收到不明空投NFT/Token？千万别点！新型骗局解析

这是新型空投钓鱼骗局，骗子通过随机空投劣质NFT/Token诱导点击钓鱼链接，伪造官网骗取存储授权，进而盗取资产；常见手法包括凭证诈骗、投毒攻击和钓鱼链接型NFT；防范需坚持“不理睬、不点击、不交互”，用小号存储交互，并定期撤销可疑授权。

欧易OKX：

 

Binance币安：

 

火币Huobi：

 

Gateio芝麻开门：

 

你的加密存储突然多了一枚陌生的NFT或Token？请千万小心，这很可能是新型骗局的诱饵。轻易交互可能导致资产被盗，切勿随意点击！

骗局的运作原理

1、骗子会利用程序向活跃的存储地址进行大规模随机空投，这些NFT或Token通常制作粗糙，但会用“免费领取”、“奖励”等诱人的名字吸引你的注意。

2、这些空投物的描述中，通常会包含一个醒目的链接，并配上“Claim Reward”、“Mint Free”等字样，引诱你点击进入他们的网站去“领取”更多奖励。

3、点击后会跳转到一个精心伪造的钓鱼网站，它会模仿知名项目方的官网或交互界面，让你在视觉上放松警惕，以为是在进行正常的操作。

4、当你连接存储并签署恶意交易时，实际上是授予了骗子无限的代币转移授权（Approve），他们可以随时将你存储里的所有代币资产席卷一空。

常见的骗局手法

1、凭证类诈骗是最常见的一种。骗子空投一个所谓的“凭证”NFT，声称可以凭此到指定网站免费兑换更有价值的代币或NFT，其最终目的就是骗取你的存储授权。

2、投毒攻击则更为隐蔽。骗子会制造与真实代币同名同标志的虚假代币，并向你进行零额转账，目的是污染你的交易记录，诱导你在下次转账时复制错误的合约地址。

3、钓鱼链接型NFT则更为直接，其图片或描述本身就是一个巨大的可点击链接，利用人的好奇心和贪念，直接将你引向布满陷阱的恶意站点，从而窃取你的信息。

如何防范与自保

1、对所有来源不明的空投，务必坚守“不理睬、不点击、不交互”的三不原则。直接忽略或在存储内将其隐藏是最佳选择，不要尝试出售或转移它们。

2、如果确实对某个新项目感兴趣，请务必使用一个不存放主要资产的“燃烧存储”或“小号存储”进行交互，这样即使发生意外，损失也能被控制在最小范围。

3、定期使用区块链浏览器授权管理工具（如RevokeCash），检查并撤销存储中可疑或不再使用的代币授权。这就像定期为你的资产账户进行安全大扫除。

4、务必牢记，你的私钥和助记词是资产的最高权限，任何情况下都不要在任何网站上输入或透露给任何人，官方项目方也绝不会向你索要这些信息。