海外华人加密货币防骗完整指南:识别杀猪盘、钓鱼攻击与恶意授权陷阱
海外华人加密资产安全必读:深度拆解杀猪盘、钓鱼网站、剪贴板劫持与钱包恶意授权的运作机制,含香港 SFC 牌照核查方法与遭骗后紧急处置步骤。
海外华人持有加密资产的比例在过去三年持续上升——USDT 跨境汇款、BTC 长期持仓、ETH DeFi 参与都已进入大量普通用户的日常操作流程。与此同时,针对中文使用者的加密货币诈骗也在同步升级:诈骗团伙使用普通话、粤语和书面中文进行接触,深入了解华人社区的信任结构、常用平台与社交习惯,手法已从粗糙的群发消息演变为精心构建的长线社交操控。
根据 FBI 2025 年互联网犯罪报告( Internet Crime Complaint Center,IC3 ),与加密货币相关的投资诈骗(大部分为"杀猪盘" Pig Butchering 模式)全年损失超过 46 亿美元,其中亚裔群体受害比例显著高于其人口占比。香港警务处在 2025 年记录的加密货币诈骗( Crypto Fraud )损失亦创下年度新高。受骗资产一旦转出至目标地址并完成链上确认( On-chain Confirmation ),区块链的不可逆性( Irreversibility )意味着几乎没有技术手段能追回资金——唯一有效的防御手段是在操作前识别威胁,在资金离开你的钱包之前中止操作。
本指南从四类主要诈骗手法入手,逐一拆解运作机制,并给出可操作的识别方法、验证步骤和遭骗后应急措施,适用于日常使用 USDT 、 BTC 、 ETH 、 SOL 进行兑换、转账和链上操作的海外华人用户。
杀猪盘( Pig Butchering Scam ):识别机制与四阶段拆解
杀猪盘(英文金融犯罪数据库中通常记为 Sha Zhu Pan 或 Pig Butchering Scam )是当前造成海外华人加密货币损失金额最高的诈骗类型。名称来源于骗局核心逻辑——先长期"养猪"( Fattening )建立情感与信任,再一次性"宰杀"( Slaughter )套取资金。与传统诈骗不同,杀猪盘骗子通常不会在早期阶段提及金钱,而是先以普通社交关系切入,建立真实感情后再引入投资主题。
四阶段运作机制
| 阶段 | 典型时间跨度 | 骗子行为特征 | 识别信号 |
|---|---|---|---|
| 第一阶段:建立接触 | 1—7 天 | 通过错误号码( Wrong Number )、LinkedIn 好友请求、微信推荐或交友软件( Dating App )发起联系,自我介绍为金融分析师、律师、科技从业者或海外华人 | 陌生人主动搭话且背景精英化 |
| 第二阶段:建立信任 | 2—8 周 | 每日聊天问候、分享"日常生活"照片(通常为盗图或 AI 生成 DeepFake ),询问家庭、工作、财务状况 | 关系推进速度异常快,情感投入度不寻常 |
| 第三阶段:引入平台 | 1—4 周 | 以"家族内部投资圈"或"量化套利机会( Arbitrage )"为由,引导安装特定 App 或访问特定网站,账户内显示可观"收益" | 平台无法通过监管机构官网核查牌照 |
| 第四阶段:宰杀( Exit Scam ) | 1—3 天 | 提现时要求缴纳"税费"、"解锁保证金"或" KYC 验证费";追加资金后对方立即失联删号( Disappear ) | 任何"缴费才能提现"都是骗局 |
识别杀猪盘的三条核心原则:
第一,任何合法投资平台的提现( Withdrawal )都不以缴纳额外费用为前提。要求用户先支付"保证金"或"税费"才能提现的平台,100% 是诈骗,不存在例外。第二,投资机会不通过陌生人的私信( Direct Message )或"错误号码"传递——真实的金融产品通过持牌机构( Licensed Institution )公开推销,无需借助人际信任链。第三,平台账户余额显示的收益数字不等于真实资产——杀猪盘平台的前端界面可以显示任意数字,但这些数字没有对应的真实链上资产。
一旦识别出杀猪盘特征,立即停止往来,不要再向该平台转入任何资金。即便账户内已有"余额",那些数字是假的。已转入的资金实际上已进入骗子控制的地址( Scammer-controlled Address ),继续充值只会扩大损失,追加"税费"后的二次损失( Secondary Loss )在杀猪盘案例中极为普遍。若已察觉被骗,可立即拨打所在地区的反诈骗热线(如香港 18222 Anti-Scam Helpline ),工作人员可提供初步评估和报案引导,部分情况下可协助联系相关金融机构尝试冻结关联账户( Account Freeze )。骗子使用的收款地址可通过 Chainalysis 、 Elliptic 等链上分析( On-chain Analytics )工具标记并在后续追踪,即便短期无法追回资金,报案记录和链上证据对后续法律程序具有重要价值。
