如何避免 MetaMask 上的诈骗？如何发现钓鱼网站？

了解 MetaMask 安全基础知识

1. 始终从官方网站metamask.io或经过验证的应用程序商店专门下载MetaMask。第三方链接、来源不明的浏览器扩展以及 Telegram 或 Discord 附件经常分发包含恶意代码的假冒版本。

2. 切勿与任何人分享您的 12 字恢复短语 - 不包括支持代理、朋友或开发人员。诈骗者经常通过虚假支持聊天来冒充 MetaMask 工作人员，以“帐户验证”或“紧急安全更新”等虚假借口提取种子短语。

3. 在 MetaMask 移动和桌面扩展设置中启用密码保护和生物识别身份验证。即使设备访问受到损害，这也会增加本地防御层。

4. 禁用 dApp 的自动连接权限。手动批准每个连接请求，而不是授予持久访问权限。许多网络钓鱼网站利用自动连接功能悄悄发起未经授权的交易。

5. 使用 MetaMask 设置中的“连接站点”部分定期审核连接帐户。立即删除未使用或可疑的 dApp 连接——某些恶意接口在初始交互后很长时间内仍保留会话令牌。

识别网络钓鱼网站

1. 在输入任何凭据或签署交易之前，请仔细检查 URL 栏。合法的以太坊 dApp 使用 HTTPS，但诈骗者会复制 SSL 证书。关注域名拼写： uniswap.org有效； uniswapp.org 、 uniswap-support.net或uniswap-eth.com都是已知的网络钓鱼域。

2. 将鼠标悬停在导航链接和按钮上，而不单击。浏览器状态栏或开发人员工具显示底层 href 值。假冒的“连接钱包”按钮通常会重定向到恶意中继，而不是调用 MetaMask 的本机提供商接口。

3. 检查是否存在不一致的 UI 元素。真正的 dApp 保持一致的版式、间距和交互式反馈。网络钓鱼克隆通常具有不匹配的字体、模糊的徽标、缺失的动画或无法正常工作的菜单，这些都暴露了复制质量差。

4. 在批准代币审批之前手动验证合约地址。使用 Etherscan 或 Blockscout 确认部署日期、交易历史记录和经过验证的源代码。诈骗者部署外观相同但地址略有不同的代币，以诱骗用户批准向其钱包进行转账。

5. 完全避免使用缩短的 URL。 Bit.ly 或 TinyURL 等服务模糊了目标域。合法项目很少依赖链接缩短器来进行核心钱包交互或代币索赔页面。

交易签名最佳实践

1. 除非您明确打算授予支出权，否则切勿签署标有“批准”、“为所有人设置批准”或“转账来源”的交易。这些操作允许第三方合约无限期地从您的钱包中提取资产。

2. 在 MetaMask 弹出窗口中查看每笔交易详细信息。注意接收者地址、值和函数名称。恶意弹出窗口有时会在幕后执行高风险批准时显示“确认交换”等误导性标签。

3. 与不熟悉的协议交互时，使用 Ledger 或 Trezor 等硬件钱包。这些设备需要对每个签名进行物理确认，从而阻止受感染的浏览器发起的静默交易广播。

4. 仔细设置自定义 RPC 端点。虚假网络配置可以通过攻击者控制的节点路由交易，从而实现抢先交易或交易屏蔽。仅添加 Chainlist.org 上列出的网络或通过官方项目文档确认的网络。

5. 通过 Etherscan 监控待处理交易。如果您的钱包活动源中出现意外交易，请立即使用费用替换 (RBF) 或加速功能取消该交易（如果您的网络和客户端支持）。

常见问题解答

问：MetaMask 支持人员可以询问我的秘密短语吗？答：不会。MetaMask 员工绝不会要求您提供 12 字恢复短语、私钥或密码。任何自称是官方支持并要求提供这些信息的人都是骗子。

问：将 MetaMask 连接到加载缓慢或显示证书警告的网站是否安全？答：不会。SSL 证书错误、混合内容警告或加载时间延长通常表明基础设施遭到破坏或中间人拦截尝试。立即断开连接并独立验证域。

Q：不小心签署了恶意审批交易怎么办？答：使用 TokenSniffer 的撤销合约或 Etherscan 的“写入合约”选项卡等工具撤销代币限额。然后将剩余资产转移到新钱包，并避免重复使用受损地址进行敏感交互。

问：MetaMask 是否将我的私钥存储在其服务器上？答：不需要。MetaMask 是一个非托管钱包。您的私钥在浏览器或设备中本地保持加密状态。 MetaMask 无法访问它们，也无法恢复、重置或更改您的钱包内容。