Stacked Markets
如何防范针对 DEX 交易者的加密钓鱼诈骗
发布于 2026年5月31日 · 作者:Stacked Markets Research Team
目录
2026 年,DEX 交易者因钓鱼攻击和私钥泄露造成的损失已超过智能合约漏洞。这不是预测,而是当前的现实。根据 Chainalysis 的报告,钓鱼和密钥盗窃目前在 DeFi 损失中占比最大,首次超过了协议层面的漏洞利用。Chainalysis 2026 年加密犯罪报告显示,仅 2025 年,加密货币诈骗和欺诈造成的损失总额就高达 170 亿美元——冒充诈骗同比增长 1,400%,AI 驱动的攻击平均每场活动的获利是传统方法的 4.5 倍。
2026 年 2 月发生的 Bybit 黑客事件(损失 15 亿美元,是有史以来单笔金额最大的加密货币盗窃案)始于社会工程学,而非代码漏洞。2026 年 4 月发生的 Drift Protocol 事件(损失 2.85 亿美元)遵循了同样的模式:Lazarus Group 在执行攻击前,通过 Discord 和 LinkedIn 与团队成员建立了长达六个月的联系。这些并非个例,而是主流的攻击模式。
如果您进行自我托管并在链上交易永续合约,您的威胁配置与 CEX 交易者不同。这里没有密码重置、没有支持热线、没有冻结机制。攻击面就是您的钱包、您连接的前端以及您批准的每一笔签名。本文涵盖了目前针对 DEX 交易者的七种攻击向量,以及减少风险的具体步骤。
为什么 DEX 交易者是高价值目标
您的钱包地址是公开的。您持有的每一个仓位、接触过的每一个协议、拥有的每一个余额——所有这些都在链上,任何人都可以查询。
工业化的盗币团伙现在运行自动化的钱包扫描,在接触目标前识别高价值对象。2026 年对受损钱包的审计发现,超过 20 万个地址在攻击发起前就已被盗币服务系统地分析过。这不是“广撒网”式的钓鱼,而是有针对性的、基于情报的社会工程学。
自我托管意味着没有中间人可以求助。链上结算具有最终性。一旦批准了恶意交易,资金就会立即且永久地流失。正是这种最终性使得 DEX 交易者成为值得攻击的目标。
2026 年活跃的七大钓鱼攻击向量
1. 虚假前端和域名仿冒
Hyperliquid、Uniswap 和其他常见 DEX 接口的完美克隆版正托管在仿冒域名上。Google 广告被反复用于将这些虚假网站置于自然搜索结果之上,这是 2025 年至 2026 年间记录在案的模式。
您连接钱包,看到熟悉的界面,批准了一个看起来像是“启用交易”的交易。但您实际签署的是一份无限代币授权,这会耗尽您钱包里的所有资产。
唯一可靠的防御是检查 URL 栏。为您使用的每个 DEX 的确切域名添加书签。永远不要通过搜索引擎结果导航到协议。永远不要点击 Telegram 或 Discord 中的链接来访问交易界面。
2. 恶意签名请求和盲签
这是 DEX 交易者面临的最危险的向量。钱包签名一旦确认,即不可撤销。
攻击者会提供一个看起来像标准订单批准的签名提示。实际上,它是 permit() 或 setApprovalForAll() 调用,授权盗币者转移您钱包中的所有代币。MetaMask 对这些调用的默认显示并不总是可读的——这正是攻击者所依赖的。
eth_sign 是风险最高的签名方法,因为它允许在没有人类可读显示的情况下签署任意数据。信誉良好的终端使用带有结构化、可读提示的 personal_sign。在 Stacked Markets,每个订单签名在钱包确认弹窗出现前都会显示 IOC 限价参数和最差成交价格。正常的订单流程中不存在盲签,这是刻意的设计选择。
Rabby Wallet 的交易模拟功能会在您确认前显示签名将触发的确切状态变化。如果您在模拟输出中看到意外的代币授权,请立即拒绝。
3. Discord 和 Telegram 账号被盗
Drift Protocol 的攻击是 2026 年最清晰的例子:Lazarus Group 在实际利用漏洞前,通过 Discord 和 LinkedIn 与团队成员培养了六个月的关系。对于个人交易者,攻击则更直接、更迅速。
模式如下:您在协议的 Discord 频道中发布关于交易失败的信息。几分钟内,一个“管理员”或“支持”账号会私信您提供修复链接。用户名看起来很官方——使用零宽 Unicode 字符或外观相似的字形来模仿真实的管理员名称。链接指向一个虚假前端。
