如何避免 MetaMask 上的詐騙？如何發現釣魚網站？

了解 MetaMask 安全基礎知識

1. 始終從官方網站metamask.io或經過驗證的應用程序商店專門下載MetaMask。第三方鏈接、來源不明的瀏覽器擴展以及 Telegram 或 Discord 附件經常分發包含惡意代碼的假冒版本。

2. 切勿與任何人分享您的 12 字恢復短語 - 不包括支持代理、朋友或開發人員。詐騙者經常通過虛假支持聊天來冒充 MetaMask 工作人員，以“帳戶驗證”或“緊急安全更新”等虛假藉口提取種子短語。

3. 在 MetaMask 移動和桌面擴展設置中啟用密碼保護和生物識別身份驗證。即使設備訪問受到損害，這也會增加本地防禦層。

4. 禁用 dApp 的自動連接權限。手動批准每個連接請求，而不是授予持久訪問權限。許多網絡釣魚站點利用自動連接功能悄悄發起未經授權的交易。

5. 使用 MetaMask 設置中的“連接站點”部分定期審核連接帳戶。立即刪除未使用或可疑的 dApp 連接——某些惡意接口在初始交互後很長時間內仍保留會話令牌。

識別網絡釣魚網站

1. 在輸入任何憑據或簽署交易之前，請仔細檢查 URL 欄。合法的以太坊 dApp 使用 HTTPS，但詐騙者會復制 SSL 證書。關注域名拼寫： uniswap.org有效； uniswapp.org 、 uniswap-support.net或uniswap-eth.com都是已知的網絡釣魚域。

2. 將鼠標懸停在導航鏈接和按鈕上，而不單擊。瀏覽器狀態欄或開發人員工具顯示底層 href 值。假冒的“連接錢包”按鈕通常會重定向到惡意中繼，而不是調用 MetaMask 的本機提供商接口。

3. 檢查是否存在不一致的 UI 元素。真正的 dApp 保持一致的版式、間距和交互式反饋。網絡釣魚克隆通常具有不匹配的字體、模糊的徽標、缺失的動畫或無法正常工作的菜單，這些都暴露了複製質量差。

4. 在批准代幣審批之前手動驗證合約地址。使用 Etherscan 或 Blockscout 確認部署日期、交易歷史記錄和經過驗證的源代碼。詐騙者部署外觀相同但地址略有不同的代幣，以誘騙用戶批准向其錢包進行轉賬。

5. 完全避免使用縮短的 URL。 Bit.ly 或 TinyURL 等服務模糊了目標域。合法項目很少依賴鏈接縮短器來進行核心錢包交互或代幣索賠頁面。

交易簽名最佳實踐

1. 除非您明確打算授予支出權，否則切勿簽署標有“批准”、“為所有人設置批准”或“轉出”的交易。這些操作允許第三方合約無限期地從您的錢包中提取資產。

2. 在 MetaMask 彈出窗口中查看每筆交易詳細信息。注意接收者地址、值和函數名稱。惡意彈出窗口有時會在幕後執行高風險批准時顯示“確認交換”等誤導性標籤。

3. 與不熟悉的協議交互時，使用 Ledger 或 Trezor 等硬件錢包。這些設備需要對每個簽名進行物理確認，從而阻止受感染的瀏覽器發起的靜默交易廣播。

4. 仔細設置自定義 RPC 端點。虛假網絡配置可以通過攻擊者控制的節點路由交易，從而實現搶先交易或交易屏蔽。僅添加 Chainlist.org 上列出的網絡或通過官方項目文檔確認的網絡。

5. 通過 Etherscan 監控待處理交易。如果您的錢包活動源中出現意外交易，請立即使用費用替換 (RBF) 或加速功能取消該交易（如果您的網絡和客戶端支持）。

常見問題解答

問：MetaMask 支持人員可以詢問我的秘密短語嗎？答：不會。 MetaMask 員工絕不會要求您提供 12 字恢復短語、私鑰或密碼。任何自稱是官方支持並要求提供這些信息的人都是騙子。

問：將 MetaMask 連接到加載緩慢或顯示證書警告的網站是否安全？答：不會。 SSL 證書錯誤、混合內容警告或加載時間延長通常表明基礎設施遭到破壞或中間人攔截嘗試。立即斷開連接並獨立驗證域。

Q：不小心簽署了惡意審批交易怎麼辦？答：使用 TokenSniffer 的撤銷合約或 Etherscan 的“寫入合約”選項卡等工具撤銷代幣限額。然後將剩餘資產轉移到新錢包，並避免重複使用受損地址進行敏感交互。

問：MetaMask 是否將我的私鑰存儲在其服務器上？答：不需要。 MetaMask 是一個非託管錢包。您的私鑰在瀏覽器或設備中本地保持加密狀態。 MetaMask 無法訪問它們，也無法恢復、重置或更改您的錢包內容。