某空投合约:永不过期;
某未知合约:可花费任意代币。
“把这些全部Revoke,然后按需小额重新批准。”张三说,“以后凡是无限额,一律改为**交易所需额度+5%**缓冲。”
四、签名安全:别在看不懂的签名上“闭眼确认”
只签‘明确动作’:swap、approve(指定额度)、cancel。
警惕 Permit/SetApprovalForAll:这些往往给对方花钱/转NFT的许可;
模拟交易:尽量使用带模拟/仿真的钱包或前端;
域名与链ID核对:钓鱼站的 UI 可以一模一样,域名不会。
五、一次“陷阱空投”的自救
深夜,钱包里凭空多了几个奇怪代币,界面提示“可领取额外奖励”。一世差点手痒去点。
张三提醒:“别点、别授权、别卖**。很多‘空投’本身就是诱饵,合约里埋了毒——你一卖或一签,它就把你钱包掏空。”
他让一世:
标记可疑代币(自定义标签“DoNotTouch”);
过滤其交易显示(有些钱包支持屏蔽);
定期Revoke所有新近授权;
留证:把代币合约与来源地址记进黑名单。
六、设备与浏览器卫生
浏览器:单独“交易配置文件”,仅装必要扩展;
系统:定期更新;禁止从不明渠道装应用;
网络:敏感操作优先有线或自家网络;公共WIFI不签名;
反钓鱼:交易所反钓鱼码;邮箱二次验证;短信不点链接。
爽点来得悄无声息:几天后,群里有人被“空投奖励”吸走整仓;一世的“DoNotTouch”标签安安静静躺在那儿——像一盏他自己点亮的路灯。