「老師,我只是點了一個空投連結,簽名確認一下而已,怎麼錢就不見了?」
林小姐是一位在科技公司上班的 32 歲工程師,自認對加密貨幣有一定了解,持有比特幣和以太坊已經兩年多。2026 年初,她在 X(前 Twitter)上看到一則帖子:「Uniswap 推出 UNI V4 空投,持有超過一年以上的錢包可以領取,截止時間 48 小時。」
帖子下面有數百則留言,說「我已經領到了 3,200 USDT!」「這是真的,我剛剛領到了!」甚至還有知名 KOL 的帳號在轉發(後來才知道那些帳號都是被盜的)。
她點進連結,網站設計和 Uniswap 官方幾乎一模一樣。她連接了 MetaMask 錢包,點「Claim Airdrop」,MetaMask 跳出簽名請求——她沒有仔細看請求內容,直接確認了。
五秒後,她的錢包裡原本的 4.7 顆以太坊(當時約值 46 萬台幣)和 12,000 USDT,全部清空了。
「我只是簽了一個名,又沒有把私鑰告訴任何人,怎麼可能……」她怎麼也想不明白。
這個詐騙是怎麼運作的
林小姐踩中的,是幣圈詐騙中最精密的一種:Approval 授權釣魚詐騙,結合了假空投和惡意智能合約。這類詐騙在 2025-2026 年間爆炸性成長,台灣已有數百名受害者。
第一層:社群媒體炒作製造真實感
詐騙集團首先入侵或購買有一定粉絲量的 X、Discord、Telegram 帳號,再用這些帳號大量轉發「空投消息」,營造出「大家都在領」的氛圍。留言區的讚美全是機器人,截圖是 P 圖或偽造的交易記錄。
第二層:完美複製官方網站
他們會做一個幾乎和真實協議(Uniswap、Arbitrum、LayerZero 等)一模一樣的釣魚網站,只有域名有細微差異(例如 uniswap-airdrop.xyz 或 uni-v4-claim.io),SSL 憑證也有,看起來完全合法。
第三層:惡意合約的授權陷阱
這是最狡猾的地方。當你「連接錢包並簽名」時,MetaMask 彈出的不是一般的交易確認,而是「Token Approval」授權請求——你在授權這個惡意合約可以無限制地動用你錢包裡的所有代幣。
技術細節:這叫做 setApprovalForAll 或 approve(spender, MAX_UINT256),一旦你簽了名,合約就可以在任何時候把你錢包裡的 ERC-20 代幣和 NFT 全部轉走,不需要你再進行任何確認。
Rug Pull:連開發者都是詐騙犯
另一種幣圈詐騙叫做 Rug Pull(捲款跑路)。詐騙集團自己發行一個新代幣,在 DEX(去中心化交易所)上創造初始流動性,讓代幣價格快速拉升,吸引韭菜進場。等到散戶資金夠多,開發者就把所有流動性一次抽走,幣價瞬間歸零,跑路了事。
2025 年台灣就有一個 Discord 群組,聲稱推出「台灣本土 DeFi 項目 TWFi」,吸引了超過 300 名台灣人投入共計 780 萬台幣,最後專案官網在一夜之間消失,開發者全部蒸發。
假交易所:你的錢從沒進入真正的市場
第三種常見手法是假交易所:詐騙集團建立一個看似合法的加密貨幣交易平台,介面精美,還有假的 K 線圖、假的成交量。你匯入的資金根本沒有進入任何真實的區塊鏈,只是存在他們的資料庫裡。等你想提款時,系統要求你先繳「稅費」「手續費」或「風控驗證金」,交了之後依然無法提款,最後平台直接關閉。
如何識破這種詐騙
幣圈詐騙的特點是它利用了你的「FOMO(錯失恐懼)」和「對技術的信任感」,讓你在未完全理解的情況下快速行動。以下是幾個識破的關鍵訊號:
空投識破術
- 沒有宣布就突然出現:真正的空投會提前在官方 Discord、官方 Twitter 公告,不會突然從陌生帳號發出
- 有截止倒數計時:「48 小時限定」是製造緊迫感的經典手法
- 要求你先連錢包再簽名:領取真實空投通常只需要提供地址,不需要「授權合約動用你的代幣」