钓鱼攻击( Phishing )、假 App 与剪贴板劫持( Clipboard Hijacker )
这三类攻击共享一个核心机制:让受害者在合法外观的界面或操作下,将资产发送至攻击者控制的地址,或直接交出钱包控制权(助记词 Seed Phrase 或私钥 Private Key )。
钓鱼网站( Phishing Site )的运作方式
钓鱼网站仿制合法兑换平台或钱包官网,域名与正版高度相似(例如将 zest.exchange 仿制为 zest-exchange.io 或 zestexchange.net),通过以下渠道分发链接:
- 搜索引擎竞价广告( Paid Search Ads / Sponsored Results ):Google 和 Bing 的付费搜索位置可出现在自然搜索结果之上,搜索"buy usdt"、"bitcoin exchange"时前两条结果可能是钓鱼广告,外观与正常搜索结果极难区分,务必辨认"广告"或" Sponsored "标签并跳过
- 微信群组( WeChat Group )和 Telegram 群组:伪装成"官方客服"或"社区管理员"的账号分发链接,有时以"限时活动"或"空投领取"为噱头
- 社交媒体仿冒账号:仿制平台官方 Twitter / X 账号,发布活动链接;仿冒账号通常用字符替换(如将字母 l 替换为数字 1 )制造视觉相似的用户名
- 电子邮件( Phishing Email ):以平台名义发送的邮件,要求"账户验证"或"安全更新",链接指向钓鱼站
任何页面要求你输入 12 或 24 个助记词( Seed Phrase )的,100% 是钓鱼页面。 合法钱包应用永远不通过网页或客服对话索取完整助记词;助记词是恢复钱包所有权的终极凭证,在任何情况下都不应在线输入或告知他人。
识别钓鱼网站的有效检查方式:打开浏览器地址栏,手动核对每一个字符(特别注意连字符、后缀差异,如 .io 替代 .com 或 .net 替代 .exchange );从浏览器收藏夹( Bookmark )打开官网,而不依赖搜索引擎结果;点击链接前将鼠标悬停( Hover )在链接上预览完整目标 URL ;在首次访问任何兑换平台时,通过 WHOIS(如 whois.domaintools.com )查询域名注册年份,注册时间不足一年的新域名需要提高警惕。所有正规兑换平台均不会在用户登录后弹出"请输入助记词以解锁账户"的提示。
假 App 的传播路径
假 App( Fake Application )通过非官方渠道分发,绕过 App Store 和 Google Play 的安全审核:
- TestFlight 侧载( iOS ):TestFlight 是苹果的开发者测试工具,骗子发送 TestFlight 邀请链接要求安装"更新版"或"内部版"App ——普通用户不应接受任何通过私信发来的 TestFlight 邀请
- .apk 直接安装( Android ):聊天中发送 .apk 安装包链接,要求开启"未知来源安装( Unknown Sources )"权限,这是最危险的安装途径之一
- App Store / Google Play 仿冒应用:部分假 App 暂时通过了平台审核,与正版 App 名称或图标相似,安装前核实开发者( Developer )名称与平台官方法律实体一致
正版非托管钱包( OKX Wallet 、 imToken 、 MetaMask )和持牌交易所( HashKey Exchange 、 OSL )从不通过 Telegram 私信或陌生人聊天发送 App 安装链接。 唯一安全的安装路径是在浏览器中直接输入官网域名,通过官网的下载链接跳转至 App Store 或 Google Play 。
剪贴板劫持恶意软件( Clipboard Hijacker Malware )
剪贴板劫持是一类运行于后台的恶意程序,持续监控系统剪贴板( System Clipboard )内容。当检测到用户复制的内容符合加密货币地址格式(如 BTC 的 bc1... 或 1...、ETH 的 0x...、Tron 的 T...),立即将剪贴板中的合法地址替换为攻击者控制的地址( Attacker-controlled Address )。
感染途径: 盗版软件或破解版应用(如破解版 Adobe 、 Office )、非官方渠道下载的桌面版钱包、恶意浏览器扩展( Malicious Browser Extension )、以"加速器"或" VPN "为名在 Telegram 频道分发的安装包。
典型受害场景: 用户准备向兑换平台的存款地址( Deposit Address )转入 1 BTC ,从兑换界面复制了平台分配的 BTC 地址,粘贴到钱包发送框后未核对便点击确认,BTC 发往的是后台被替换的攻击者地址。交易链上已确认,无法撤回,也无法通过平台追回——因为资金从未进入平台。
