OKX Web3：链上防钓鱼安全交易指南

进入新周期，链上交互风险随着用户活跃度的增加而日益暴露。钓鱼者通常会采用假冒钱包网站、窃取社交媒体账号、创建恶意浏览器插件、发送钓鱼邮件和信息以及发布虚假应用程序等方式，诱使用户泄露敏感信息，导致资产损失，钓鱼形式和场景呈现多样性、复杂性和隐匿性等特征。

比如，钓鱼者一般通过创建与正规钱包网站外观相似的假冒网站，诱使用户输入其私钥或助记词，这些假冒网站通常会使用社交媒体、电子邮件或广告进行推广，误导用户认为他们正在访问正规的钱包服务，从而盗取用户的资产。此外，还有钓鱼者可能会利用社交媒体平台、论坛或即时通讯应用程序，伪装成钱包客服或社区管理员，向用户发送虚假消息，要求他们提供钱包信息或私钥，这种方式利用了用户对官方的信任，诱使他们泄露私人信息等等。

总之，这些案例突出了钓鱼行为对Web3钱包用户的威胁。为帮助用户提高Web3钱包使用安全意识，并保护资产安全免受损失，OKX Web3深入社区调研并收集了众多Web3钱包用户遭遇过的钓鱼事件，从而提炼出用户最常遇到的 4 大典型钓鱼场景，并通过不同场景下的细分案例，采用图文案例结合的方式，撰写了Web3用户该如何进行安全交易的最新指南，供大家学习参考。

恶意信息来源

1、热门项目推特回复

通过热门项目推特回复是恶意信息的主要方式之一，钓鱼推特账号可以从 Logo、名字、认证标识等都做到和官方号一模一样，甚至连 Follower 数量也可以是几十 K，而唯一能区别两者的就是——推特 handle（注意相似字符），请用户务必擦亮眼睛。

此外，很多时候，假账号会在官推消息下面故意回复，但回复内容中带有钓鱼链接，很容易让用户以为是官方链接，从而上当受骗。目前，有些官方账号目前在推文中，会增加 End of Tweet 推文，提醒用户防范后续回复中可能包含钓鱼链接的风险。

2、盗取官方推特/Discord

为增加可信性，钓鱼者还会盗取项目方或者 KOL 的官方推特/Discord，以官方名义发布钓鱼链接，所以很多用户很容易上当。比如，Vitalik 的推特账号以及 TON 项目官方推特就曾被盗取，钓鱼者借机发布了虚假信息或者钓鱼链接。

3、谷歌搜索广告

钓鱼者有时会使用谷歌搜索广告发布恶意链接，用户从浏览器显示的名字看为官方域名，但点击后跳转到的链接为钓鱼链接。

4、虚假应用

钓鱼者还会通过虚假应用从而诱导用户。比如当用户下载安装了钓鱼者发布的假钱包，会导致其私钥泄漏和资产丢失。有钓鱼者曾修改过的 Telegram 安装包，从而改变了接收和发送代币的链上地址，导致了用户资产的损失。

5、应对措施：OKX Web3钱包支持钓鱼链接检测及风险提醒

当前，OKX Web3钱包通过支持钓鱼链接检测及风险提醒，为帮助用户更好地应对上述问题。比如，用户通过 OKX Web3插件钱包使用浏览器访问网站时，如果该域名为已知恶意域名，则会第一时间收到告警提醒。此外，如果用户使用 OKX Web3 APP 在 Discover 界面访问第三方 DAPP 时，OKX Web3钱包将会自动针对域名进行风险检测，如果其为恶意域名，则会进行拦截提醒，禁止用户访问。

钱包私钥安全

1、进行项目交互或者资格验证

钓鱼者会在用户在进行项目交互或者资格验证时候，伪装成插件钱包弹窗的页面或者其他任何网页，要求用户填写助记词/私钥，这类一般都是都是恶意网站，用户应该提高警惕意识。