NFT 诈骗：如何识别和避免

NFT 市场为收藏家、艺术家和投资者创造了巨大机遇，但同时也吸引了大量诈骗活动，每年给社区造成数亿美元的损失。从精心制作的钓鱼网站（像素级复刻 OpenSea）到承诺独家空投的 Discord 机器人，诈骗者手段日益精密。了解这些攻击的运作方式，是所有参与 Ethereum、TON、Solana 或其他链上 NFT 生态系统的人的第一道防线。

常见 NFT 诈骗类型

钓鱼网站和虚假交易市场

钓鱼攻击是最普遍的 NFT 欺诈形式。攻击者注册看起来几乎与合法平台相同的域名——例如 "0pensea.io" 或 "opensea-nft.com"——并用真实市场界面的逼真副本填充它们。当你在这些网站上连接钱包并签署交易时，你可能正在批准将所有资产转移到攻击者的地址。

这些虚假网站通常通过付费广告出现在搜索结果顶部。请始终通过直接输入 URL 或使用已验证的书签来访问交易市场，切勿点击搜索中的赞助链接或私信中的链接。

虚假空投和欺诈性铸造

诈骗者经常通过社交媒体、电子邮件或社区频道宣布"独家" NFT 空投。为了领取免费 NFT，你需要连接钱包并签署交易。然而，该签名批准的是转出你现有的 NFT 或代币，而非接收新的。某些变体会先向你的钱包发送一个不请自来的 NFT，当你尝试在交易市场查看或出售它时，这一交互就会触发恶意合约。

无缘无故出现在钱包中、没有任何说明的 NFT 应被视为可疑对象。不要直接在主钱包中与其交互。

Rug Pull（跑路骗局）

Rug Pull 是指项目团队通过 NFT 销售募集资金，建立初期炒作和社区信任，然后突然放弃项目，携款潜逃。警示信号往往事先可见：没有可查历史的匿名团队、充斥流行词汇但缺乏技术细节的模糊路线图，以及人为夸大的 Discord 成员数量。

知名 Rug Pull 案例让诈骗者获利数百万美元。例如，Frosties 项目从买家手中筹集了约 130 万美元，之后创建者一夜蒸发。在投入资金之前，对任何项目背后团队进行尽职调查仍然至关重要。

仿冒 NFT 和系列冒充

在任何区块链上创建模仿知名系列的虚假 NFT 系列都极为容易。诈骗者铸造具有相同或近似艺术作品和误导性名称的代币，然后在二级市场上出售给毫无戒心的买家，让其误以为购买的是蓝筹系列的真品。购买前务必验证官方合约地址。对于 Ethereum NFT，在 Etherscan 上交叉核实。对于 Solana，使用 Solscan。对于 TON NFT，参阅 TON 文档和官方系列页面。合约地址应与项目官网上列出的一致。

Discord 和 X（Twitter）上的社会工程学

NFT 社区聚集在 Discord 和 X 上，使其成为社会工程师的绝佳狩猎场。常见手法包括：在私信中冒充项目版主或团队成员、创建虚假支持频道让"工作人员"索取钱包凭证或助记词，以及入侵真实项目账号发布欺诈性铸造链接。2022 年，Bored Ape Yacht Club 的 Instagram 账号被入侵，用于发布钓鱼链接，数小时内约 280 万美元的资产遭到盗取。

请记住：任何合法项目都不会要求提供你的助记词。版主不会主动发送私信提供钱包问题帮助。

需要警惕的危险信号

不切实际的承诺。如果项目保证一定回报、声称每位持有者都将获得一辆兰博基尼，或以远低于蓝筹系列市场价的价格提供 NFT，请对其保持极度怀疑。合法项目让作品自己说话。

