2026 年新增的几种加密钓鱼套路有哪些?
我每年都会更新一次钓鱼套路清单,原因很简单:这一行进化速度比绝大多数 dApp 都快。2025 年我们能挡住的那套钓鱼,2026 年再用同样的反应模式就要漏球。这篇把今年新增、或在今年变得显著常见的几种钓鱼方式说清楚,配上识别要点。
我故意没把那些「老套但仍然有效」的归到这里——比如假交易所登录页、假客服私聊——那些写过专门的识别假客服诈骗。下面只讲今年新的。
一、AI 语音冒充+伪造证件全链路
2026 年上半年开始批量出现的一类骗局是多模态 AI 冒充。它不再是一段听起来像本人的语音电话,而是:
- 语音 + 视频同时合成,能在 Zoom/Telegram 视频通话里实时换脸+换声。
- 配合伪造的截图、邮件、PDF 证件,构成完整的「可信链」。
- 攻击对象不再只是高净值用户,也下沉到普通 OTC 卖家、社区管理员、KOL 助理等握有信息差或资金通路的角色。
经典剧本是:以「项目方核心成员」「交易所合规部」身份发起一次「快速核验通话」,过程中用伪造的截图把你的注意力拉到「点这个链接确认信息」上。视频里那张你熟悉的脸,本质上只是让你卸下警惕的一道滤镜。
防它的核心动作不是「听声音判断真假」,而是:任何要求你在通话期间立即操作的指令,无条件挂掉再通过其它渠道反查。AI 再像,反查的物理动作它仿冒不了。
二、智能账户委托类签名(EIP-7702 衍生)
随着以太坊及兼容链上智能账户和 EOA 升级方案的逐步使用,出现了一类全新的高危签名:
- 攻击者伪装成「钱包升级」「免 gas 体验」「批量 swap 工具」入口。
- 让你签的是一份把你 EOA 委托给某个合约执行的授权——一旦签下去,攻击者合约能以你账户的身份执行整批操作,不再受单笔 approve 限制。
- 由于这类签名在钱包 UI 里还不像 transfer 那样直观可读,绝大多数用户根本看不懂自己签了什么。
它的本质和钱包授权钓鱼是同源的,但破坏力更大——以前是「丢一种代币」,现在可能是整个账户接管。
判断要点很硬核:
- 看钱包弹窗里的签名类型是不是「Authorization」「Delegate」「SetCode」之类关键字。
- 看目标地址是不是你完全没听过、且无法在主流浏览器/审计页面查到的合约。
- 看请求来源域名,是不是借着「升级」「迁移」「领取」做诱导。
这三条任意一条不放心,直接拒签。损失一笔小 gas 永远比失去整个账户便宜。
三、Telegram 内嵌 dApp 与 Mini App 伪装
Telegram Mini App 这两年生态做大之后,骗子开始大量伪装成内嵌 dApp:
- 在群里以一个看起来正经的 bot 出现,名字蹭你常用的协议(swap、lending、launchpad)。
- 点击「Open」直接在 Telegram 内打开一个全屏 Web 视图,肉眼几乎看不出是不是真站点。
- 在这个 Web 视图里弹起 WalletConnect 或内置钱包签名,背后的逻辑和外部钓鱼站点没区别——只是壳换了 Telegram。
- 部分版本还会要求你导入助记词到一个所谓的「内置钱包」,那一步就是把家底直接送出去。
破解办法:不要在 Telegram 内嵌视图里完成任何钱包签名或助记词输入。需要做交易,复制官方域名到外部浏览器,按平时的安全流程走一遍。这套阴影在Telegram 自动交易机器人骗局那篇里有更细的展开。Telegram 适合聊,不适合签。
四、「真合约 + 恶意前端」的组合钓鱼
这种最阴。攻击者并不部署一个明显的恶意合约,而是:
- 用一份真正存在的、甚至已经被广泛集成的协议合约作为后端。
- 在前端层做手脚——比如劫持一个看似无害的聚合器域名,或者贿赂某个被收购的小工具站点把脚本换掉。
- 你触发的「approve」「swap」表面看是和这个真协议交互,实际授权的额度对象或者 swap 的路径却被指向攻击者控制的地址。
之所以阴,是因为合约扫描器看到的是真合约,给你的安全评级会偏高。而你自己的钱包记录里事后看也只是「和某个知名协议交互过」,初次复盘容易找不到真凶。
应对原则:
- 对多月不更新但突然推送公告的小工具站,保持额外警惕。
- 凡是签 approve 类签名,逐字看 spender 地址——哪怕只看后四位是否和你预期一致。
- 重要操作分批分钱包,做好分层(这一点和Pump.fun 上的 Rug 案例那篇里讲的「赌场钱包」逻辑是一脉相承的)。
五、伪装成「合规通知」的官方风格邮件
最后一类不算技术多新,但做工有了质的飞跃。配合泄露的 KYC 数据,骗子能给你发一封:
- 抬头是你真实姓名、附带你某交易所已注册手机号后四位。
- 用「FATF 合规更新」「税务申报核验」「平台资产合规迁移」等官方腔调话术。
- 落点是一个看起来和官方一模一样的页面,让你「核验身份后继续使用账户」。
如果你曾经怀疑自己在 KYC 泄露名单里,这类邮件对你的杀伤力会成倍上升。处理逻辑可以直接参考交易所 KYC 数据泄露后该怎么办那篇:永远不从邮件里给的链接进入,要从你自己保存的官方入口走。
| 套路 | 关键迹象 | 一句话识别 |
|---|---|---|
| AI 语音冒充 | 视频通话中催你立即操作 | 挂掉,换渠道反查 |
| 委托类签名 | 弹窗含 Authorization/Delegate | 直接拒,不要凭感觉 |
| Telegram 内嵌 | 在 Mini App 里要你签名/导入助记词 | 跳到外部浏览器再做 |
| 真合约+假前端 | spender 地址陌生 | 看 spender,不看合约名 |
| 合规邮件 | 邮件链接「立即核验」 | 不点链接,自己进官网 |
同一根主线下的不同变体
你会发现这五类套路看起来差别很大,但骨子里都在做同一件事:用一个看上去合理的入口,骗你完成一次你本不会做的关键动作。无论是签名、转账,还是把助记词敲进一个输入框,决定输赢的永远是那一下。
把日常的安全习惯一条条建立起来,再叠加这五类新套路的识别清单,2026 年余下的时间里你大概率能挡掉绝大多数主动找上门的攻击。剩下的就是别给自己临时开特例——熟人介绍、群里热推、号称官方升级,全部走同一套流程。例外,是骗局最常用的开门方式。
本文仅作科普,不构成投资建议。加密资产波动大、风险高——永远只投入你亏得起的钱。