| 名称 | 授权诈骗(Approval Scam) |
| 类型 | 智能合约欺诈 / Web3 安全威胁 |
| 核心风险 | 资产被盗 / 私钥泄露 |
| 主要目标链 | 以太坊、BSC、Polygon、Tron 等 EVM 兼容链 |
| 受害群体 | 初级用户、急功近利者、不验证合约者 |
| 防护等级 | 初级 - 需要主动学习和警惕 |
授权诈骗是什么?
授权诈骗是一种 Web3 特有的资产盗窃手段。黑客通过虚假网站、恶意合约或社工手段,骗取你向某个合约地址授予代币转账权限。一旦授权成功,黑客可以随时提取你钱包中该代币的全部余额,而不需要你的私钥或二次确认。
这与普通转账的核心区别在于:转账是一次性行为,而授权是赋予永久或临时的操作权限。一个授权可能被滥用多次,直到你手动撤销。
授权只是给了某个地址"查看并操作"你代币的许可证。无限额度授权等同于把钱包部分权限拱手相让。
诈骗工作原理
授权诈骗分三步骤:
- 诱导签名:受害者在虚假网站上连接钱包,看似在进行正常操作(如参与挖矿、Swap、质押),实际被欺骗签署一个授权交易。
- 权限激活:签署的授权被写入区块链,恶意合约获得了对受害者代币的转账权限。
- 自动提取:黑客的后端程序自动从受害者钱包扫走代币,通常在数分钟到数小时内完成。
整个过程对受害者是无感的——没有额外弹窗,没有二次验证,用户可能直到检查钱包余额才发现资产已失。
据 币安安全资讯 统计,授权类诈骗已成为 2026 年 Web3 用户损失的主要原因之一,超过 60% 的盗窃案例涉及未被正确撤销的授权。
常见诈骗手法
高收益挖矿骗局
虚假网站声称推出"年化 500% 的流动性挖矿",用户点击"参与挖矿",实际签署的是向恶意合约的无限授权。资金进入后立即被转走。
虚假空投领取
"你的钱包符合空投资格!点击领取 10000 代币"——这类链接常见于 Discord、Telegram 伪官方群。用户被引导到虚假网站,输入钱包地址、签署"验证"交易,实为授权。
假冒 Swap 交易所
伪造 Uniswap、PancakeSwap 的界面,用户输入金额后被欺骗授权 Token。整个界面看起来完全正常,但合约地址被替换。
Data 授权升级版
一些高级诈骗骗取 NFT 集合级授权(data approval),让黑客能转走钱包内的所有同系列 NFT,而不仅仅是单个代币。
撤销欺骗
黑客模拟 Revoke.cash 等撤销工具,用户以为在撤销旧授权,实际是在批准新的恶意授权。
防范指南与操作步骤
第一层防护:源头防范
- 只访问官方网址:将常用 DApp(Uniswap、Aave、OpenSea 等)的网址加入浏览器书签,不通过搜索引擎或陌生链接访问。
- 验证合约地址:在 Etherscan、BscScan 等区块浏览器上查询合约,确认部署者身份和审计报告。
- 检查 SSL 证书:访问网站时查看浏览器地址栏,确保有小锁图标且域名完全匹配。
- 谨慎点击链接:来自 Discord、Telegram、Twitter DM 的链接 99% 是诈骗。即使显示官方标记也要验证账号创建日期和粉丝互动度。
- 拒绝高收益承诺:年化 300% 的挖矿项目在链上市场不存在。如果收益看起来太美好,99% 是骗局。
第二层防护:授权管理
- 最小化授权额度:大多数 DApp 默认请求无限授权。手动修改为实际需要的金额(如 Swap 时只授权单次交易额)。
- 定期审计授权:每月访问 Revoke.cash、Approve.xyz 等工具,检查你钱包的所有授权记录,撤销不认识的合约和长时间未使用的授权。
- 使用硬件钱包:Ledger、Trezor 等硬件钱包需要物理确认授权交易,防止后台偷偷调用。
- 采用多链钱包分离策略:不在一个钱包集中所有资产。高频交易用热钱包(授权风险集中),大额存储用专用冷钱包(零授权)。
第三层防护:识别技巧
- 看交易确认窗口细节:MetaMask 等钱包在签署前会显示目标合约地址。如果地址看起来随机或不符合项目风格,停止操作。
- 审查授权权限类型:不同授权有不同权限字段(allowance、transferFrom、setApprovalForAll)。学会识别合法与恶意授权的函数签名差异。
- 检查 Gas 费异常:诈骗合约有时会设置极高的 Gas 费用或隐藏的转账逻辑。在签署前查看预估费用,异常高就放弃。
钱包授权管理对比
| 钱包 | 授权查看位置 | 撤销便利度 | 硬件支持 | 备注 |
| MetaMask | 主菜单 → Connected Sites / 需第三方工具 | 较差,需跳转 Etherscan 或专门工具 | 支持 | 移动端体验较差 |
| imToken | 我的 → Token 授权管理 | 良好,内置授权撤销按钮 | 支持 | 中文界面友好 |
| TokenPocket | 资产 → 授权管理 | 良好,一键撤销 | 支持 | 多链支持完整 |
| Ledger Live | 硬件设备 → 账户 → 历史记录 | 优秀,物理设备验证 | 仅硬件钱包 | 最安全但操作最复杂 |
| Trust Wallet | 需要第三方工具辅助 | 较差 | 支持 | 官方授权管理功能缺失 |
建议操作:如果你使用 MetaMask,配合 Revoke.cash 工具查看和撤销授权。如果用 imToken 或 TokenPocket,直接在钱包内管理,更方便快捷。
撤销授权工具对比
| 工具 | 支持链 | 界面友好度 | 费用 | 推荐度 |
| Revoke.cash | 30+ EVM 链 | 极佳,直观列表 | 仅 Gas 费 | ⭐⭐⭐⭐⭐ |
| Approve.xyz | Ethereum / Polygon / BSC | 良好 | 仅 Gas 费 | ⭐⭐⭐⭐ |
| Etherscan | Ethereum 为主 | 中等,需懂技术 | 仅 Gas 费 | ⭐⭐⭐ |
| BscScan | BSC | 中等 | 仅 Gas 费 | ⭐⭐⭐ |
实操建议:使用 Revoke.cash 是最佳方案——它支持多链、界面清晰、安全可信(开源项目)。访问网址时必须确保是 revoke.cash(注意没有 www),避免被钓鱼网站欺骗。
如何在 Revoke.cash 撤销授权(5 步)
- 访问
revoke.cash,连接你的钱包。 - 选择对应的区块链(Ethereum、BSC、Polygon 等)。
- 系统自动加载你的所有授权记录,按代币和授权地址分类。
- 点击可疑或不认识的授权旁的"Revoke"按钮。
- MetaMask 弹出确认窗口,审核交易细节后点击"Confirm"。交易上链后授权即被撤销。
成本提示:每次撤销需要支付 Gas 费(Ethereum 上通常 5-30 USDT,BSC 上 0.1-1 USDT)。如果有多个可疑授权,可批量撤销以节省 Gas。
真实案例分析:2 小时损失 1000 USDT
案例背景
受害者 A 是一名交易经验 6 个月的散户。在 Telegram 群看到"新币 XYZ 已在 PancakeSwap 上线,早期参与可获 50% 空投"的消息。
事件时间线
- 14:35 收到链接,点击进入 xyz-dapp.com(与官方 xyz-token.com 非常相似)
- 14:40 连接 Trust Wallet,看到"领取空投"按钮
- 14:42 点击"领取",MetaMask 弹出交易确认。用户匆匆扫了一眼合约地址(0xabc... 看起来很正常),点击"签署"
- 14:43 交易上链,用户看到 1000 USDT 从钱包消失
- 15:00 用户意识到被骗,检查 Etherscan,发现一个从未见过的合约已获得了他 USDT 的无限授权
损失分析
| 被盗资产 | 1000 USDT |
| 损失渠道 | 虚假网站诱导的无限授权 |
| 黑客手法 | 合约地址高度伪造、域名一字之差、社交媒体刷屏 |
| 用户错误 | 不验证合约、匆忙签署、未检查授权记录 |
| 追回可能性 | 极低(资金已转入混币器) |
事后补救
用户立即使用 Revoke.cash 撤销了该恶意授权,但资金已无法追回——黑客的自动提取脚本运行速度极快,通常在授权激活后秒级内完成扫荡。
这起案例体现了授权诈骗的三大特征:(1)域名高度相似,需要逐字验证;(2)社交媒体造势,利用 FOMO 心理;(3)授权后秒级失窃,发现时已晚。防范的唯一方式就是源头杜绝——在签署前就要识别风险。
被骗后的应急措施
关键提示:授权诈骗后的追回率几乎为零。以下步骤是为了防止二次被骗。
立即行动(5 分钟内)
- 停止操作:不要继续与任何陌生网站或合约交互。
- 检查钱包:访问 Etherscan、BscScan 等区块浏览器,查看你的地址历史,确认失窃资产流向。
- 撤销所有授权:使用 Revoke.cash 立即撤销该恶意合约和其他可疑授权,防止后续继续被盗。
- 转移剩余资产:如果钱包中还有其他代币,立即转到新的冷钱包地址(Ledger 或新创建的地址),避免该钱包继续成为目标。
后续行动(24 小时内)
- 报告诈骗网站:向 OpenPhishing 等安全数据库举报虚假网址,帮助其他用户避坑。
- 检查硬盘安全:如果你的私钥或助记词曾在该电脑输入过,运行杀毒软件排查病毒和键盘记录器。
- 联系交易所:如果黑客的地址在交易所有账户,可尝试向交易所举报并要求冻结;成功率低但值得尝试。
心理建设
授权诈骗的资金追回成功率接近 0%。黑客通常会立即将代币转入混币器(如 Tornado Cash)或跨链转移,让链上追踪变得不可能。与其幻想追回,不如专注于后续防范。
不要再次被骗:被骗后,你的地址会被加入黑客的"已确认受害名单",接下来可能收到更多诈骗链接或假冒追回骗局(声称可以帮你追回资金但需要先支付费用)。绝对不要相信任何"资金追回服务"。
常见问题
问:授权诈骗和私钥泄露有什么区别?
答:私钥泄露意味着黑客完全控制你的钱包,可以转走所有资产且用户无法阻止。授权诈骗只是黑客获得了特定代币的转账权限,其他资产和 NFT 仍然安全(除非也被单独授权过)。一旦撤销授权,黑客无法再盗取该代币。
问:为什么撤销授权后资产不会自动回来?
答:撤销授权只是收回了对方的操作权限,不能撤销已经完成的转账交易。就像你撤销了某个人的钥匙权限,但他已经拿走的东西不会自己飞回来一样。资金的流向是不可逆的。
问:硬件钱包真的能完全防止授权诈骗吗?
答:硬件钱包(Ledger、Trezor)能显著降低风险,因为每次授权都需要你在物理设备上按按钮确认,给了你额外的反思机会。但如果你在设备屏幕上也看不清细节,仍然可能被骗。硬件钱包提高的是意识门槛,不是绝对防护。
问:Data 授权和普通授权有什么区别?
答:普通授权通常是代币级的(approve 单个 Token),而 Data 授权是集合级的(setApprovalForAll)。一个 Data 授权可能让黑客获得你钱包中该 NFT 集合的所有 NFT 转账权限,威力更大。
问:可以同时授权给多个地址吗?应该怎么做?
答:可以,这也是不少黑客的套路——同时向多个恶意合约授权,分散风险。防范方法就是定期审计你的授权列表,尤其是新注册的钱包或频繁交易的账户。
问:旧的授权记录会自动过期吗?
答:不会。区块链上的授权是永久的,除非你手动撤销。即使某个 DApp 关闭了,它的授权记录仍然存在,可能被转售给黑客或被挖掘利用。这也是定期审计的重要原因。
最佳实践清单
每日检查(5 分钟)
- 确认访问的网址是完全正确的官方域名
- 检查钱包余额是否异常变化
- 不点击陌生群组或 DM 中的链接
每周检查(15 分钟)
- 访问 Revoke.