授權釣魚到底是什麼?它是一種不需要偷你私鑰、就能把資產轉走的盜幣手法。攻擊者架一個看起來像官方的網站(常打著「限時空投」名號),誘導你連上錢包並簽署一筆交易。你以為在「領空投」,實際簽下的卻是「允許這個合約無限動用你的代幣」或「轉走你全部 NFT」的授權。授權一旦生效,對方就能在你毫不知情下把資產搬空。整個過程,你的私鑰和助記詞從沒外洩。
為什麼私鑰沒外洩也會中招?因為盜竊發生在「簽名」這一層,不是「鑰匙」這一層。在鏈上做任何操作都要用私鑰簽名授權,但你的錢包通常不會把私鑰本身交出去,而是讓私鑰在本地簽好一筆指令再送出。問題在於那筆指令的內容——它可能是無害的轉帳,也可能是危險的無限授權。攻擊者不需要你的鑰匙,只要騙到你「同意簽」一筆危險指令就夠了。這也是為什麼「保管好私鑰」只是基本,「看懂每一次簽名」才是真正的防線。
怎麼分辨一筆簽名安不安全?看三件事。第一,類型:是單純「轉帳」還是「授權(approve / setApprovalForAll)」?授權類要特別小心。第二,額度:授權的數量是一個具體、合理的數字,還是「無限(unlimited)」?無限授權是最大的紅旗。第三,對象:要授權的合約地址你認得嗎?是你正在用的那個正當協議嗎?只要這三點有任何一個你看不懂或覺得不對勁,就取消。多花十秒看清楚,勝過事後追不回的損失。
防護清單,五條照做。一、簽名前一定看內容,分清「轉帳」與「授權」,看到無限授權先取消。二、永遠記得正規領空投不需要你簽授權、更不會要助記詞。三、定期用授權管理工具檢查並撤銷舊的、可疑的授權。四、大額資產放冷錢包,用硬體錢包的清晰簽名在裝置上二次確認。五、日常熱錢包只放小額,互動用的錢包和存大錢的錢包分開。把這五條變成反射動作,你就能避開鏈上最主流的盜幣套路。