其他变体包括社区频道中的虚假空投公告,以及声称您的钱包已被标记的虚假安全警报私信。规则很简单:没有任何合法的协议管理员或支持团队会主动私信您。如果有人这样做,那就是诈骗。请直接拉黑并举报。
4. AI 生成的钓鱼和深度伪造通信
Chainalysis 2026 年报告记录显示,AI 驱动的诈骗比传统钓鱼的获利高出 4.5 倍。原因在于精准度。AI 生成的钓鱼邮件可以包含您的真实钱包地址、准确的仓位详情、链上的实际交易哈希,以及完美模仿您所使用协议的沟通风格——因为所有这些数据都是公开且可抓取的。
深度伪造语音通话现已被记录在案。攻击者克隆已知协议团队成员或交易联系人的声音,并以紧急请求的名义拨打电话。其特征始终是“紧迫感”加上“通过外部链接操作或批准交易”的请求。请放慢速度,在做任何事情之前通过独立渠道进行核实。
5. 虚假钱包应用和恶意浏览器插件
2026 年 2 月,Trezor 冒充钓鱼达到了新高度:攻击者向从 Ledger 2020 年数据泄露中获取的 27.2 万条记录地址邮寄了实体信件,指示收件人通过虚假 URL 更新固件。多年前的泄露数据至今仍被用于针对硬件钱包持有者。
恶意的 MetaMask、Rabby 和 Phantom 插件分支经常出现在 Chrome 应用商店中。它们有评论、看起来很合法,并在首次使用时窃取密钥。请仅从官方域名下载钱包软件。在安装任何浏览器插件前,请检查确切的发布者名称。如果发布者域名与官方钱包网站不完全匹配,请勿安装。
6. 地址中毒
攻击者生成一个钱包地址,其前四到六位和后四到六位字符与您经常使用的地址(如您的 Arbitrum 桥接地址、CEX 充值地址或频繁交易的对手方地址)相同。
他们从该中毒地址向您的钱包发送一笔小额“粉尘”交易,将其放入您的交易历史记录中。您从历史记录中复制了自以为熟悉的地址,结果却将资金发送给了攻击者。
这对于将 USDC 提现到 Arbitrum 的 Hyperliquid 交易者尤为相关,因为同一桥接或交易所充值地址会被反复使用。永远不要从交易历史中复制地址。请使用保存的联系人或 ENS 名称。在确认任何提现前,请在您的硬件钱包屏幕上逐个字符地核对完整地址。
7. 前端依赖项的供应链攻击
攻击者破坏了多个 DeFi 前端导入的常用 npm 包或 JavaScript 库——WalletConnect 或 Web3Modal 等钱包连接库是已知的目标。恶意代码被注入,在浏览器层面拦截钱包签名。您处于完全合法的 URL 上,前端看起来和功能都正常,但这种破坏是隐形的。
作为个人交易者,您最好的缓解措施是:对所有非琐碎活动使用硬件钱包(恶意 JavaScript 无法从硬件设备中提取私钥)、启用 Rabby 的交易模拟,并监控 BlockSec Phalcon 的活跃漏洞警报。
Stacked Markets 从不在服务器端存储密钥。如果前端在依赖层面被破坏,Stacked 的服务器上也没有密钥可窃取。前端的供应链攻击无法访问超出您在当前会话中已批准范围之外的资金。硬件钱包确认增加了恶意代码无法绕过的第二层防御。
九条防范准则手册
- 为您使用的每个 DEX 域名添加书签。 永远不要通过搜索引擎导航。永远不要点击 Discord 或 Telegram 中的链接来访问协议界面。
- 在签名前模拟每一笔交易。 Rabby Wallet 会显示签名将触发的确切状态变化。模拟输出中出现意外的代币授权意味着必须立即拒绝。
- 每次会话后撤销授权。 使用 revoke.cash 或 Etherscan 的代币授权检查器。旧的无限授权是任何后续破坏协议的攻击者最容易利用的攻击面。
- 对所有重要的链上活动使用硬件钱包。 恶意前端无法从硬件设备中提取您的私钥。设备屏幕显示的是您实际签署的内容,而不是浏览器想让您以为您在签署的内容。
- 按功能分离钱包。 热钱包用于活跃的小额交易,冷钱包用于大额资产。永远不要将您的冷存储钱包连接到任何 DeFi 界面。
- 协议管理员绝不会主动私信您。 合法的支持始终在公共频道中进行。任何主动私信提供帮助、空投或安全警告的行为都是诈骗。请直接拉黑并举报,不要回复。
