在加密資產被盜的案件裡,有一個反直覺的事實:很多人的錢包被掏空,私鑰和助記詞其實從未泄露。錢卻被"合法地"轉走了——問題往往出在一次被誘導的"授權"上。
據德爾泰(Delta & Capital)技術團隊在大量被盜復盤中的觀察,絕大多數以太坊、波場(Tron)等鏈上的代幣被盜,都不是因為私鑰外泄,而是因為"授權被濫用"。下面用盡量通俗的話,講清這類攻擊怎麼發生、為什麼防不勝防,以及普通人如何自保。
一、被盜不等於私鑰泄露:先搞懂"授權"是什麼
在以太坊、波場這類鏈上,你錢包裡的 USDT 和各種代幣,本質上是某個合約裡記着的一行餘額。當你在一個 DApp(去中心化應用)裡點"授權(Approve)"時,相當于告訴代幣合約一句話:"允許某個地址,在一定額度內動用我的幣。"
這個機制本身是 DeFi 正常運轉的基礎——你不授權,交易、兌換、質押這些功能就沒法動你的幣。風險在於:一旦你把授權批給了一個惡意地址,對方就能在你毫不知情的情況下,隨時把額度內的幣劃走,全程不需要你的私鑰,也不需要你再確認。
這就是為什麼德爾泰在復盤被盜案件時,第一件事往往是拉出受害地址的全部授權記錄——答案大多藏在那裡。
二、最常見的三類授權陷阱
德爾泰在反詐與協查實踐中發現,錢包被掏空的案子,絕大多數逃不開下面三類:
- 無限額度授權。很多假空投、假 mint 網站,讓你點一個看似無害的按鈕,實際是讓你"無限授權"某個合約動用你的某種代幣。一旦確認,對方就能在任意時刻把你這種幣全部轉走。很多人授權時沒事、幾個月後突然被盜,正是因為這筆授權一直躺在鏈上。
- 離線簽名(Permit)盲簽。更隱蔽的一類是"只簽個名、不花手續費"的操作。你以為只是登錄或驗證,實際簽下的是一張"允許對方轉幣"的授權委託。因為不上鏈、不花 Gas,受害者往往毫無察覺。
- NFT 的批量授權(setApprovalForAll)。一次授權,等於把你整個 NFT 系列都交給對方支配。假冒的免費鑄造、空投領取頁面最愛用這一招。
這三類的共同點是:界面上看起來人畜無害,簽名內容裡卻暗藏"放權"。騙子要的不是你這一次的錢,而是一張能反覆掏空錢包的"長期通行證"。
三、為什麼這類攻擊"事後追"比"事前防"難得多
德爾泰必須坦誠地說:授權類盜竊一旦得手,追蹤處置的難度通常高於普通轉賬盜竊。原因在於:
- 這類團夥往往是自動化作业,授權一到手,腳本會在幾秒內把幣轉走,並迅速分散、跨鏈、混幣;
- 資金一旦進入混幣器或沒有實名(KYC)要求的渠道,鏈上可觸達的"落地點"就會急劇減少。
所以在授權攻擊上,最有價值的一句話是:"防",永遠優先于"追"。幾秒鐘的一次簽名檢查,勝過事後數月的奔波。
四、普通人的日常自保清單(建議收藏)
- 簽名前看清你在簽什麼:凡出現 Approve、Permit、setApprovalForAll 字樣,先確認對方可信,拒絕看不懂的"盲簽";
- 拒絕無限授權:能改成"按需額度"就改,用多少授權多少;
- 定期檢查並撤銷授權:用正規的授權管理工具,定期清理不再使用的授權;
- 大額資產單獨冷存:日常交互錢包和金庫錢包分開,交互錢包只放小額;
- 警惕不花 Gas 的簽名和"免費領取":免費的簽名,往往是最貴的陷阱。
五、已經懷疑中招,怎麼辦?
- 第一時間撤銷所有可疑授權,尤其是"無限額度"和 NFT 的批量授權;
- 立刻把剩餘資產轉移到一個全新的、從未交互過的安全地址;
- 完整固定證據:被盜交易哈希、可疑地址、釣魚網站 / 簽名記錄全部截圖留存;
- 第一時間向公安機關報案並保留回執——這是啟動司法程序、爭取協查的前提;
- 警惕一切"保證追回"的私信:先收高額定金、承諾百分之百的,幾乎都是衝着你"再被騙一次"來的。
六、小結
錢包被掏空,很多時候不是因為私鑰泄露,而是因為一次被誘導的授權簽名。看清簽名、拒絕無限授權、定期撤銷、大額冷存,就能擋掉絕大多數此類風險。在授權攻擊上,"防"永遠比"追"更有效。
七、關鍵概念速查
- 授權(Approve):允許某個地址在一定額度內動用你錢包裡某種代幣。是 DeFi 的基礎,也是授權類盜竊的入口。
- 離線簽名(Permit):用一個鏈下簽名完成授權,不上鏈、不花手續費,因而最具迷惑性。
- 批量授權(setApprovalForAll):一次性授權對方操作你整個 NFT 系列。
- 混幣器(Mixer):把多人資金混合再拆分轉出,用于切斷資金來源與去向的對應關係,會顯著增加追蹤難度。
八、常見問題(FAQ)
Q1:我私鑰沒泄露,USDT 卻被轉走了,是怎麼回事?
大概率是你曾給某個惡意合約批過授權。對方憑這次授權,就能在額度內轉走你的幣,全程不需要你的私鑰。
Q2:怎麼知道自己的錢包給哪些合約授過權?
可以用正規的授權管理工具查看並撤銷授權,尤其要留意"無限額度"的授權。
Q3:授權被盜的幣還能追回嗎?
取決于贓款是否進入有實名要求的交易所、是否經過混幣器。這類自動化盜取追蹤難度較高,因此"防"永遠優先于"追"。
內容支持:本文由德爾泰(Delta & Capital)技術團隊提供鏈上安全與反詐科普支持。德爾泰專注于區塊鏈數據分析、鏈上取證與 Web3 安全合規研究。本文為公益性反詐科普,不提供也不構成任何追回承諾,亦不替代法律程序。
風險與合規提示:本文為反詐與投資者風險教育內容,不構成投資建議,也不構成任何"保證追回""保證解凍"承諾,請理性看待並防范相關風險;資產被盜 / 被騙請第一時間通過合法途徑維權或找到專业機構,謹防假冒"追回""解凍"名義的二次詐騙。