防护操作:每次粘贴加密货币地址到发送框后,肉眼逐字符核对地址的前 6 位和后 6 位,对照来源(如兑换平台界面或对方钱包的收款界面)逐字符确认无误再发出。 攻击者会精心构造与目标地址前几位相同的替换地址,仅核对前 4 位不够,必须同时核对后 6 位。这 15 秒的核查步骤是防范剪贴板劫持( Clipboard Hijacking )最有效也最直接的方式。
钱包恶意授权( Wallet Drainer )与假客服( Fake Support )
代币授权( Token Approval )机制与钱包 Drainer
在以太坊( Ethereum )和 BNB Smart Chain 等 EVM 兼容链上,当用户与 DeFi 协议(如 Uniswap 、 Aave 、 Curve )交互时,需要通过签署一笔 Approve 交易,允许该协议的合约地址( Contract Address )从你的钱包中划转指定代币(如 USDT 、 WBTC 、 ETH )至一定额度上限。这是 EVM 生态的正常设计机制。
**钱包恶意授权诈骗( Wallet Drainer Attack )**利用同一机制:
- 受害者在仿制的 DeFi 前端页面上点击"领取空投( Claim Airdrop )"或"连接钱包( Connect Wallet )"
- 钱包弹出签名请求( Signature Request ),看似是标准的
Approve操作或setApprovalForAll( NFT 相关)请求 - 用户未仔细阅读合约地址便点击确认( Confirm )
- 该授权将钱包内所有指定代币的转出权限赋予了攻击者地址( Malicious Contract ),授权额度通常为无限制(
uint256 max) - 攻击者脚本在授权确认后数秒内自动将目标代币转出至他们的混币地址( Mixer Address )
高风险触发场景包括:点击 Telegram 或 Twitter / X 中分发的"空投领取"链接;在陌生 DeFi 前端首次连接钱包后执行 Approve ;签署 setApprovalForAll 请求(允许目标合约转出钱包内所有 NFT );连接钱包后"仅签名验证"但实际上触发了 EIP-712 类型( EIP-712 Typed Data )签名,此类签名无需 Gas 但仍可划转资产。
检查和撤销可疑授权( Revoke Approval ): 若怀疑已签署过可疑 Approve ,立即访问 Revoke.cash ,连接钱包,查看所有现有授权,对不认识的合约地址立即点击撤销( Revoke )。撤销本身是一笔链上写入交易,需消耗少量 ETH 或 BNB 作为 Gas 费。若攻击者已利用授权转出资产,撤销无法追回已损失的代币,只能阻止进一步划转。发现可疑授权后应立即撤销,然后将剩余资产迁移至全新生成的钱包地址,旧地址永久弃用。
假客服( Fake Support )与假官方账号
在 Telegram 群组中,攻击者使用与官方管理员( Admin )极为相似的用户名(例如将 ZestSupport 仿冒为 ZestSupport_HK 或 Zest_Official_CS ),主动私信在群内公开提问的用户,自称是"官方客服( Official Support )"。
高频话术示例:
- "您的账户存在安全风险( Security Risk ),需在 24 小时内完成身份验证,否则资产将被冻结( Frozen )"
- "您的兑换订单( Exchange Order )出现异常,请提供钱包地址和最近三笔 TXID 以便核查"
- "为完成合规 KYC 验证,请通过以下链接提交手持证件照( Selfie with ID )"
- "您的提现需支付 50 USDT 的'区块链矿工费押金'才能解锁( Unlock )"
合法平台客服从不主动通过 Telegram 或微信私信( Private Message )联系用户,从不要求提供助记词、私钥、完整密码,也从不要求追加资金作为"解锁费"。 合法客服渠道仅限:官网内嵌的在线聊天( Live Chat )、官方邮件(发件域名与官网主域名完全一致)。收到来自 Telegram 或微信的客服私信,默认视为诈骗,不回复、不点击、不付款。
香港 SFC 牌照核查与遭骗后紧急处置
香港 SFC VASP 牌照核查方法
香港证监会( Securities and Futures Commission,SFC )自 2023 年 6 月起对所有在香港运营或向香港用户提供虚拟资产服务( Virtual Asset Service )的平台实施强制牌照制度( VASP Licence )。在使用任何声称受香港监管的交易所之前,通过以下步骤核实:
- 访问 SFC 官方网站(