- 安装前核实插件发布者。 开发者的确切域名必须与官方钱包网站匹配。MetaMask 的发布者是 metamask.io。如有任何差异,请勿安装。
- 永远不要仓促签名。 紧迫感是攻击者的主要工具。合法的协议订单会等待 30 秒,让您仔细阅读签名提示。如果有人催促您快速签名,这种压力本身就是攻击。
- 检查完整地址,而不仅仅是首尾字符。 在您的硬件钱包屏幕上进行核对。地址中毒利用了部分匹配的习惯——一旦您知道这种攻击的存在,这种习惯很容易改掉。
零余额架构能保护什么,不能保护什么
非托管架构消除了平台作为攻击向量的可能性,但它不能消除您作为攻击向量的可能性。
Stacked Markets 不持有用户余额,也不持有签名密钥。如果 Stacked 的服务器被破坏,那里没有任何东西可供窃取。您的保证金位于 Hyperliquid 的链上协议中——该协议截至 2026 年在 150 多个市场中持有约 73 亿美元的未平仓合约,并拥有独立的安全性记录。
它不能防止的是:如果您将钱包连接到仿冒的 Stacked Markets 域名并批准了恶意交易,您是在用自己的钱包进行签名。该架构可以防止平台层面的盗窃,但无法防止您在错误的网站上批准错误的操作。
这不是对非托管设计的批评,而是对剩余风险所在之处的诚实描述。上述防范手册正是为了填补这一空白。非托管架构和个人操作安全缺一不可,两者无法相互替代。
在测试网上尝试 Stacked Markets——在投入真实资金之前,先练习完整的签名流程。
常见问题解答
2026 年针对 DEX 交易者最常见的钓鱼攻击是什么?
虚假前端域名和恶意钱包签名请求是两种最普遍的向量。攻击者在仿冒域名上克隆 DEX 界面,并使用 Google 广告将其置于合法结果之上。交易者连接钱包并批准看起来像是标准的交易——实际上却是无限代币授权。Chainalysis 2026 年加密犯罪报告指出,钓鱼和私钥泄露是 DeFi 损失的最大类别,领先于智能合约漏洞。
我如何知道钱包签名请求是否安全?
在确认前阅读完整的签名提示。合法的 DEX 订单签名会显示具体、人类可读的参数——订单类型、价格、数量、最差成交价。如果您看到 permit() 调用、setApprovalForAll() 调用或任何您未发起的代币支出请求,请拒绝它。使用 Rabby Wallet 的交易模拟功能在确认前查看确切的状态变化。模拟输出中意外的代币授权就是您的答案。
钓鱼攻击能从硬件钱包中窃取资金吗?
钓鱼攻击无法从硬件钱包中提取私钥——密钥永远不会离开设备。但是,如果您因为没有仔细阅读签名提示而在硬件钱包上批准了恶意交易,资金仍然可能被盗。硬件钱包会在其自身屏幕上显示您实际签署的内容,独立于浏览器显示的内容。请务必在设备屏幕上核实,而不是在浏览器上。
什么是地址中毒,我该如何避免?
地址中毒是指攻击者生成一个与您经常使用的地址非常相似的钱包地址,然后从该地址向您的钱包发送一笔小额粉尘交易。如果您从交易历史记录中复制地址,可能会复制到攻击者的地址而非合法地址。避免方法是:永远不要从交易历史中复制地址。使用保存的联系人、ENS 名称,或在确认前在硬件钱包屏幕上核对每一个字符。
如果我在 DEX 上被钓鱼了,能追回资金吗?
在大多数情况下,不能。链上交易是最终的。没有客户支持团队、没有退款机制、也没有冻结能力。如果您批准了恶意代币授权,请立即使用 revoke.cash 撤销,以防止进一步损失——但已经转出的资金无法追回。速度至关重要:如果您意识到自己签署了恶意内容,请在攻击者执行盗币前撤销授权。
如何举报虚假 DEX 前端或钓鱼域名?
通过 Google 安全浏览的举报工具举报该域名。向合法协议的官方渠道举报,以便他们警告社区。如果该域名冒充特定的钱包或协议,请通过其官方网站或 GitHub 直接联系该项目的安全团队。当通过正确渠道举报时,钓鱼域名有时会在数小时内被下架。
非托管终端比 CEX 更能防范钓鱼吗?
这取决于攻击类型。对于平台层面的攻击——交易所破产、服务器被黑、内部盗窃——非托管架构具有结构性优势,因为平台层面没有资金可供窃取。对于前端钓鱼和恶意签名攻击,风险状况相似甚至更高,因为在 DEX 上批准恶意交易是不可逆的,而 CEX 交易通常并非如此。非托管交易将安全责任转移给了您。对于想要自我托管的交易者来说,这是正确的权衡——但这需要相应的操作纪律。