小偉的故事:「免費鑄造的 NFT,鑄完我錢包裡的 ETH 就全沒了」——一個「Free Mint」如何用隱藏授權清空他 12 萬
26 歲的小偉(化名)從 2024 年開始玩 NFT,在 Ethereum 上買賣過 Bored Ape 和 Azuki,算是有經驗的玩家。某天他在 Twitter 上看到一個叫「CosmicApes」的 NFT 項目正在做「Free Mint」——免費鑄造。項目的 Twitter 帳號有 8 萬追蹤,Discord 裡有 2 萬人,創辦人「CEOAlex」自稱是前 Yuga Labs 設計師。Twitter 上充滿了精美的 3D 猿猴頭像預覽圖,底下留言全在刷「LFG」「Minted」「So bullish」。
Free Mint 不用花錢——只需要連接錢包、點「Mint」、付 Gas 費(大約 0.002 ETH,差不多 150 台幣)。小偉覺得「反正不用錢,Gas 費也便宜,鑄來玩玩」。他連接了 MetaMask,點了 Mint。
MetaMask 彈出一個簽名請求。小偉每天都 mint NFT,對這種彈窗習以為常——看了一眼金額是 0.002 ETH,點了「確認」。Gas 費扣了,NFT 進了他的錢包。一切正常。
但他沒注意到的是:那個簽名請求裡不只包含「mint NFT」的合約調用,還藏了一個 approve 函數——他授權了這個合約無限提取他錢包裡所有的 USDC。他總共有 4,000 USDC(約新台幣 12 萬)。
六小時後,小偉的 USDC 全部被轉走了——被那個 CosmicApes 合約提走了。他跑到 Discord 去「問」——Discord 已經關了。Twitter 上的 @CosmicApes 帳號也刪了。那 8 萬追蹤、2 萬 Discord 成員、精美的 3D 預覽圖——全部是為了一次 Free Mint 搭建的舞台。
小偉的 150 元 Gas 費,換來了 12 萬的損失。
2026 年 NFT 詐騙的最新手法解析
NFT 詐騙在 2026 年已經不再是「畫一張圖賣你」這麼簡單了。它變成了精密的智能合約陷阱:
手法一:「Free Mint」裡的隱藏授權
Free Mint 是 2026 年最危險的 NFT 陷阱。你以為「免費」=「沒有風險」,但 Free Mint 的真正成本不在 mint 本身——藏在 mint 的智能合約裡。合約在執行 mint 的同時,偷偷加入了 approve 或 permit 簽名——授權它提取你錢包裡的 ERC-20 代幣(USDC、USDT、甚至 WBTC)。你看著 0.002 ETH 的 Gas 費點了確認,但合約同時在做兩件事:mint NFT + 授權提款。一個「免費」的 NFT,代價可能是你錢包裡的所有穩定幣。
手法二:假 Discord 的「散播式」釣魚
詐騙者建立一個假的 NFT 項目 Discord,在裡面用機器人私訊所有成員:「🎉 恭喜!您被選中參加 CosmicApes 的限量 Free Mint!請點擊連結鑄造:[假網站連結]」。那個連結不是真正的 mint 網站——是一個釣魚網站,會引導你簽署一個看似正常但包含惡意授權的智能合約。Discord 裡 2 萬人可能只有 200 人被私訊,但 200 人每人損失 10 萬 = 2,000 萬。
手法三:「燃燒機制」騙你交出 NFT
「持有我們的 NFT 可以免費兌換新一代升級版!請到官網進行 Burn & Redeem。」你把舊 NFT 發送到一個指定地址進行「燃燒」——但你發送的不是合約的「burn」函數,而是簡單的 transfer。你的 NFT 就這樣轉給了詐騙者。「新一代升級版」從頭到尾不存在。
手法四:偽造的「白名單」連結
NFT 項目常常做「白名單」——只有被選中的地址才能提前 mint。詐騙者偽造白名單的 mint 連結,在 Twitter 和 Discord 上散播:「白名單 Mint 已開放!連結:[假網站]」。你以為在用白名單資格 mint 真正的項目,其實在簽署一個假合約。
手法五:AI 生成的「項目團隊」和社群
8 萬 Twitter 追蹤?用機器人買的。2 萬 Discord 成員?用殭屍帳號灌的。精美的 3D 預覽圖?AI 生成的。「前 Yuga Labs 設計師」的創辦人經歷?偽造的。整個項目的存在只為了一次 Free Mint——mint 完就收工。項目的「路線圖」「團隊訪談」「合作夥伴」全是 AI 生成的內容。
如何識破 NFT 詐騙的七大紅旗
不管項目多精美、追蹤數多高、Free Mint 多誘人,以下紅旗只要出現一個就該停止:
🚩 紅旗一:Free Mint 的合約未經審計
在 mint 之前,把合約地址丟到 Etherscan 或 Solscan 上查看。如果合約的 source code 沒有公開驗證(Unverified Contract)——沒有人知道這個合約裡藏了什麼。真正的好項目會把合約代碼公開並經過第三方審計。
