审批骗局有多危险？为什么这么多人上当受骗？

从信息互联网（Web2）到价值互联网（Web3）的转变引发了人们拥有和转移资产方式的革命。然而，区块链技术的去中心化和不可逆转的性质也使其成为复杂形式的网络犯罪的沃土。 Tan Phat Digital团队分析认为，“Approval Scam”已成为最危险的攻击方式之一，直接针对智能合约的核心运行机制。与传统的基于私钥侵占的攻击不同，Approval Scam 通过代币的标准化应用程序编程接口 (API) 来利用用户共识，使得财产所有权在一次确认后就变得脆弱。

区块链中审批机制的技术基础

要理解 Approval Scam 的本质，有必要分析当前主导以太坊生态系统的代币标准和 EVM（以太坊虚拟机）兼容链。这些标准规范了数字资产如何相互交互以及如何与去中心化应用程序 (dApp) 交互。

ERC-20 标准和审批功能

ERC-20 是可替代代币（fungible token）最流行的标准。该标准的六个强制功能之一是批准（地址支出者，uint256 金额）。该功能允许钱包所有者将从钱包中提取一定数量代币的权利委托给另一个地址（通常是 dApp 智能合约）。

这种机制称为“Allowance”。当用户在像 Uniswap 这样的去中心化交易所（DEX）上进行交易时，他们必须授权 Uniswap 的合约从他们的钱包中取出代币来执行交换。这带来了最大的便利，但也带来了一个安全漏洞：如果批准的合约是恶意的，它可以随时提取用户资金，而无需钱包持有者的进一步干预。

ERC-721和ERC-1155在审批机制上的差异

虽然ERC-20处理可替代代币，但ERC-721和ERC-1155管理不可替代代币（NFT）和多用途代币。以下是其审批机制的详细信息：

ERC-721 标准（单一 NFT）：使用典型的审批函数 setApprovalForAll(operator,roved)。此命令会影响用户钱包中属于该集合的所有 NFT。
ERC-1155 标准（混合 FT 和 NFT）：还可以使用 setApprovalForAll(operator,approved) 函数。然而，影响范围更广泛，包括该合约涵盖的所有类型的代币（包括 NFT 和常规代币）。

对于 NFT，诈骗者经常引诱受害者签署 setApprovalForAll 函数。一旦签名，攻击者就有权“清除”收藏中所有有价值的物品，而不必批准每一件物品。这是OpenSea等平台上大规模NFT盗窃的基础。

变种机制：EIP-2612 Permit和Permit2

Web3的兴起导致需要降低gas成本和优化用户体验，从而催生了链上（无gas）审批方法。

EIP-2612：链下签名Revolution

EIP-2612引入了permit()函数，允许用户通过链下数字签名而不是实际的区块链交易来批准支出限制。用户签署一条结构化消息，其中包括所有者地址、支出者地址、代币数量、随机数和有效期。诈骗者只需收集这个签名并亲自提交到区块链即可激活提取资金的权利。这是非常危险的，因为用户经常错误地认为他们只是“登录”或“验证”网站。

Permit2：Uniswap 的审批管理中心

Permit2 是一个统一所有 ERC-20 代币审批的协议。用户只需批准一次 Permit2 合约。虽然它具有自动到期功能，但它造成了风险集中。如果诈骗者捕获 Permit2 消息，他们可以撤回用户之前批准的 Permit2 的任何令牌。

查看更多：智能合约审计是什么？为什么区块链项目需要安全审计

分析审批骗局的危险

没有密钥就损失金钱

在传统黑客攻击中，用户会丢失助记词或私钥。通过批准骗局，用户的钱包理论上仍然安全，但资产仍然通过签署批准令“合法”剥夺。窃贼无需干预钱包的源代码；他们只需要受害者的错误同意。

默默分散并等待机会

批准令通常具有无限价值（无限制批准）。骗子不一定会立即取款。他们可以等到受害者向钱包添加更多资金或等待代币价值增加后再执行拨款命令。这种“沉默”使得受害者很难察觉，直到资产完全消失。

不可逆转且难以追踪

每笔区块链交易一旦确认，就无法撤消。当受害者意识到自己授权了恶意合约时，资产往往已经通过混合器或跨链桥转移，以抹去痕迹。

为什么这么多用户落入陷阱：心理和操纵技术

通过网络钓鱼和空投进行复杂伪装

诈骗者经常引诱受害者访问虚假网站，界面与信誉良好的平台。 “领取空投”按钮本质上是对攻击者钱包的批准或许可请求。

FOMO效应和错误的紧迫性

害怕错过（FOMO）会导致用户跳过安全检查。诈骗者会制作“仅剩5分钟领取奖励”等紧急通知，迫使受害者在没有仔细阅读内容的情况下点击钱包上的“确认”。

电子钱包界面的限制

许多电子钱包经常以令人困惑的字符串形式显示批准请求，导致用户（尤其是新用户）将签名确认视为接受使用条款一样的正常技术程序。传统网络应用程序。

越南数字资产欺诈现状

越南目前是亚太地区最大的加密资产市场之一，仅次于印度和韩国，排名第三，预计 2024-2025 年交易额为 220-2300 亿美元。然而，这也伴随着巨大的欺诈风险。仅 2024 年，越南因网络欺诈造成的总损失预计将达到 18.9 万亿越南盾。

