在点击发送之前识破加密货币诈骗

最昂贵的加密货币诈骗往往从未触碰区块链。它们等待你犯下一个错误，而几个简单的习惯通常就足以阻止它们。

本指南由 SimpleSwap 和 Cypherock 精心编制，旨在帮助你保护加密货币安全。

你复制的地址可能并非你发送的那个

在点击发送之前识破诈骗，这件事从未像本周这样重要。

2026年6月17日，微软威胁情报团队发布了一份分析报告，揭露了一种通过 USB 驱动器传播的 Windows 恶意软件，该软件伪装成普通文档，每秒约监控剪贴板两次。

一旦它检测到复制的钱包地址，便会立即将其替换为攻击者控制的地址，导致你原本打算发给自己的加密货币落入陌生人手中。微软 Defender 将该恶意软件家族标记为 CryptoBandits。

同一段代码的危害不止于此。在运行过程中，它还会从剪贴板中提取助记词和私钥，并悄悄截取屏幕，留下足够的信息供人日后按自己的节奏清空资金。

这一切并不会破坏区块链，也不会攻克你钱包所依赖的密码学。它只是在最关键的时刻篡改你的设备所显示和复制的内容。这是一个如今损失规模已达数十亿美元的问题中最新的案例。

损失是真实的，风险亦然

加密货币诈骗正经历有史以来损失最惨重的一年，且越来越多的诈骗针对的是个人持有者，而非他们所使用的平台。

根据美国联邦调查局（FBI）年度互联网犯罪报告，2025年美国人因加密货币诈骗举报的损失达113.7亿美元，较上一年增长22%。

这些并非小额损失：近18,600名受害者每人损失超过10万美元，平均举报损失超过62,000美元。在全球范围内，Chainalysis 估计同年诈骗和欺诈给用户造成的损失高达170亿美元。

其中大量资金仍在针对网络和平台的大规模漏洞利用事件中消失，这仍是按价值计算最大的单一类别。PeckShield 估计2025年漏洞利用损失约为26.7亿美元，接近所有加密货币盗窃案的三分之二。

这些安全漏洞值得单独关注，但并非本文的主题。

本指南所涉及的诈骗手法截然不同，这也正是值得深入了解的原因。它们并不试图破解密码学或入侵网络。

它们借用你对熟悉工具的信任，然后引导你亲手批准损失。一个包装在熟悉标志中的诱人提议往往就足够了：攻击者负责轻松的部分，而你自己的手完成了余下的工作。

攻击目标的转变改变了真正保护你的东西。

通常的建议侧重于技术层面，告诉你使用信誉良好的应用程序并保护好你的助记词。然而，许多人在遵守每一条建议的同时，仍在这些骗局中蒙受损失。

真正失守的是那一个采取行动的决定——那次点击或转账，正是诈骗所精心设计要触发的。本指南的其余部分将阐述诈骗者如何制造这个决定，以及能够从他们手中夺回主动权的习惯。