🚩 紅旗二:簽名請求裡包含 Approve 或 Permit
如果 MetaMask 彈出的簽名裡除了 mint 相關的函數,還有 approve、permit、setApprovalForAll——這個合約在要求你授權它動你的資產。Mint NFT 不需要 approve 你的 USDC。看到 approve 就取消。
🚩 紅旗三:Discord 私訊給你的 mint 連結
正規的 NFT 項目不會用私訊發 mint 連結。Mint 連結只會在官方 Discord 的公告頻道和官方 Twitter 上發布。任何人私訊你 mint 連結 = 釣魚。關掉 Discord 的私訊功能。
🚩 紅旗四:Twitter 追蹤數高但互動低
8 萬追蹤但每則貼文只有 50 個按讚?追蹤數是買的。正常 NFT 項目的按讚率大約是追蹤數的 2-5%(8 萬追蹤應該有 1,600-4,000 個讚)。按讚率異常低 = 追蹤數是灌水的。
🚩 紅旗五:團隊成員沒有可驗證的真實身份
「前 Yuga Labs 設計師」——上 LinkedIn 搜尋他的名字。如果找不到對應的經歷、或者他的 LinkedIn 是最近才建的、只有幾個連結——這個人是假的。真正的 NFT 項目創辦人通常有可追溯的真實身份。
🚩 紅旗六:要求你「燃燒」NFT 到一個 EOA 地址
真正的 Burn & Redeem 是透過智能合約執行的——合約會銷毀你的舊 NFT 並自動發送新 NFT。如果你被要求手動把 NFT 轉到一個錢包地址(EOA),那是普通轉帳,不是燃燒。你的 NFT 就是送給了別人。
🚩 紅旗七:項目沒有第三方審計報告
真正的 NFT 項目會付錢請審計公司(如 CertiK、Quantstamp)審計智能合約。如果一個項目沒有審計報告、合約代碼未驗證——它要嘛是業餘的(不值得 mint),要嘛是故意的(不想讓你看到惡意代碼)。
如果已經中招了怎麼辦
如果你已經在可疑的合約上簽名、或者發現錢包資產被不明轉移,請立刻採取以下行動:
第一步:立刻撤銷所有授權
到 revoke.cash(確定是官方的)連接你的錢包,查看並撤銷所有你不知道的授權。如果有可疑的 approve,立刻 Revoke。這可以阻止詐騙者繼續提取你的資產。
第二步:把剩餘資產轉到新錢包
如果你曾經在一個可疑的合約上簽名,立刻把所有剩餘的 ETH、USDC、NFT 轉到一個全新的錢包。舊錢包可能還有未撤銷的隱藏授權。
第三步:在 Etherscan 上記錄交易
記錄惡意合約的地址、被轉走的 TX Hash、詐騙者的錢包地址。這些是報案的關鍵證據。
第四步:在社群通報
在 Twitter 上 Tag 該項目的名稱和合約地址,警告其他人。也可以在 Etherscan 上將合約標記為「Phishing / Hack」。
第五步:撥打 165 報案
攜帶交易紀錄和合約地址到派出所報案。雖然鏈上追蹤困難,但台灣已有處理虛擬資產犯罪的警力。
NFT 詐騙自保清單
✅ Free Mint 合約未驗證 = 不知道裡面藏了什麼,不簽
✅ 簽名裡有 Approve/Permit = 它在要你的資產授權,取消
✅ Discord 私訊 mint 連結 = 釣魚,不理會
✅ 追蹤數高但互動低 = 追蹤是買的
✅ 團隊沒有可驗證身份 = 人設是假的
✅ 要你手動轉 NFT 到錢包地址 = 不是燃燒,是轉讓
✅ 沒有第三方審計報告 = 合約可能有後門
✅ mint 前先用 Etherscan 看合約 = Verified + 審計過才簽
✅ 定期到 Revoke.cash 清理授權 = 只保留必要的
✅ 鐵律:Free Mint 不一定免費——它的成本可能藏在你簽名的合約裡
結語:最貴的 NFT 是你以為免費的那個
小偉不是 NFT 新手。他玩過 Bored Ape、玩過 Azuki,在 OpenSea 上交易了兩年。他以為自己足夠聰明、足夠有經驗,不會被一個「Free Mint」騙到。但他犯了一個所有人都在犯的錯誤:他沒有認真看簽名請求。
每天 mint NFT 的人,對 MetaMask 的彈窗已經麻木了。0.002 ETH?確認。Gas 費合理?確認。但那個彈窗裡可能藏著一個 approve——授權你錢包裡所有的 USDC。你不會發現,因為你從來不會仔細看彈窗。但詐騙者知道你不會看。他們設計的就是讓你「習慣性確認」。
保護自己的方法只有一個:在每一次簽名之前,看清楚合約在做什麼。如果是 mint,只應該有 mint 相關的函數。如果出現 approve、permit、transfer——停止。那不是 mint,那是提款。你可以用工具像 PocketUniverse 或 Blowfish(瀏覽器擴充功能)自動解析簽名內容,它們會告訴你這個簽名「實際上在做什麼」。
如果你身邊有玩 NFT 的朋友——把這篇文章轉給他們。告訴他們:Free Mint 之前,先看清楚簽名。0.002 ETH 的 Gas 費不會讓你破產,但藏在那個簽名裡的 approve 可能會。🛡️
延伸閱讀: