Approve 与无限授权
攻击者诱导用户授权恶意 spender,随后无需再次签名即可转走对应 Token。无限额度授权尤其危险。
Phishing & Approval Defense
钓鱼签名与恶意授权防护指南
Web3 资产被盗并不总是源于私钥泄露。更多时候,用户在假空投、假客服、假 DApp 或伪装交易页面中签下了恶意授权,让攻击者在之后转走资产。
高危签名类型
Permit 与离线签名
用户可能以为没有发起链上交易就安全,但 Permit 类签名可被攻击者之后提交上链完成授权。
NFT 全局授权
setApprovalForAll 可让攻击者转移整个系列或多个 NFT。假交易市场和假空投页面常利用这一点。
防护流程
- 确认域名:从官方渠道进入 DApp,不从私信、搜索广告、短链或陌生二维码进入。
- 读懂签名:看到 Approve、Permit、setApprovalForAll、Delegate、Upgrade 等词时暂停确认。
- 限制额度:尽量按实际使用金额授权,不默认选择 unlimited approval。
- 分离钱包:主资产钱包、交互钱包、测试钱包分开使用,避免一次钓鱼影响全部资产。
- 定期清理:检查 Token 与 NFT 授权,撤销不再使用或来源不明的 spender。
- 建立应急:发现异常授权后先撤销、转移剩余资产、保留交易哈希,再做链上取证。
用户自查清单
- 最近是否领取过空投、白名单、质押奖励或 NFT 铸造资格。
- 是否通过搜索广告、社群链接或客服私信进入网页。
- 钱包是否出现陌生授权、异常 Token 转出或 NFT 被挂单。
- 是否在多个链上复用了同一个高价值钱包。
机构防护建议
项目方应对前端域名、依赖包、签名文案、合约权限和社群公告建立变更审核。重要活动上线前,应准备假站监控、用户提醒模板、授权清理入口和安全事件响应流程。