披着真实界面外衣的诈骗

一种模式正在即时通讯应用上迅速蔓延。值得详细剖析，因为它展示了这些骗局已变得多么具有迷惑性。

它从一个看似内幕消息的提示开始：某个流行加密货币服务存在漏洞，据说可以让你解锁隐藏奖励或获得远超规则允许的大额折扣。

这套说辞从不声称该公司出手大方。它告诉你有人发现了一个漏洞，而你也可以从中获益。

只需安装一个浏览器扩展并运行一段简短的脚本，那个可疑的设置便被重新包装成掌握秘密的聪明代价。

一旦该脚本运行，它便悄悄篡改真实网站上显示的充值地址。你打开正规服务，像往常一样发送加密货币，看着同样熟悉的界面。

屏幕上的一切看起来都没问题，但在幕后，目标地址已被替换为攻击者的钱包。你的资金直接流向了陌生人。等到感觉不对劲时，交易早已在链上得到确认，无法撤销。

破绽就藏在诱饵本身。那个承诺不是礼物，而是一个漏洞——一个据说让你钻空子的缺陷，而这种说法正是让你放松警惕的原因。

追逐一个聪明的漏洞感觉很机智，所以你从不停下来质疑它是否真实。它并不真实。承诺背后只有一段悄悄转移你资金的脚本。

这个骗局真正的软肋，是让你相信自己比服务方更聪明的那种诱惑。

了解手牌中的其他招数

虚假奖励骗局只是其中一招。同样以让你做出损害自身利益的行为为目标，还有其他几种你很可能遇到的骗局。

认清每种骗局的特征，是防范的一半。

投资诈骗与社会工程。这是按损失计算最大的类别，在 FBI 2025年数据中约占72亿美元。

其手法重在耐心而非技术。一个陌生人通过交友应用或友好消息在数天或数周内建立信任，引导你进入一个展示虚假收益的精美投资平台，然后在你汇入真实资金后消失无踪。

FBI 将许多此类行动与东南亚以强迫劳动和剧本式操控为基础运作的有组织诈骗中心相关联。

虚假客服与冒牌赔偿表格。当一起安全漏洞或服务中断登上新闻头条时，诈骗者会迅速行动。

他们用冒充官方客服的账号淹没社交媒体和即时通讯应用，同时附上索取你钱包详情或助记词的"赔偿"表格。

真正的客服不会主动找上你的私信，去解决一个你从未举报过的问题。

虚假空投与授权钓鱼。某个网站提供免费代币空投，要求你连接钱包并签署一笔交易。

该签名根本不是领取操作，而是授予攻击者日后转移你资产的永久权限。由于这些提示难以读懂，许多人在不知情的情况下就批准了授权。

地址投毒。攻击者向你发送一笔金额极小、毫无价值的交易，来源地址与你常用的某个地址看起来几乎一模一样。

之后，当你从历史记录中复制最近用过的地址进行付款时，你可能会误拿那个仿冒地址，导致资金流向攻击者。花几秒钟核对完整地址即可弥补这一漏洞。

真正保护你安全的习惯

你不需要成为安全专家就能堵住大多数此类骗局。一小套习惯就能应对其中绝大多数：

• 将任何承诺免费价值的"漏洞"或秘密利用视为诈骗，尤其是当它要求你安装或运行某些东西时。
• 切勿因为某个文件或陌生人的指示就安装浏览器扩展或运行脚本。
• 在发送任何内容之前，在官方应用或网站上核实充值地址。
• 将你的助记词和私钥远离所有屏幕，因为任何真实的服务都不会要求你提供它们。
• 当某起安全漏洞登上新闻时，忽略那些主动联系你的"客服"账号和"赔偿"表格。
• 放慢你的决策速度，因为紧迫感是诈骗者最喜欢的工具，短暂的停顿往往能揭穿陷阱。

对于最难被察觉的那种骗局——屏幕悄悄向你显示错误内容——最有力的应对方式是将最终核查转移到恶意软件无法触及的地方。

硬件钱包将你的私钥保存在离线状态，并在其自身屏幕上确认真实的目标地址和金额。即使你的浏览器遭到篡改，它也无法改写你在独立设备上实际批准的内容。

结语

本指南中的任何一种诈骗都不需要破解任何技术手段。它们只需要你在某一个时刻信任了错误的屏幕，或追逐了错误的奖励。

这使得你的注意力成为唯一一种随时随地伴随你的防御手段。

将每一个好得难以置信的提议视为警告，并在官方产品内确认你所发送的内容。如果你遇到可疑文件或一套指令，请通过其所模仿的服务的官方渠道进行举报。

诈骗者指望的是你的一时冲动，所以放慢脚步就是夺回这一优势的方式。

本指南由 SimpleSwap 与 Cypherock 联合出品。

SimpleSwap 是一款自托管多来源兑换聚合器，可通过聚合的中心化交易所（CEX）和去中心化交易所（DEX）流动性在钱包之间转移加密货币。了解更多请访问 simpleswap.io。

Cypherock 出品一款硬件钱包，利用 Shamir 秘密共享技术将你的私钥分拆存储于一个保险库和四张卡片中，消除助记词作为单点故障的脆弱性。了解更多请访问 cypherock.com/store。

The post Spot the crypto scam before you hit send appeared first on CryptoSlate.