Web3骗局揭秘-授权钓鱼 (Malicious Approvals)

摘要

● 介绍了授权钓鱼常见的利用场景，技术原理和用户如何识别授权钓鱼

什么是授权钓鱼

授权钓鱼是web3用户最常见、最危险，受害人数最多的骗局。

在web3中，用户与合约交互时，通常需要先进行签名授权，例如：

● 批准某个 DApp 使用你钱包中的代币（ERC20 Approve）

● 授权合约转移你的 NFT（setApprovalForAll）

● 或者进行一些“看起来无害”的链上签名（如登录/验证等）

“授权钓鱼”就是利用这些授权动作，诱导你给恶意合约授予“可以转走你资产”的权限。

核心特点

1. 诱导用户授权敏感权限

● 骗子通过伪装成正常的 DApp、空投、NFT 项目等，诱导你点击授权按钮。实质是让你对恶意合约执行 approve（代币授权）或 setApprovalForAll（NFT 授权）等操作。

2. 你没转账，资产却被转走

● 用户没有主动发起转账，只是点了个“确认”。但骗子拿到授权后，可随时调用链上函数转出你钱包的资产。不需要你再次确认或签名。

3. 授权额度高，并且往往是"无限"

● 常见代码中会设置授权额度为 2^256 - 1（即最大整数）。意味着骗子合约永久、无限次可操作你的资产。

4. 合约只有授权功能

● 骗子的合约是“被动”的，不直接盗币；一切都建立在你“自愿授权”的前提下，绕过传统的反诈骗警觉性。

5. 签名信息存在误导性

● 用户看到钱包弹窗授权时，签名内容复杂或被简化，让用户无法从视觉上直观分析出签名内容，多数人认为“只是授权”，很容易“习惯性点击确认”，但其实风险巨大。

常见场景

1. 假空投 / 假NFT铸造页面

● 页面标题吸引人，比如“限时空投”、“免费Mint”，点击按钮后弹出授权窗口，请求你“Approve” USDT 或 “SetApprovalForAll” 授权你的 NFT，实际是给骗子合约授权，之后他们可以在后台随时将资产转走。

2. 假 DEX / 假交易平台

● 通过bitget wallet钱包连接假DEX，例如“兑换代币”功能，兑换 USDC → 某新币。实际操作中，假DEX唤醒钱包只让你“Approve USDC”而非真正发起交易，骗子拿到授权后，立即通过恶意合约转走你的 USDC。

3. 游戏 / Staking / Farming 项目诱导授权

● 用户被引导在 DeFi 或 GameFi 页面上进行“质押”、“开始游戏”，页面让你 approve 某个代币/NFT，其实这个项目本身就是空壳，部署了恶意合约，骗取授权后自动盗走资产

4. 黑客投毒正常项目的前端

● 黑客入侵某个知名项目的网站或DNS劫持，注入恶意脚本，悄悄替换成授权钓鱼合约，用户以为自己在和“老项目”交互，实际是把授权给了黑客。

5. 假客服 / 假帮助文档

● 用户在社群中遇到“技术支持”或“官方客服”，对方发送一个链接，诱导你进行某种操作来“解决问题”，该链接页面引导你授权某资产合约，实则是陷阱

核心原理

授权钓鱼（Malicious Approvals）的核心原理可以用一句话总结：

利用用户对 Web3 授权机制的不了解，通过“诱导授权”，骗取合约控制资产的权限，最终在用户不知情的情况下盗走资产。

技术原理

常见的授权钓鱼技术操作链如下：

1. 骗子部署恶意合约（但不主动转账）；

2. 引导用户对其资产 approve 或 setApprovalForAll；

3. 用户授权成功，资产仍在钱包中，暂无损失；

4. 骗子随后通过 transferFrom() 等函数，直接调用链上逻辑把资产转走；

5. 由于合约已被授权，这种调用是“合法”的，不会被区块链或钱包拦截。

Bitget Wallet安全防护措施

● 钓鱼网站提示：在用户访问潜在的钓鱼网站时，钱包会弹出安全提示，警告用户该网站存在风险，防止用户在不知情的情况下进行授权操作。

● 内置合约检测风险检测：用户可以使用钱包内置的授权检查工具，主动检测并撤销高风险或不再需要的授权，防止资产被盗。

用户安全防护最佳实践

Bitget wallet用户可以从以下几个方面去识别是否被诱导

● DApp 页面无实际功能，只让你“授权”

● 授权的是你重要资产（USDT、ETH、NFT）

● 授权额度为 无限额度（approve(uint256 max)）

● 钱包签名弹窗中提示 SetApprovalForAll: true

● 页面样式很粗糙，或仿冒知名项目界面

● 不要从Telegram，Twitter评论区等社交媒体上轻易点击链接并授权

结语：不懂就别签，签前先看清；不是交易也弹窗，大概率是陷阱

对于普通用户来说，对合约授权应该做到尽可能的仔细，用户安全意识应该具备授权==转账的思维，对授权合约操作仔细检查并慎重。