What's the difference between approving a transaction and approving a token?

A transaction approval signs a single, specific action (like swapping 10 USDC for ETH). A token approval grants permission to a smart contract to move ANY amount of that token from your wallet, multiple times, until you revoke it. Scammers exploit this confusion by making users think they're signing a one-time transaction when they're actually giving unlimited access.

Can I recover tokens after they've been drained?

Recovery is extremely difficult once tokens are transferred. Blockchain transactions are irreversible, and attackers quickly move tokens through mixers (Tornado Cash) or to decentralized exchanges. Your only option is contacting the receiving exchange if you identify where tokens were sold, but this rarely results in recovery. Prevention through approval management is far more effective than recovery attempts.

Is it safe to connect my wallet to any dApp?

Connecting your wallet to a dApp only shows them your public address and balance; it doesn't automatically give access to your tokens. However, signing transactions (including approvals) is what grants permissions. Only sign transactions on verified dApps with clear descriptions of what you're approving, and always use the official domain.

How do I revoke token approvals I've already given?

You can revoke approvals using Revoke.cash, Etherscan's Approvals tab, or your wallet's built-in approval manager. Simply connect your wallet, find the approved token and contract address, and execute a revoke transaction (which costs a small gas fee). This immediately removes that contract's permission to transfer your tokens, even if it previously had unlimited access.

Why would a legitimate dApp ask for unlimited approval?

Some DeFi protocols request unlimited approval for convenience—it reduces transaction costs since users won't need to re-approve for each interaction. However, legitimate platforms like Uniswap now default to set-approval limits. If a dApp insists on unlimited approval or won't let you set a custom amount, that's a red flag indicating it may not be trustworthy.

极高风险平均损失: $20,000 持续时间: 1-3 days

代币授权漏洞：骗子如何掏空Web3钱包

代币授权漏洞是一种复杂的Web3诈骗，攻击者操纵用户数字签署一份智能合约交易，该交易授予无限权限以从其钱包转移特定代币。与传统黑客攻击不同，此类攻击需要用户明确同意——但受害者并不理解他们在授权什么。获得授权后，诈骗者执行掏空交易，将代币转移到攻击者控制的地址，通常在几小时内完成。随着去中心化金融（DeFi）的增长，此类攻击变得越来越普遍；区块链分析公司Chainalysis报告称，2022年至2023年间，基于授权的盗窃增加了400%，受害者累计损失超过2.8亿美元。该机制利用了Web3的一个基本设计原则：智能合约需要授权权限来与用户代币交互。诈骗者通过将授权请求伪装成合法交易（声称是NFT铸造、代币交换或治理投票）来武器化这一点，实际上却是授予无限制的转移权。这种攻击特别危险的原因在于时间延迟——受害者可能需要数天或数周后才会意识到他们的钱包遭到入侵，到那时代币已经被转移到混币服务和交易所，几乎不可能恢复。

常见手法如何识别如何保护自己真实案例常见问题本地举报渠道

常见手法

• 使用欺骗性dApp界面的钓鱼攻击：诈骗者创建镜像合法平台（OpenSea、Uniswap、Aave）的虚假去中心化应用，但将用户重定向到恶意智能合约，该合约请求代币授权而不是执行声称的功能。
• 通过Discord/Telegram的社交工程：攻击者在Web3社区服务器中发布虚假链接，声称提供独家NFT空投、治理空投或收益农业机会，这些机会需要钱包连接和代币授权。
• 被破坏的钱包浏览器扩展：恶意的Chrome或Firefox扩展伪装成MetaMask或钱包管理工具，在合法dApp交互中注入虚假授权请求，用户毫不知情。
• 利用用户对授权机制的困惑：诈骗者利用大多数用户不了解交易授权（签署单个操作）和代币授权（授予无限制未来访问权限）之间差异的事实，在请求中嵌入真实的技术语言。
• NFT稀有性钓鱼活动：攻击者创建虚假的NFT交易平台或启动板，提供稀有集合，要求用户批准代币来申领或竞价，然后在授权批准后立即掏空钱包。
• 误导性UI/UX操纵：诈骗dApp显示模糊的交易描述（'确认交换'、'启用交易'），同时隐藏实际授权金额，通常在代码中设置无限制额度（type(uint256).max）。