典型案例及操作方法

2025年11月底，岘港市破获一起与“幽灵”TOSI项目相关的令人震惊的案件。该团伙已从全国 8,000 多名受害者那里挪用了约 900 亿越南盾。以下是识别特征：

多层次转型模型：每月 3% 至 22% 的异常高奖金，以吸引新参与者。
国际冒充：给日本技术贴标签或准备在币安等主要交易所上市，制造虚假信任。
复杂的技术干预：编程将个人电子钱包代码附加到系统中，导致投资者的钱直接进入欺诈者的口袋，而不是项目的公共钱包。
抹掉专业痕迹：当新用户数量减少时，他们会以“维护”或“黑客攻击”为理由关闭网站，然后创建一个新项目继续循环。

2026 年新法律框架

自2026年1月1日起，《数字技术产业法》正式生效，首次将数字资产纳入越南法律范围。特别是，从2026年1月20日起，越南将根据第05/2025/NQ-CP号决议，开始试点接受交易加密资产的市场组织的许可申请。想要参与的企业必须满足：

注册资本至少为10万亿越南盾。
注册资本中至少65%由组织提供，包括商业银行或证券公司的参与。
技术系统和风险管理流程必须经过严格审查

2024-2025 年全球 Drainer 市场报告

网络犯罪分子通过“钱包 Drainer 即服务”模式日益专业化。到 2025 年，尽管钱包提款损失的绝对值趋于下降，但冒充诈骗的增长却创下了 1400% 的纪录。预计 2025 年全球加密货币骗局挪用的资金总额将达到 14 至 170 亿美元。

Inferno Drainer 等组织仍保持主导地位，其攻击市场份额约为 40-45%，它们使用复杂的脚本来冒充 Seaport 和 WalletConnect 等流行协议。

链上分析：监管资产追踪

Tan Phat Digital表示，链上数据分析是对抗犯罪分子的重要武器。调查过程通常包括 5 个步骤：

建立锚点：识别受害者钱包地址和恶意审批交易哈希。
流向追踪：通过中介钱包（Peel Chain）或跨链桥追踪资金。
识别和标签：使用诸如MistTrack 识别属于中心化交易所 (CEX) 的钱包。
风险评估：分析攻击者行为以查找真实身份接触点。
文档和协调：向当局和交易所准备报告以请求资产冻结。

预防和安全策略多层

在Web3领域，“预防”总是比“治疗”更有效。 Tan Phat Digital建议用户采取以下措施：

检查并撤销审批权限（Revoke）

用户应定期使用Revoke.cash等工具查看有权花钱的合约列表并执行Revoke命令立即。还建议使用Rabby Wallet，因为它能够对危险的批准请求提供预警。

“零信任”规则

确切网址：绝对不要点击搜索广告中的链接。请务必仔细检查域名。
仔细阅读签名顺序：当钱包显示关键字“允许”、“批准”或“设置批准全部”时，请停止以控制风险。
限额：在批准信誉良好的 dApp 时，仅授权交易正确数量的代币，而不是选择“否”

投资形式及相关风险

新投资者需要清楚了解流行的形式，以避免陷入高利率陷阱：

短期交易（Trading）：基于价格的快速波动。由于 FOMO 心态，风险非常高。
长期投资（HODLing）：在安全钱包（冷钱包）中购买并持有资产。来自市场的平均风险。
质押/借贷：通过存入资产获得利息。与智能合约错误相关的风险。
硬币开采（采矿）：投资硬件以获得奖励。运营成本和设备磨损风险。

