← 返回知识库

链上常见攻击类型:识别真正的风险

攻击类型

详细讲解Rug Pull、钓鱼授权、吸血合约、闪电贷、Exit Scam等7种常见攻击类型,包含识别信号和防范方案。

钱包角色用放大镜识别地毯拉盘、钓鱼和吸血合约风险的漫画

概览

链上的骗局五花八门,但核心套路就那几种。了解它们,才能避免踩坑。

1. Rug Pull(地毯式拉盘)

定义:项目方突然跑路,带走所有资金。就像有人拉了一下你脚下的地毯,你直接摔倒。

有两种形式

形式A:流动性拉走

流程:
1. 项目上线 DEX,创建交易对
2. 吸引投资,币价上涨
3. 项目方突然从流动性池撤出全部资金
4. 币瞬间无法交易,价格跌到0
5. 所有投资者的钱都卡在池子里

形式B:合约代码漏洞

流程:
1. 合约有"管理员铸币"权限
2. 项目方给自己铸造无限代币
3. 在DEX上卖出,套现
4. 币价一路下跌
5. 投资者血本无归

识别信号

  • 项目方匿名,无任何身份验证
  • 合约代码未公开
  • 流动性池没有被锁定(应该看Etherscan上的Lock信息)
  • 宣传材料都是”必涨”、“绝对rug”
  • 社区大都是机器人账号

最著名的案例

Squid Game Token(2021)

借着Netflix热剧《鱿鱼游戏》的热度,几周内吸引200多万投资者。突然官网关闭、电报群禁言。2.4亿美元灰飞烟灭。

2. Phishing Approval(钓鱼授权)

定义:骗子合约冒充官方,骗你授权。一旦授权成功,钓鱼合约就能随意转走你的资产。

常见套路

套路1:假网站钓鱼

你想在 Uniswap 交换代币
搜索"uniswap",点击了一个假网站(比如 uniswa9.com)
网站界面完全一样,连接钱包
输入合约地址,授权
实际上你授权的是骗子合约
你的授权额度被窃取

套路2:假合约地址

电报群里有人:"这个Token很牛,快上 Uniswap 交换"
他给了一个合约地址(其实是假的)
你复制地址,去 Uniswap 交换
输入额度、授权
实际上授权的是骗子在控制的合约

套路3:升级合约钓鱼

你已经在某个平台授权了
几天后,平台说"升级了,需要重新授权"
发来一个链接,要求重新授权
实际上是骗子冒充平台

VaultScope如何保护你

我们会:

  • 检查授权给的合约是否被标记为恶意
  • 对比官方合约地址
  • 警告对陌生/未验证合约的授权

识别真假合约

官方合约查找

  1. 去项目官网(从Google搜索,不从广告进)
  2. 官网应该会列出官方合约地址
  3. Etherscan搜索这个地址
  4. 看”Contract Creator”,应该是官方账户(通常有蓝色✓验证)
  5. 看合约代码,应该是公开验证的

千万不要

  • ❌ 相信Discord/电报里陌生人给的地址
  • ❌ 从Google广告进项目官网(容易被钓鱼广告攻击)
  • ❌ 手工输入地址(容易输错,用复制粘贴)

3. Drainer Contract(吸血合约)

定义:一种恶意合约,具有各种权限,能从钱包里持续吸血。有时候,这些合约甚至能直接偷你的NFT。

常见表现

类型1:隐蔽的转账权限

表面:你授权这个合约交换代币
实际:合约代码在后台暗戳戳地转走你的代币到黑客地址

类型2:权限升级

初期:只能转你授权的Token
后期:合约升级,获得更大权限,能访问其他Token

类型3:NFT吸血

你授权合约管理你的NFT(为了交易/借贷)
恶意合约直接把你的NFT转走

识别信号

  • VaultScope标记为”未验证合约”或”恶意地址”
  • 合约代码不公开
  • 社区有人投诉”授权后代币不见了”
  • 合约权限过大(比如能无限铸币、能冻结账户等)

4. Flash Loan Attack(闪电贷攻击)

定义:黑客借用大额资金(闪电贷),在同一个区块内完成攻击,然后还款。整个过程不到1秒。

运作原理

时间顺序:
T=0:黑客从闪电贷借走1000万美元USDC
T+1ms:黑客用这笔钱操纵市场(比如砸盘某个币)
T+2ms:黑客从市场差价中套利获利
T+3ms:黑客把1000万美元还回去+手续费
T+4ms:区块确认,黑客走出50万美元

为什么对你有威胁?