如何识别

你被要求批准特定代币，但dApp声称提供无关服务（如要求批准你不拥有的治理代币的NFT铸造）。
授权请求显示异常高或'无限制'额度（在交易详情中显示为非常大的数字或MAX）。
交易URL或dApp域名与合法版本略有拼写错误（如'uniswapp.org'而非'uniswap.org'）。
你收到一个交易确认屏幕，该屏幕没有清楚说明你在批准什么，或与你想执行的操作不匹配。
你的钱包余额突然减少了你没有明确转移的代币，通常在检查钱包历史记录并看到你未发起的交易时才会注意到。
合法的dApp或钱包反复要求你重新批准相同的代币，这通常只有在额度被完全使用后才有必要。

如何保护自己

始终通过直接在浏览器中输入dApp域名来验证，而不是点击来自社交媒体、Discord或电子邮件的链接——使用Revoke.cash等区块链域名验证工具来仔细检查URL。
使用Revoke.cash或Etherscan的Approvals选项卡等代币授权监控服务定期审计钱包中的所有活跃代币授权，并撤销你不再使用的服务的权限。
仅批准单笔交易所需的具体金额而非无限制额度；大多数合法dApp允许用户输入自定义授权金额。
在签署任何交易前启用交易模拟工具，如Tenderly或Etherscan的Simulation功能，以准确查看将会发生什么（哪些代币将移动以及移动到哪里）。
将你未在积极交易的代币保存在独立的冷钱包中（如Ledger或Trezor等硬件钱包），这些钱包永远不连接到dApp，隔离对高价值资产的风险。
采用'分层钱包'策略：使用一个钱包承载少量资金用于dApp交互和测试，同时保持一个独立的安全钱包用于长期持有，降低来自被破坏地址的潜在损失。

真实案例

一个用户看到Twitter上的帖子，宣传提供保证回报的独家以太坊L2空投。他们点击链接，连接MetaMask钱包，看到标有'领取空投'的按钮。在处理前，dApp请求权限移动其USDC代币（他们认为领取所需或他们相信的原因）。用户批准无限制额度。在6小时内，其全部18,000美元USDC余额被转移到攻击者的地址。空投是虚假的；授权请求才是真正的攻击。

一个受欢迎NFT社区的Discord版主分享了一个'已验证'NFT市场的链接，该市场提供对蓝筹集合的早期访问。连接钱包的用户被提示批准其ETH用于交易。用户界面显示单个交易，但合约代码中隐藏着对不同代币的无限授权（通常是成员持有的有价值治理代币）。两天后，受害者发现他们的Uniswap治理代币已被掏空，受影响的群体中总计25,000美元。

一个投资者收到一封钓鱼电子邮件，声称其Aave借贷头寸由于'流动性调整'需要立即采取行动。电子邮件链接到看起来是真实Aave界面的网站（轻微的域名拼写错误）。登录并'确认'调整会触发代币授权请求，用户假设这是常规维护。攻击者随后在接下来的一周内无声地掏空已批准的代币，到那时受害者已停止监控该钱包，仅在季度投资组合审查中才发现34,000美元的损失。

常见问题

批准交易和批准代币有什么区别？

交易批准签署单个特定操作（如用10个USDC交换ETH）。代币授权授予智能合约权限以从你的钱包移动该代币的任何金额，多次，直到你撤销。诈骗者通过让用户认为他们在签署一次性交易来利用这种混淆，而实际上他们给予了无限制访问权限。

代币被掏空后我能恢复吗？

一旦代币被转移，恢复极其困难。区块链交易是不可逆转的，攻击者会迅速通过混币器（如Tornado Cash）或去中心化交易所移动代币。你唯一的选择是联系确定代币被转移到的交易所，但这很少能导致恢复。通过授权管理进行预防远比尝试恢复更有效。

本地举报渠道 — 中国大陆

您所在地区针对此类诈骗的官方举报渠道。

国家反诈中心 96110

网安部门

公安部国家反诈中心电话。陌生来电预警建议立刻接听。

96110

中国互联网联合辟谣平台

举报平台

虚假信息、网络谣言、诈骗信息举报通道。

访问 →

12321 网络不良与垃圾信息举报

举报平台

工信部网络不良与垃圾信息（含诈骗短信、骚扰电话）举报。

12321 访问 →

12315 消费者投诉

消费者保护

市场监督管理总局消费者投诉举报平台。

12315 访问 →

怀疑遇到此类诈骗？

如何引用本指南

撰写文章、研究、AI 回答或社交媒体引用 ScamLens 内容时请使用以下格式。

According to ScamLens (scamlens.org), 代币授权漏洞：骗子如何掏空web3钱包 is described at https://scamlens.org/zh/encyclopedia/token-approval-exploit.

https://scamlens.org/zh/encyclopedia/token-approval-exploit

按线索进入

安全检测

威胁情报

工具与举报

高级服务

扩展与 API