案例研究典型审批诈骗和 Web3 欺诈（2021-2026）

以下是 Tan Phat Digital 对最典型案例的总结，可帮助投资者识别现实生活中的欺诈场景：

TOSI 案例（岘港，2025 年）： 受试者创建了一个“幽灵”项目，雇用程序员在币安智能链上创建 TOSI 币。最高明的伎俩是编写将个人钱包代码附加到用户交易系统的功能，导致投资资金直接进入犯罪分子的口袋。超过 8,000 名受害者的损失约为 900 亿越南盾。
Ledger Connect Kit 供应链攻击（2023 年 12 月）：攻击者接管了 Ledger 员工的 NPM 帐户，将恶意代码插入 Connect Kit 库版本 1.1.5 至 1.1.7。当用户将钱包连接到任何使用该库的 dApp 时，资金将被提取到黑客的钱包（与 Angel Drainer 相关）。几个小时内造成约 600,000 美元的损失。
Trust Wallet Chrome 扩展程序漏洞（2025 年 12 月）：针对 Chrome 浏览器上的 2.68 版更新的黑客攻击导致约 700 万美元被盗。据信，该问题源于 Chrome Web Store API 密钥的泄露，使得骗子能够将恶意版本推送到应用商店。
Monkey Drainer - 大规模 NFT 网络钓鱼（2022-2023）：该组织使用近 2,000 个冒充著名 NFT 项目的域名来诱骗用户签署恶意 signTypedData 命令。总损失估计达1300万美元，超过7000个NFT被盗，其中包括CryptoPunks和Otherside等高价值资产。
Matrix Chain（MTC）案例（越南，2025年）：跨国诈骗线路以超额利润为承诺，诱骗参与者投资MTC虚拟货币。同奈省警方的一个为期 200 天的项目摧毁了该网络，记录了非法筹集的资金近 10 万亿越南盾。
Inferno Drainer 和 Discord Trap（2025 年 1 月）：攻击者在大型 Discord 服务器中冒充支持机器人（Collab.Land bot）。当用户点击“Let's go”验证身份时，他们会被重定向到一个钓鱼网站，该网站需要签署无限的批准命令，导致所有钱包资产丢失。
超级骗局 Paynet Coin (PAYN) / FMCPAY (2025)： 一组主体建立了 FMCPAY 平台，创建 PAYN 币并宣传其可用于预订美国机票和酒店。本质上，这是一个挪用数十亿美元的多层金字塔模型。即使在地板塌陷后，他们仍然欺骗受害者支付更多的钱“聘请美国律师”来收回资金。
通过地址中毒盗窃 5000 万美元（2025 年）：这是 2025 年最大的单笔损失。坏人创建的钱包地址与受害者常用的钱包的第一个和最后一个字符相同，然后发送价值 0 美元的交易来“毒害”钱包历史记录。受害者主观复制该地址进行了价值5000万美元的实际交易。
Aurory NFT“Drainware”（2021）：钱包抓取恶意软件的最早示例之一。攻击者创建一个与真实 Aurory 项目非常相似的 DNS 域名。当用户按下“Mint NFT”按钮时，他们实质上签署了一份订单，允许恶意合约撤回所有资产。该事件导致 150 万美元和 70 个 NFT 瞬间蒸发。
“GitHub 能力测试”骗局（2025）：黑客冒充招聘人员，要求程序员从 GitHub 下载项目进行测试。这些项目包含恶意代码，一旦用户登录，就会自动识别操作系统来下载有效负载、控制计算机并窃取钱包审批信息。

常见问题 (FAQ)

以下是用户经常向 Tan Phat Digital 发送的与审批骗局相关的 10 个常见问题：

其他“批准”命令与“许可”订单有什么区别？ 批准是一项链上交易，需要您支付汽油费才能授予在合约上花钱的许可。与此同时，Permit (EIP-2612) 是一种链下数字签名，无需消耗 Gas 费用，但允许欺诈者稍后悄悄激活支出订单。
如果我不提供种子短语（钱包密码），坏人可以提取我的钱吗？ 可以。通过批准骗局，坏人不需要您的种子短语。他们只需要您签署恶意的Approve或Permit命令即可从您的钱包访问和提取资产。
我如何知道我是否批准了任何诈骗项目？使用筛选工具，例如Revoke.cash、Etherscan Approval检查器或 BSCScan 撤销。这些工具将列出有权使用您钱包中代币的所有地址。
“无限批准”有多危险？当您选择“无限”时，该 dApp 有权永久提取该代币的全部余额，直到您发出撤销订单。如果dApp被黑客攻击或者是欺诈项目，您的钱包将随时被消灭。
Uniswap 的 Permit2 协议会让钱包更安全吗？Permit2 提高了便利性，并具有自动批准到期功能。然而，它也会带来中心化风险：错误的 Permit2 签名可能会让不良行为者同时撤回您之前批准的多个代币。
我不小心签署了一个奇怪的请求，我应该立即做什么？您必须立即访问Revoke.cash来撤销该批准。如果可能，请立即将剩余资金转移到全新的钱包中，以确保安全。
为什么推荐使用Rabby Wallet来避免审批诈骗？与Metamask不同，Rabby Wallet具有内置安全扫描功能，当您即将签署恶意审批单或无限制审批单时，会显示清晰的警告。
到 2026 年，越南的虚拟货币欺诈行为是否会被定为犯罪？是的。随着《数字技术产业法》（2026年）和2025年最新判例法的出台，挪用加密资产的诈骗行为逐渐被纳入严格的刑事处罚框架。
什么是“停止-检查-保护”规则？这是黄金法则：停止（不要急于下单），检查（验证网址，检查命令内容标志）、保护（异常情况联系银行或交易所冻结资产）。
遭遇审批骗局后我能拿回我的钱吗？这非常困难，因为区块链无法撤销。但是，您应该向中心化交易所 (CEX) 和当局报告，以便他们可以使用 MistTrack 等工具进行链上追踪，并在资金转移到交易所时冻结资金。