗吗?
单纯连接钱包(让网站读取你的地址)通常不会直接丢资产,真正的危险在于之后弹出的签名。如果你签了一笔 approve 授权或 permit 许可,等于把某个代币或 NFT 的支配权交给了对方合约,之后它可以不再询问你就把资产转走。所以关键不是连没连,而是有没有签授权类的交易。任何看不懂的签名都先停下。
已经签了可疑授权,现在还能补救吗?
要尽快撤销授权。可以用区块浏览器的代币授权工具或 revoke.cash 这类页面,连上钱包查看你这个地址给过哪些合约授权,把不认识的、可疑的逐个撤销(撤销本身要付一点 Gas)。如果钱包里还有值钱的资产且你怀疑助记词也可能泄露,最稳妥的是新建一个全新钱包,把资产转到新地址,旧地址作废。
资料来源
本文涉及的安全概念,你都可以在下面这些页面自行核对:
- ethereum.org/security —— 以太坊官方的安全与防钓鱼指引
- Etherscan 代币授权检查 —— 查看与撤销某地址的授权
- revoke.cash —— 集中查看并撤销钱包授权的常用工具
- MetaMask 支持中心 —— 钱包安全与签名相关的官方说明
- Etherscan —— 用地址查询链上转账与合约交互记录
- OpenSea 文档 —— 市场端隐藏垃圾物品与授权机制的说明