種子短語和錢包騙局

📖 10 最小閱讀量

✍️ 撰寫及審閱者 Karel Havlíček已更新 2026🛡️ 編輯獨立

Quick Answer

自我託管的承諾簡單而有力：持有自己的金鑰，任何交易所都不會凍結或丟失您的代幣。但它只是轉移了風險，而不是消除了風險。銀行金庫不見了；取而代之的是一個十二或二十四個字的短語，整個騙子行業的存在就是為了誘騙您透露它或簽署它。大多數自我保管損失並不是複雜的駭客攻擊。他們是人，聰明的人，被社會工程改造，交出控制一切的秘密。

⚠️ 鑰匙就是房子

您的助記詞不像可以重設的密碼。它更像是你房子的契約、鑰匙和備用鑰匙都融合在一張紙上，在地球上的任何地方都可以使用。任何讀過它的人都會立即無聲地擁有這棟房子。騙子不會撬鎖；他們說服您大聲朗讀契約，或簽署一份文件，在您認為自己正在做其他事情時悄悄地轉讓所有權。

防止大多數損失的唯一規則

一切都從這裡開始：您的種子短語（恢復短語）永遠不應該被輸入到任何網站、應用程式、聊天、表格或「支援」工具中，並且永遠不應該被拍照、透過電子郵件或儲存在雲端。任何合法的錢包、交易所或支援代理都不會以任何理由要求它。它的存在只是為了在您控制的設備上恢復您的錢包。如果任何東西或任何人要求您輸入或分享它，那就是騙局，句號。內化這項單一規則，您就可以擊敗大多數自我保管盜竊行為。

假錢包支援和種子短語網絡釣魚

經典的攻擊：你在論壇、Discord 或應用程式商店評論中發布問題，然後「支援代理」向你發送訊息，很有幫助，看起來很官方，很緊急。他們會將您引導至虛假的「錢包驗證」或「同步」頁面，要求您輸入恢復短語，或直接詢問。其他人則運行假錢包應用程式和瀏覽器擴充程序，在設定時捕獲該短語，或冒充 MetaMask、Ledger、Trust Wallet 等網路釣魚網站。一旦你的短語觸及他們的螢幕，你的錢包就會自動清空，通常在幾秒鐘之內。

錢包流失和惡意批准

更微妙的威脅根本不需要您的助記詞。將你的錢包連接到惡意網站、假空投、假薄荷、假 DeFi 應用程序，並批准看似例行公事但實際上授予攻擊者移動你的代幣的權限的交易。「錢包耗盡」套件使這成為一種交鑰匙犯罪。您沒有透露您的金鑰；您簽署了存取權限。這就是為什麼你必須閱讀你簽署的內容：對代幣「無限制」支出的批准，或者奇怪的簽名請求，就是耗盡錢包的方式。如有疑問，請拒絕。

地址中毒和剪貼簿惡意軟體

還有兩個安靜的。 Address poisoning: the attacker sends you a tiny transaction from an address that looks almost identical to one you use, hoping you copy it from your history for your next transfer and send funds to them.. The defense for both is the same discipline: never trust a copied address blindly, verify the first and last several characters every time, and send a tiny test amount first for large transfers.

自我託管安全堆疊

將其整合為習慣。使用硬體錢包儲存有意義的金額，以便在惡意軟體無法到達的裝置上進行簽署。僅向製造商購買硬件，切勿購買二手硬件。將您的助記詞寫在紙或金屬上，離線存儲，切勿將其數位化。逐個字元驗證每個接收地址。在簽名之前閱讀每筆交易和批准，並定期撤銷舊的令牌批准。為官方錢包網站添加書籤，而不是搜尋它們。自我監護是安全的，但它讓你更有安全感，而這些習慣就是工作。

🔑 重點

自我託管將風險從交易所轉移到您的助記詞上，而詐騙者專門竊取它。牢不可破的規則：永遠不要在任何地方輸入或分享您的恢復短語，任何合法服務都不會要求這樣做。除了網路釣魚之外，錢包流失者還透過惡意交易批准（讀取您簽署的內容；拒絕無限批准）來竊取錢包，同時地址中毒和剪貼簿惡意軟體交換地址（驗證每個字符，發送測試金額）。安全堆疊：直接購買的硬體錢包、離線種子儲存、仔細簽名、撤銷批准、添加官方網站書籤。