人为制造的紧迫感。"铸造将在 10 分钟内关闭！"或"仅剩 5 个名额！"是旨在阻止你尽职调查的施压手段。诈骗者依赖仓促决策。请花时间仔细考量。

未经验证的合约地址。在与任何铸造页面交互之前，请验证显示的合约地址是否与项目官网和社交媒体上发布的相符。不匹配是立即的危险信号。

可疑的私信。收到自称项目创始人、版主甚至朋友提供独家交易的私信，是经典的社会工程学手法。在采取任何行动之前，请通过官方渠道核实任何声明。

山寨网站和细微 URL 变体。诈骗网站通常与真实网站仅差一个字符、一个字母互换或一个额外单词。请仔细检查浏览器地址栏中的完整 URL，而不仅仅是页面内容。

匿名或无法核实的团队。虽然部分合法项目由匿名创作者运营，但那些积极抵制任何形式问责的项目——没有实名认证、没有可查的过往作品、没有法律实体——存在更高的 Rug Pull 风险。

如何保护你的钱包和藏品

为高价值 NFT 使用硬件钱包

硬件钱包（如 Ledger 或 Trezor）将私钥保存在离线状态，使得钓鱼网站或恶意合约在没有设备上物理按键的情况下无法盗取资产。高价值 NFT 绝不应存储在长期连接互联网的热钱包中。考虑建立一个专用的"保险库"钱包，仅在必要时连接。

在每次交互前验证合约地址

在 OpenSea 和其他市场上为官方系列页面添加书签。将合约地址与项目官方网站和已验证的社交媒体账号进行交叉核对。对于 Ethereum，在 Etherscan 上查看合约详情和交易历史。这只需三十秒，却可能拯救你的整个藏品。

仅使用官方链接

直接在浏览器中输入 URL，或维护一份经过验证的书签列表。涉及钱包的任何事项，切勿点击私信、电子邮件或赞助搜索结果中的链接。当项目宣布铸造时，通过其官方 Twitter/X 主页导航，而非通过别人在 Discord 频道分享的链接。

定期撤销代币授权

每次与交易市场或 dApp 交互时，你可能会授予其转移你的代币或 NFT 的权限。这些授权会无限期保留，除非撤销。请定期使用 Revoke.cash（适用于 Ethereum）等工具审查并撤销不必要的授权。撤销不再使用的合约的授权能大幅减少攻击面。

按风险等级分隔钱包

至少维护两个钱包：用于日常交互和铸造的"热"钱包（仅充入你愿意损失的金额），以及用于存储有价值长期持有资产的"冷"钱包。切勿将冷存储钱包连接到不熟悉的 dApp。这种隔离方式在出现问题时能限制损失范围。

如果你已成为攻击目标，该怎么做

立即撤销权限。如果你签署了可疑交易，请立即前往 Revoke.cash 或同类工具，撤销与恶意合约相关的所有授权，以防更多资产被盗。速度至关重要——某些 drainer 合约是自动化的，可在几秒内清空资产。

将剩余资产转移到干净的钱包。如果钱包已被入侵，请将剩余的 NFT 和代币转移到从未暴露过的全新钱包地址。请从同样干净的设备上执行此操作——如果你点击了恶意链接，请先运行防病毒扫描。

向交易市场举报。向 OpenSea、Magic Eden 和 Getgems 等平台举报欺诈系列或被入侵的账号。大多数主要市场都有标记和下架仿冒系列的流程。

警告社区。在相关 Discord 服务器、Reddit 版块和 X 话题中发布清晰、客观的事件说明，包含诈骗合约地址、域名或攻击者的钱包地址。社区警告具有实际效果，往往能在平台响应之前阻止数十甚至数百名其他用户受害。

结语

NFT 诈骗靠兴奋、紧迫感和信息不对称而盛行。最佳防御是技术保障（硬件钱包、定期撤销授权、按风险等级分隔钱包）与对任何承诺轻松获利或施压仓促行事之事物保持健康怀疑的有机结合。

Ethereum、TON、Solana 及其他链上的 NFT 生态系统为收藏家和创作者提供了真正令人振奋的可能性。保护你在该生态系统中的参与，意味着将安全视为一种持续的实践，而非一次性配置。为验证工具添加书签，签名前先验证，并记住：任何合法项目都不会要求提供你的助记词。