- 域名不對:永遠在 URL 欄仔細確認,官方是
app.uniswap.org不是uniswap-claim.io
新代幣/項目識破術
- 團隊匿名:沒有實名開發者、沒有可驗證的背景
- 合約未審計:正規項目會有 CertiK、SlowMist 等第三方審計報告
- 流動性未鎖定:開發者可以隨時抽走流動性,沒有鎖定機制
- 過高報酬承諾:「週收益 15%」「年化 500%」在真實市場中不存在
交易所識破術
- 沒有合法牌照:查詢該交易所是否有台灣 FSC、美國 FinCEN、EU MiCA 等監管登記
- 提款需繳費才能出金:任何正規交易所不會要你「先存錢才能提款」
- 客服只在 Telegram 或 Line 聯絡:正規交易所有正式客服系統
- 幣安、Coinbase、OKX 才是正規交易所:不認識的平台務必先用 Google 搜尋「+ 詐騙」
中招了怎麼辦
如果你已經簽了可疑的授權,或者錢包裡的資產已經消失,立刻執行以下步驟:
第一步:立刻撤銷惡意授權(如果資產還在)
前往 revoke.cash 或 Etherscan Token Approval Checker,連接你的錢包,查看所有已授權的合約,並撤銷(Revoke)所有你不認識或可疑的授權。這個動作本身需要支付少量 Gas 費,但非常重要。
第二步:立刻轉移剩餘資產
如果錢包裡還有其他代幣,立刻把它們轉移到一個全新的錢包地址(重新生成助記詞)。被釣魚的錢包就算撤銷授權,安全性也已經存疑,不建議繼續使用。
第三步:報案和留存證據
- 截圖保存所有相關網站、訊息、交易紀錄
- 記錄釣魚網站的域名和詐騙錢包地址
- 撥打 165 反詐騙專線 報案
- 向 刑事局防詐騙中心(crime.moj.gov.tw)舉報釣魚網站
- 向區塊鏈分析公司(如 ChainAbuse)舉報詐騙地址,協助追蹤
第四步:通知交易所協助攔截
如果詐騙資金流向已知的中心化交易所(如幣安、OKX),立刻聯繫該交易所的反詐騙部門,提供交易 Hash,有機會在詐騙者出金前凍結帳號。雖然成功率不高,但值得一試。
幣圈自保清單
把這份清單存起來,每次操作前對照確認:
✅ 空投驗證
□ 空投消息有在官方 Twitter/Discord 公告
□ 我仔細確認了網址是官方域名(不是仿冒的)
□ MetaMask 的授權請求我完全看懂了才簽名
□ 沒有任何「授權合約動用我的代幣」的請求
✅ 新項目投資
□ 團隊有實名且可以查到背景
□ 合約有第三方安全審計報告
□ 流動性已鎖定至少 6 個月
□ 沒有「持有 X 天獲利 Y%」的誇張保證
✅ 交易所安全
□ 只使用幣安、Coinbase、OKX、Kraken 等主流交易所
□ 開啟雙重驗證(2FA)且使用 Google Authenticator 而非 SMS
□ 提款時不需要額外「繳費驗證」
□ 大額資產放在硬體錢包(Ledger、Trezor),不放在交易所
✅ 日常操作習慣
□ 不在公共 WiFi 進行加密貨幣操作
□ 定期到 revoke.cash 清理不必要的合約授權
□ 使用獨立瀏覽器(或獨立裝置)進行幣圈操作
□ 私鑰和助記詞只寫在紙上,不截圖不存雲端
結語
幣圈有個殘酷的現實:「Not Your Keys, Not Your Coins(不掌握私鑰,就不算是你的幣)」,但另一個同樣重要的現實是——就算你掌握了私鑰,一個錯誤的簽名也可能讓你瞬間失去一切。
林小姐後來對我說:「我以為自己已經很懂區塊鏈了,但那個簽名請求我根本沒看清楚就點了。如果我知道那個簽名代表什麼意思,我絕對不會點的。」
技術知識和警覺心,在幣圈需要同時具備。詐騙集團的手法越來越精密,今天是假空投,明天可能是假 DeFi 協議,後天是假 NFT 白名單。唯一的防禦是:對任何「限時」「免費領取」「簽名授權」的請求,先停下來想三秒。
那三秒,可能就是 46 萬台幣的差距。