你的錢包裡多了一個陌生的 NFT？先別動它

你的錢包裡多了一個陌生的 NFT？先別動它

攻擊者用自動化工具，把惡意 NFT 批量發送到成千上萬個錢包地址。以太坊是最主要的目標，因為它的活躍地址數量最多，鏈上活動也最公開透明。但同樣的手法也出現在 Solana、BNB Chain、Polygon 等其他鏈上。

那個 NFT 毫無預警地出現在你的錢包裡。你什麼都沒做，它就在那裡了。這正是設計的用意——它被做得足夠有趣、足夠有價值感、或者足夠緊迫，讓你忍不住想對它做點什麼。

大多數惡意 NFT 屬於兩種類型，但背後都是同一個陷阱。

第一種，裡面有連結。NFT 的描述、元數據或顯示名稱包含一個網址——有時偽裝成領取頁面、獎勵入口或身份驗證步驟。訊息可能說你被選中參與獨家空投、有未領取的資金等著你，或者你需要驗證所有權才能收到某樣東西。那個連結指向一個看起來很逼真的釣魚網站。一旦你連接錢包並簽署它要求的交易，你就授權了一個惡意合約清空你的資金。交易無法撤銷。

第二種，NFT 本身就是武器。有些惡意 NFT 內嵌了智能合約邏輯，當你與它互動的那一刻就會被觸發——試圖在交易市場出售它、把它轉移到其他地址，甚至在某些錢包界面查看它的詳細資訊，都可能啟動這段邏輯。一旦觸發，攻擊者就可能獲得無限授權，隨意移動你的代幣。等你發現時，資金早已不見蹤影。

兩種情況的本質都一樣：NFT 不是真正的武器，它是誘餌。真正的武器，是你與它互動的那一刻。

這個攻擊背後的心理邏輯很直接，而且針對的都是再正常不過的人類反應。

好奇心是最常見的觸發點。你打開錢包，看到一個不認識的東西，自然想搞清楚它是什麼。它值錢嗎？是你聽說過的項目嗎？還是有人不小心發錯給你了？

焦慮是第二個觸發點。不少用戶——尤其是新手——看到錢包裡有來路不明的 NFT，會覺得這是個需要處理的問題。他們想把它清掉。於是試著出售、銷毀或轉移——而這個動作，正是攻擊者一直在等的。

錯失恐懼是第三個觸發點。如果那個 NFT 看起來來自某個知名項目，或者顯示著一個看似真實的地板價，「再不動就來不及了」的直覺，往往比「先停下來想一想」更快。

這三種反應，都通向同一個終點：互動。而互動，就是整個機制的關鍵。

2023 年，Vitalik Buterin 的 X 帳號遭到入侵，攻擊者借用它宣傳一個假冒的 NFT 空投活動。貼文附有連結、製造緊迫感，並看起來來自加密貨幣界最知名的人物之一。幾小時內，連接錢包的用戶損失合計約 70 萬美元。

這類攻擊的模式幾乎都一樣。NFT 或貼文製造可信度，緊迫感讓人來不及停下來思考，而錢包連接與簽署則完成整個盜竊過程。

最安全的做法，通常也是最簡單的做法：什麼都不要做。

一個靜靜待在你錢包裡、沒有被碰過的 NFT，無法傷害你。它只是區塊鏈上的一條記錄，在你與它互動之前，它什麼都做不了。你不需要出售它、轉移它，或銷毀它。

如果你想安全地了解它，可以使用 Etherscan 等區塊瀏覽器查看 NFT 的合約地址——不要連接錢包，也不要點擊 NFT 裡的任何連結。很多時候，合約本身就會顯示出它是最近部署、未驗證的可疑合約。

如果你想確認自己的錢包裡是否存在可疑資產，陌生 NFT、未請求代幣或其他異常內容時ZenRealm 的可疑資產檢查工具可以讓你在不連接錢包、不簽署交易的情況下查看錢包內容。

記住一條簡單原則：不是你主動要求的東西，就不要碰它。