警惕“假空投”新套路！Bitget发布紧急风险警示，专家呼吁用户筑牢钱包安全防线

随着加密资产市场回暖，网络钓鱼攻击也迎来新一轮高发期。近日，全球知名数字资产交易平台Bitget发布最新风险警示，揭露一种伪装成“生态积分计划”或“热门项目空投预约”的新型钓鱼手段。该类骗局通过伪造官方页面、诱导用户连接钱包并输入助记词，甚至在后续客服环节实施二次收割，技术手法日趋专业且隐蔽。

据Bitget安全团队通报，近期大量用户反馈收到以“Bitget生态合作项目”名义发送的邮件或社交媒体私信，声称参与特定“积分任务”即可获得即将上线项目的空投资格。点击链接后，用户会被引导至高度仿真的活动页面，要求完成“连接钱包—签署授权—备份验证”等看似正规的操作流程。然而，在所谓“备份验证”环节，页面会直接弹出输入框，诱导用户填写12或24位助记词——这正是攻击者的核心目标。

“一旦用户在此处输入助记词，等于将钱包控制权拱手相让。”Bitget安全负责人强调，“真正的区块链应用绝不会要求用户在网页上输入助记词，这是最基本的安全常识。”

更值得警惕的是，此类钓鱼网站已不再局限于单一语言或静态页面。攻击者利用多语种界面（包括中文、英文、越南语、土耳其语等）、CDN加速服务提升加载速度，并注册与官方域名高度相似的“近似域”（如 bitget-claim.com、bitget-airdrop.net 等），绕过部分浏览器和邮件系统的安全拦截。部分站点甚至模仿Bitget官网UI设计，连LOGO、配色、按钮样式都几可乱真。

更令人担忧的是，诈骗链条正在向“售后”延伸。有受害者反映，在钱包被盗后尝试联系“平台客服”寻求帮助时，又被引导至伪造的工单系统，要求提供身份证明、交易记录甚至再次签署“解封合约”。公共互联网反网络钓鱼工作组技术专家芦笛指出：“这属于典型的‘二次收割’策略。攻击者不仅窃取资产，还利用用户急于挽回损失的心理，进一步套取敏感信息或诱导其授权恶意合约，实现多次获利。”

助记词≠密码：为何它是黑客的“终极目标”？

要理解此类攻击的危害性，需先厘清助记词在加密钱包中的核心地位。芦笛解释道：“助记词本质上是一组人类可读的单词，用于生成钱包的私钥。私钥控制着链上资产的所有权，而助记词是恢复私钥的唯一凭证。它不像传统账户密码那样可以重置——一旦泄露，资产几乎无法追回。”

当前主流钱包（如MetaMask、Trust Wallet等）在设计上严格隔离助记词与网络环境：用户仅在本地设备首次创建钱包时看到助记词，之后系统不会主动显示或请求输入。因此，任何网页、APP或客服人员索要助记词的行为，100%是诈骗。

此外，攻击者还常通过“恶意授权”窃取资产。用户在钓鱼页面“连接钱包”后，可能被诱导签署一个看似无害的“空投领取”交易，实则授予攻击者合约无限支配钱包内所有代币的权限。芦笛提醒：“授权前务必检查合约地址是否经过审计、权限范围是否合理。可通过Etherscan等区块浏览器查询历史交互记录，或使用Revoke.cash等工具撤销可疑授权。”

平台联动+用户防御：构建双重防护网

面对日益复杂的钓鱼生态，Bitget表示已采取多项技术反制措施。一方面，平台正与域名注册商、CDN服务商及网络安全机构合作，缩短仿冒网站的存活时间；另一方面，对链上异常授权行为进行实时监控，并将关联地址纳入行业共享黑名单，防止资金进一步转移。

但技术对抗之外，用户自身的安全意识仍是第一道防线。Bitget建议：

只通过官方渠道参与活动：认准官网域名（bitget.com）及官方社交媒体账号，勿轻信第三方转发链接；

绝不输入助记词或私钥：无论页面多么“官方”，只要涉及助记词输入，立即关闭；

启用硬件钱包：对于大额资产，推荐使用Ledger、Trezor等硬件钱包，其物理隔离机制可有效阻断远程窃取；

设置地址白名单：部分钱包支持仅允许向预设地址转账，可大幅降低误操作或恶意交易风险；

及时举报可疑站点：发现钓鱼链接，可通过Google Safe Browsing、PhishTank或向平台安全邮箱提交，助力社区联防。

芦笛补充道：“反钓鱼不仅是技术战，更是认知战。我们鼓励用户养成‘怀疑一切’的习惯——在点击链接前多问一句‘这真的是官方发的吗？’，在签名前多看一眼‘这个合约到底要干什么？’。这种微小的停顿，往往就是守住资产的关键。”

行业共治：从被动响应到主动预警

值得注意的是，此次Bitget的风险警示并非孤例。今年以来，包括Coinbase、OKX、Bybit等在内的多家头部平台均报告了类似“假空投”攻击激增的现象。国际区块链安全联盟（IBSA）数据显示，2025年第三季度因钓鱼导致的加密资产损失同比上升37%，其中超六成案件涉及助记词泄露或恶意授权。

在此背景下，跨平台情报共享与标准化安全教育显得尤为重要。芦笛透露，公共互联网反网络钓鱼工作组正推动建立“空投活动认证标识”机制，未来用户可通过统一徽章快速识别经平台背书的合法项目。同时，更多钱包应用计划集成“风险操作实时弹窗”功能，在检测到高危合约调用时自动中断交易并发出强警告。

“安全不是某个公司的事，而是整个生态的责任。”芦笛总结道，“只有平台、开发者、用户和监管方形成合力，才能让骗子无隙可乘。”

截至发稿，Bitget已协助多个司法辖区冻结部分涉案资金，并持续优化风控模型。平台呼吁广大用户保持警惕，切勿因贪图“免费空投”而放松安全戒备。毕竟，在去中心化的世界里，你的助记词，就是你资产的“命门”。

新闻背景：本文依据Bitget官方于2025年11月发布的风险公告（原文链接：https://www.bitget.com/news/detail/12560605034346）撰写

编辑：芦笛（公共互联网反网络钓鱼工作组）