www.sfc.hk)→「投资者园地( Investor Resources )」→「持牌及注册实体( Regulated Entities )」→「持牌人名单( List of Licensed Persons )」,在类别( Type )中选择"虚拟资产交易平台( Virtual Asset Trading Platform )" - 在列表中搜索该平台的注册法律实体名称( Registered Entity Name ),核实牌照状态为"持牌( Licensed )"而非仅为申请中( Applicant )或条件豁免
- 核实牌照适用范围涵盖第 1 类(证券交易,Type 1 Regulated Activity )和第 7 类(提供自动化交易服务,Type 7 )
- 额外核查:在 Google 搜索目标平台名称加"SFC 警告( SFC Warning )",SFC 公开发布的平台警告通知( Public Warning )可直接排除高风险平台
截至 2026 年,香港 SFC 正式持牌的主要虚拟资产交易平台包括 HashKey Exchange 、 OSL Exchange 、 HKVAX 等。持牌平台须将 98% 以上客户资产存于冷存储( Cold Storage ),严格执行 AML/CFT(反洗钱 / 反恐融资)审核,且接受 SFC 的定期检查( Regular Inspection )。
对于无 KYC 即时兑换服务( Non-KYC Instant Exchange ),其运营模式与中心化交易所( Centralized Exchange )不同,不适用 VASP 牌照框架,但可通过以下方式评估可信度:官网域名历史(通过 WHOIS 查询注册时间和持有人)、公开的 AML/CFT 政策说明页面、是否使用 HTTPS 且 SSL 证书( SSL Certificate )颁发对象与官网主域名一致、在主流加密货币社区(如 Reddit、Bitcointalk )中是否有三年以上的真实用户讨论记录。高质量的无 KYC 即时兑换平台通常运营时间超过三年,有公开可核查的链上结算记录( On-chain Settlement Records )可供独立验证,不仅仅依赖平台自身声明。
遭骗后的紧急处置步骤
遭遇以下任何情况——向可疑地址转出资金、在钓鱼网站( Phishing Site )输入了助记词、签署了可疑 Approve 授权——按以下优先级依次处理:
步骤一:立即隔离受损钱包(最高优先级)
若助记词( Seed Phrase )或私钥( Private Key )已泄露,该钱包地址及其所有子地址( Derived Addresses )均视为永久失陷( Compromised )。立即操作:在一台全新或已恢复出厂设置的设备上生成新钱包(重新安装应用并生成全新助记词),将受损钱包中所有剩余资产(包括 BTC 、 ETH 、 USDT 、 SOL 等全部代币)迁移至新地址。注意迁移时保留少量 ETH 或 TRX 或 BNB 用于支付链上 Gas 费(迁移后旧地址永久弃用,不再充值)。
步骤二:撤销 EVM 链上的可疑授权
访问 Revoke.cash ,连接受损钱包(受损地址用于查询,不需要输入助记词),查看并撤销所有不认识的合约授权( Unknown Approvals )。撤销需少量 ETH 或 BNB 作为 Gas ;若钱包内原生代币已被清空,先向旧地址转入少量 Gas 再执行撤销,防止残余代币被进一步划走。
步骤三:报案与完整记录
尽管链上资产的追回概率较低,报案仍然重要:执法机构可向中心化交易所( Centralized Exchange )申请司法协助冻结骗子的出金账户( Exit Account );保险公司在处理电信诈骗( Fraud )相关理赔时通常要求提供正式报案记录( Official Report Reference Number );完整的 TXID 链条是法庭证据( Court Evidence )的重要组成部分。
- 香港:向警务处网络安全及科技罪案调查科( CSTCB )报案,拨打反诈骗协调中心热线 18222 或发送报案邮件至 crime@police.gov.hk
- 澳洲华人:向澳洲联邦警察( Australian Federal Police,AFP )和澳大利亚证券与投资委员会( ASIC )报案,并可通过 ReportCyber 平台( reportcyber.gov.au )在线提交
- 新加坡华人:向新加坡警察部队( SPF )和新加坡金融管理局( MAS )报案
- 英国华人:向行动欺诈( Action Fraud )报案,并通知英国金融行为监管局( Financial Conduct Authority,FCA )报案
