假代币合约骗局怎么识别？从空投陌生币到合约后门的几种套路

某天你打开钱包，突然发现里面多了一个陌生代币。名字像是某个知名项目（比如 “Uniswap V4”、“Arbitrum AIRDROP”、“OFFICIAL ETH”），数量看起来不少，按它在某个小池子里的报价算，价值可能上百甚至上千美元。一阵兴奋之后你大概会想：要不要试试在某个 DEX 里把它换成 USDT？

这一念之间，可能就是一笔骗局的入口。

钱包里凭空冒出来的代币几乎都不是好事。它们的目的从一开始就不是让你赚钱，而是让你点一下"swap"或"approve"，把真正属于你的资产倒贴出去。本文把几种最常见的合约级骗局摊开讲，再说说怎么在动手之前判断一个代币是否值得碰。

几种典型的合约级骗局

它们的共同点是问题不在你身上，问题在代币合约本身的代码里。你只要去交互，就掉进了陷阱。

第一种：假冒名牌的"空投"代币。骗子部署一个跟真项目同名（或几乎同名）的代币合约，然后批量转账给成千上万的钱包地址。代币本身可能完全没用，但被人为做出了"市场价"——通常是骗子自己在一个 DEX 的迷你池子里挂的价。你看到余额觉得是空投，去 swap，发现要先 approve 这个合约，于是你给了一个你完全没看过代码的合约对你主流资产（USDT、WETH 等）的支配权。后面剩下的事，跟授权钓鱼是一回事。

第二种：貔貅（honeypot）盘。这种代币能买不能卖。合约里写了一段限制：只有合约部署者或白名单地址可以触发 transfer，普通地址 transfer 时直接 revert 或者偷偷扣 99% 手续费。你把 USDT 换成它，价格图表也涨得很好看，到你想卖的时候才发现一个币也卖不出去。这类合约会在社交媒体上配合假"持有人晒单"，引诱更多人接盘，本质属于一种链上版本的杀猪盘。

第三种：无限增发。合约里给部署者保留了一个 mint 函数，可以随时无限增发。你买入的时候盘子里只有 100 万枚，等热度起来、池子里有几百万 USDT 的时候，部署者一次性增发数十亿枚卖掉，把池子里的真钱抽走，剩下你拿着一堆稀释到零的废纸。

第四种：合约 backdoor 与升级钩子。看起来正常的代币合约，里面藏着一个 admin 函数，允许指定地址直接把任何人钱包里的余额清零、或者把你之前的授权额度悄悄改成无限。这种比前几种隐蔽得多，普通用户从交易行为上根本看不出端倪。

这几种套路有时单独出现，有时叠在一起：先冒名（吸引你看见）、再设蜜罐（不让你卖）、再开后门（直接抽走）。

怎么判断一个代币能不能碰

不需要你是程序员，但需要你养成几个"碰之前先看一眼"的动作。

第一，看它怎么进的钱包。你主动从交易所提币、从已知合约 mint，那是正常入口。毫无原因突然出现在余额里的代币，几乎可以默认是垃圾或骗局。链上"空投"的真实项目极少，绝大多数都是钓鱼。

第二，去区块浏览器上读合约。在 Etherscan、BscScan 这类浏览器上搜代币地址，看 Contract 选项卡。看几件事：合约是不是已经验证过源代码（unverified 的合约几乎不要碰）、有没有 mint、setTax、blacklist 这类危险函数、owner 地址有没有 renounce（放弃所有权）。具体怎么读源代码可以延伸看读懂加密项目白皮书的扩展思路。

第三，看持币人分布（Holders）。一个真正流通的代币，前 10 大地址占比通常不会超过 50%（去掉锁仓合约、池子地址）。如果前 3 名地址掌握了 80% 以上的供应、剩下都是几百个零钱地址，意味着控盘集中，一次抛售就能把池子抽干。

第四，看交易记录里有没有人成功卖出。区块浏览器的 Transfers 标签里，如果你看到大量 buy 但几乎没有 sell，或者卖出的几乎全是同几个地址——前者是蜜罐特征，后者是部署者自己在割韭菜。

第五，做一次社交媒体溯源。这个项目在 Twitter / Telegram 上多久了、有没有蓝标账号、官方社群里讨论的是真问题还是清一色喊单。临时新建的账号、清一色"to the moon"评论、群里禁言一切质疑，这套组合拳跟Telegram 群里的骗局是同一套，搬到代币领域而已。

一个最稳妥的默认动作

上面那些检查动作做完，需要时间和一点经验。如果你不想每个都看，有一条默认规则可以盖住 90% 的风险：钱包里凭空出现、你完全不认识的代币，什么都不要点，连查询余额、点开详情都尽量克制（某些前端会触发非常微妙的 read call，理论上不会扣钱，但养成"不碰"的习惯总没错）。

具体来说：

• 不要 approve；
• 不要在任何 DEX 上 swap；
• 不要点钱包里的"卖出"按钮；
• 看到合约或网站让你"领取"或"激活"它，也不要去。

最稳的处理方式是把它当作不存在。少数钱包客户端支持把垃圾代币标记为隐藏或拉黑，可以用；不支持的，那就让它躺在余额里。它本身不会扣你的钱，会扣钱的永远是你的下一个动作。

这个原则跟基础加密安全习惯讲的"不主动找麻烦"是一脉的。安全感不是来自处理掉每一个可疑物，而是来自对可疑物默认不动。

看不懂的，默认不碰

链上的世界很大，但你不需要参与里面的所有事。能识别的、能解释清楚机制的项目，就慢慢看慢慢做；冒名而来、来路不明、要你点一下就能领钱的，默认不碰。这条规则不会让你错过真正的好机会——真正的好项目从不会用"突然冒出来的代币"作为它接触你的方式。

每次面对一个奇怪的代币时，可以把它换一种方式想：它出现在我钱包里，是因为它需要我，而不是因为我需要它。一旦你想清楚这件事，"为什么会有人免费给我代币"这个问题就有了答案，剩下的判断也跟着变简单。

本文为科普内容，不构成任何投资建议。具体合约请自行在区块浏览器上核实，交互前务必再次评估风险。