防骗指南

钓鱼网站是仿冒正规交易所或钱包官网的假冒页面，外观与真实网站几乎一模一样。骗子通过搜索引擎广告、仿冒邮件或社交媒体链接引导用户访问，一旦输入账号密码或助记词，资产即刻被盗。

最常见的手法是在域名上做微小改动：将字母"l"替换为数字"1"、添加多余的连字符（如 binance-pro.com）、使用不同的顶级域名（如 .net 替代 .com）。部分高级钓鱼页面甚至拥有有效的 HTTPS 证书，仅凭"绿色小锁"无法判断真伪。

防范钓鱼网站最有效的方式是直接通过浏览器收藏夹访问交易所，杜绝通过任何第三方链接跳转登录。

骗子在 Telegram、Twitter/X、Discord 等平台伪装成交易所官方客服，主动联系用户。常见触发场景：你在官方社群中发帖求助，几分钟内就会有"官方人员"私信你。

这类骗局最终目标往往是骗取助记词、私钥或要求你"为了验证"向某个地址转账。正规交易所的客服永远不会主动私信用户，也不会索要任何密码或助记词。

还有一类是"屏幕共享"骗局：假客服以帮助解决问题为由，引导你安装远程控制软件（如 TeamViewer、AnyDesk），随后操控你的设备转移资产。

高收益骗局承诺每日 1%～5% 的稳定回报，甚至声称通过"套利机器人""量化策略"实现无风险盈利。这类项目本质上是庞氏骗局：用新进资金支付早期用户的"收益"，维持表面繁荣，直到资金链断裂便卷款跑路。

典型特征：收益异常稳定（无论市场涨跌）、本金无法随时取出、强制要求拉新用户、项目方匿名或背景模糊、无法提供真实的交易记录。

加密领域中 Ponzi 骗局极为普遍，包装形式包括：DeFi "高APY" 流动池、矿机托管、"AI量化"平台、传统传销盘等。

假空投骗局通常以"连接钱包领取免费代币"为诱饵。当你连接钱包并签署交易时，实际上是授权了恶意合约，骗子随即清空你的钱包。部分骗局会伪装成真实项目的官方空投活动，利用山寨域名和仿冒社交账号进行宣传。

"名人赠品"骗局也是常见手法：伪造 Elon Musk、CZ、孙宇晨等人的帖子，声称"发送 1 BTC 返还 2 BTC"。这类骗局充斥 YouTube 直播间、Twitter 和 Telegram，受害者累计损失数亿美元。

交易所跑路是指平台运营方卷走用户资产后消失。这类事件通常发生在中小型、无监管、没有明确法律实体的交易所上。典型流程：平台以高额返佣或超低手续费吸引用户充值 → 提款功能突然"维护" → 网站关闭，运营方失联。

FTX 暴雷事件（2022年11月）是史上损失最大的交易所事故之一，超百亿美元用户资产被挪用。这提醒我们，即使是规模较大的平台也存在风险，选择有储备金证明（Proof of Reserves）、受监管的头部平台至关重要。

头部合规交易所如 Binance、OKX、Bybit、Bitget 等均接受第三方审计并公布储备金证明，历史运营多年，是相对最安全的选择。

"Not your keys, not your coins."（不掌握私钥，等于没有币。）这句话揭示了加密资产的核心逻辑。助记词（Seed Phrase）是生成你所有私钥的根，任何知道助记词的人都能完全控制你的钱包资产。

对于大额持仓，硬件钱包（如 Ledger、Trezor）是最安全的存储方式。私钥存储在离线芯片中，即使电脑感染恶意软件，硬件钱包也不会受到影响。日常小额交易可以使用软件钱包，但主要资产应离线保管。

助记词必须以物理方式备份（纸质抄写或金属板刻印），不可拍照、截图或存入云端。一旦助记词泄露，钱包资产可在数秒内被清空，且区块链交易不可撤销。

双重验证（2FA）在密码之外增加一层保护。即使你的密码泄露，攻击者也无法在没有第二因子的情况下登录账户。这是保护交易所账户最基本也是最有效的安全措施之一。

推荐使用 Google Authenticator、Authy 或硬件安全密钥（YubiKey）作为第二验证因子。应避免使用短信（SMS）2FA —— 攻击者可以通过 SIM 卡劫持（SIM Swap）将你的手机号码转移到他们控制的设备上，绕过短信验证。

启用 2FA 时务必妥善保存备份恢复码，存储方式与助记词相同（物理备份）。若手机丢失且无恢复码，账户将永久无法访问。

API 密钥允许第三方软件（量化机器人、交易工具、税务工具）访问你的交易所账户。如果密钥泄露或权限配置不当，攻击者可以操控你的账户下单，甚至（若启用了提款权限）直接转走资产。

许多用户将 API 密钥粘贴到不可信的第三方工具中，或将密钥硬编码在公开的代码仓库（GitHub）中，这是最常见的泄露途径。一旦密钥在网络上曝光，通常数分钟内就会被自动扫描程序发现并利用。

规范的 API 密钥管理原则：最小权限（只开启需要的功能，绝不开启提款权限）、绑定 IP 白名单、定期轮换密钥、不在代码中明文写入密钥。