如果你的资金在被攻击的协议里:

  • 你的资产会因为突然的价格变化而缩水
  • 但闪电贷黑客已经套现离场
  • 你最终是亏方

最著名的案例

Pancake Bunny(2021)

黑客通过闪电贷操纵BUNNY币价,吸走450万美元。Pancake Bunny后来逐渐恢复,但早期投资者已血本无归。

5. Exit Scam(跑路)

定义:比Rug Pull更”温和”,项目方不是直接拉走资金,而是逐渐放弃维护,最后直接消失。

常见表现

  1. 第一阶段:正常运营,获得信任
  2. 第二阶段:发展放缓,更新减少
  3. 第三阶段:明显的问题(漏洞、安全隐患)没人修
  4. 第四阶段:官方账号停止回复
  5. 第五阶段:网站关闭、官方失联

防范方案

  • 选择有真实身份的项目方
  • 查看定期的技术更新和社区沟通
  • 看项目的融资背景(有VC支持通常更安全)

6. Sandwich Attack(夹层攻击)

定义:黑客看到你的待处理交易,抢先交易,然后让你的交易执行,最后再套现。你的订单被夹在中间。

运作原理

时间:
1. 你发送交易:"用100万USDT买10000个XYZ",但还没上链
2. 黑客看到你的待处理交易,立即发送:"用1000万USDT买100000个XYZ"
3. 黑客的交易先执行,XYZ币价上涨
4. 你的交易执行,你买的是更贵的XYZ
5. 黑客立即卖出XYZ,套利离场

对你的影响

  • 你的交易滑点变大
  • 实际购买价格比你预期的高
  • 看起来没什么问题,但就是赚得少

保护方案

  • 设置合理的滑点容限(通常0.5-2%)
  • 使用MEV防护功能(如Flashbots)
  • 分批交易,不要一次性all-in

7. Private Key 泄露

定义:你的私钥或助记词被偷,黑客直接控制你的钱包。这是最终的灾难。

泄露渠道

  1. 钓鱼网站:假MetaMask官网让你输入私钥
  2. 恶意插件:Chrome扩展程序偷钥匙
  3. 电脑病毒:截图工具、输入法包含恶意代码
  4. 冷钱包错误:把私钥照片上传到云盘
  5. 社交工程:冒充技术支持要求验证身份

防范方案

  • 🚫 永远不要在任何网站输入私钥
  • 🚫 永远不要在聊天软件分享私钥
  • ✅ 使用硬件钱包(Ledger、Trezor)
  • ✅ 如果必须用软件钱包,用专用设备
  • 启用多签(多个签名者才能转账)

链上安全简易法则

信号判断
项目方实名制、融资背景清晰✅ 相对安全
合约代码公开验证、审计报告✅ 可信度高
VaultScope标记为绿灯✅ 初步通过
项目运营1年以上、用户数百万✅ 生态成熟
------
项目方完全匿名⚠️ 警惕
合约代码未公开⚠️ 警惕
只在小交易所上线⚠️ 警惕
VaultScope标记为风险⚠️ 警惕
宣传”绝对rug”、“必涨”🚫 直接避开

VaultScope的局限

我们能帮你识别:

  • ✅ 蜜罐
  • ✅ 高税率陷阱
  • ✅ 未验证合约
  • ✅ 已知恶意地址

我们无法识别

  • ❌ 项目方的道德品质(可能今天安全,明天跑路)
  • ❌ 闪电贷攻击(需要实时监控)
  • ❌ 完全新开发的零日漏洞

最终的防线永远是你的常识。 信任有限,要钱没限,这样的项目就别碰。

← 查看更多文章