你的钱包里多了一个陌生的 NFT？先别动它

你的钱包里多了一个陌生的 NFT？先别动它

攻击者用自动化工具，把恶意 NFT 批量发送到成千上万个钱包地址。以太坊是最主要的目标，因为它的活跃地址数量最多，链上活动也最公开透明。但同样的手法也出现在 Solana、BNB Chain、Polygon 等其他链上。

那个 NFT 毫无预警地出现在你的钱包里。你什么都没做，它就在那里了。这正是设计的用意——它被做得足够有趣、足够有价值感、或者足够紧迫，让你忍不住想对它做点什么。

大多数恶意 NFT 属于两种类型，但背后都是同一个陷阱。

第一种，里面有链接。NFT 的描述、元数据或显示名称包含一个网址——有时伪装成领取页面、奖励入口或身份验证步骤。消息可能说你被选中参与独家空投、有未领取的资金等着你，或者你需要验证所有权才能收到某样东西。那个链接指向一个看起来很逼真的钓鱼网站。一旦你连接钱包并签署它要求的交易，你就授权了一个恶意合约清空你的资金。交易无法撤销。

第二种，NFT 本身就是武器。有些恶意 NFT 内嵌了智能合约逻辑，当你与它互动的那一刻就会被触发——试图在交易市场出售它、把它转移到其他地址，甚至在某些钱包界面查看它的详细信息，都可能启动这段逻辑。一旦触发，攻击者就可能获得无限授权，随意移动你的代币。等你发现时，资金早已不见踪影。

两种情况的本质都一样：NFT 不是真正的武器，它是诱饵。真正的武器，是你与它互动的那一刻。

这个攻击背后的心理逻辑很直接，而且针对的都是再正常不过的人类反应。

好奇心是最常见的触发点。你打开钱包，看到一个不认识的东西，自然想搞清楚它是什么。它值钱吗？是你听说过的项目吗？还是有人不小心发错给你了？

焦虑是第二个触发点。不少用户——尤其是新手——看到钱包里有来路不明的 NFT，会觉得这是个需要处理的问题。他们想把它清掉。于是试着出售、销毁或转移——而这个动作，正是攻击者一直在等的。

错失恐惧是第三个触发点。如果那个 NFT 看起来来自某个知名项目，或者显示着一个看似真实的地板价，“再不动就来不及了”的直觉，往往比“先停下来想一想”更快。

这三种反应，都通向同一个终点：互动。而互动，就是整个机制的关键。

2023 年，Vitalik Buterin 的 X 账号遭到入侵，攻击者借用它宣传一个假冒的 NFT 空投活动。帖子附有链接、制造紧迫感，并看起来来自加密货币界最知名的人物之一。几小时内，连接钱包的用户损失合计约 70 万美元。

这类攻击的模式几乎都一样。NFT 或帖子制造可信度，紧迫感让人来不及停下来思考，而钱包连接与签署则完成整个盗窃过程。

最安全的做法，通常也是最简单的做法：什么都不要做。

一个静静待在你钱包里、没有被碰过的 NFT，无法伤害你。它只是区块链上的一条记录，在你与它互动之前，它什么都做不了。你不需要出售它、转移它，或销毁它。

如果你想安全地了解它，可以使用 Etherscan 等区块浏览器查看 NFT 的合约地址——不要连接钱包，也不要点击 NFT 里的任何链接。很多时候，合约本身就会显示出它是最近部署、未验证的可疑合约。

如果你想确认自己的钱包里是否存在可疑资产，陌生 NFT、未请求代币或其他异常内容时ZenRealm 的可疑资产检查工具可以让你在不连接钱包、不签署交易的情况下查看钱包内容。

记住一条简单原则：不是你主动要求的东西，就不要碰它。