报案时保存并提交:与骗子的全部聊天记录截图(含时间戳 Timestamp )、所有转账 TXID (链上交易哈希)、钓鱼网站域名或 App 下载链接、银行或交易所的出入金流水记录。链上溯源( On-chain Tracing )在技术上可行,执法机构可追踪资金流向至中心化交易所出金点( Off-ramp ),但跨境协作的执法周期较长,成功追回的案例主要集中于大额损失。
步骤四:检查相关账户并加固安全
诈骗者在获取钱包凭证后通常同时尝试攻击其他关联账户:更换所有在同一设备使用过的中心化交易所账号密码(建议使用密码管理器 Password Manager 生成并存储唯一随机密码);为交易所账户开启双因素认证( Two-Factor Authentication,2FA ),使用 Google Authenticator 或 Authy( App-based OTP ),而非 SMS 短信验证码(后者可被 SIM Swap 攻击绕过);检查关联邮箱是否被添加了恶意转发规则( Mail Forwarding Rule )或垃圾邮件过滤器( Spam Filter ),攻击者常以此拦截交易所的安全邮件通知。
操作前安全核查清单与常见问题
每次操作前核查清单
发起兑换或转账前:
- 当前使用的网站域名与平台官网完全一致,通过浏览器收藏夹或手动输入打开,不依赖搜索引擎结果(特别是搜索结果顶部的广告位)
- App 是从 App Store 或 Google Play 通过官网链接跳转下载的正版应用,开发者名称与平台官方法律实体一致
- 接收地址由接收方当面提供或通过已验证可信渠道索取,而非来自 Telegram 群或私信
- 粘贴地址到发送框后,对照地址来源逐字符核对前 6 位和后 6 位,确认无误再点击发送
- 确认当前设备没有运行可疑的 Telegram Bot 、浏览器扩展( Browser Extension )或从非官方渠道安装的工具软件
连接钱包到 DeFi 协议前:
- 通过协议官方 Twitter / X 认证账号上的固定链接( Pinned Link )进入,而非搜索结果或转发链接
- 钱包弹出 Approve 请求时,核实目标合约地址( Contract Address )与协议官方文档中列出的合约地址一致(在 Etherscan 上搜索合约地址,确认来源为知名协议)
- 若操作完成后不再需要该授权,立即通过 Revoke.cash 将对应授权额度设为 0
收到投资推荐前:
- 推荐来源是现实生活中认识的真实人士,而非通过网络主动接触的陌生人
- 平台已在 SFC 、 MAS 、 ASIC 或 FCA 等监管机构官网核实为正式持牌机构( Duly Licensed ),不接受"曾申请"或"审核中"状态
- 平台允许先提现少量资金至你控制的非托管钱包( Non-custodial Wallet )作为验证,不要求缴纳任何附加费用
进行 USDT 与 BTC 、 ETH 、 SOL 等资产兑换时,可在 Zest USDT 兑换页面 发起操作。将目标资产地址粘贴至收款框后,务必对照你的钱包收款界面核对地址的前 6 位和后 6 位——这一检查步骤是防御剪贴板劫持恶意软件( Clipboard Hijacker )的唯一有效手段,也是平台无法替你做到的安全操作。
常见问题
| 问题 | 简答 |
|---|---|
| 骗子的假 App 与正版界面几乎一样,怎么区分? | 从官网跳转 App Store 下载,拒绝 TestFlight 邀请;核实 App 开发者名称与平台官方法律实体一致 |
| 收到"SFC 认可"或"受香港监管"声明的平台可信吗? | 须在 SFC 官网持牌名单中找到对应法律实体名称才可信;仅声称受监管而查不到记录的视为未持牌平台 |
| 已在假平台充入 USDT 但未点提现,资金能追回吗? | 极难。链上资金已进入骗子地址;不要再追加(以"解锁提现"为由追加是第二次诈骗),立即报案 |
| 撤销 Approve 授权后,已被转走的资产能追回吗? | 不能。Revoke 仅阻止未来继续划转,已确认的链上转账不可逆 |
| 使用硬件钱包( Ledger 、 Trezor )能防御授权攻击吗? | 硬件钱包在设备屏幕显示签名内容,能降低盲签风险,但仍须仔细核对设备显示的合约地址 |
| 2FA 双因素认证能防止交易所账号被盗吗? | 显著提升安全,但需使用 Authenticator App( Google Authenticator 、 Authy ),而非 SMS 短信(可被 SIM Swap 绕过) |
| 向家人解释这类诈骗的最简单方式是什么? | 核心一条:任何在网上认识的陌生人,无论多可信,都不应依据其推荐将加密资产转入任何平台 |
| 发现可疑钓鱼网站应如何举报? | 向 Google Safe Browsing 举报(safebrowsing.google.com);香港用户可向警务处网络罪行组举报 |