我的加密货币钱包被清空了，该怎么办？（分步救援指南）

如果您现在处于恐慌状态，请直接跳到下面的最初 60 分钟部分。所有其他部分是在完成紧急处理后的背景信息和清理工作。第一小时的目标很简单：保留仍可挽救的资产，阻止仍在转移中的资产，避免因慌乱交易使情况更糟。一旦止血完毕，本指南的其余部分将引导您完成 24 小时检查清单、7 天检查清单，以及如何确保下次不再发生。

清空究竟是如何发生的

了解攻击向量很重要，因为这会告诉您设备上还有哪些内容被入侵了。在我们看到的几乎每个案例中，清空攻击都可以追溯到以下五个根本原因之一。请仔细阅读，因为打击您的那个原因也告诉您清理工作需要深入到什么程度。

1. 您点击了钓鱼链接并签署了 Permit2 授权。 该网站看起来像 Uniswap、OpenSea、热门空投认领页面或钱包登录界面。您批准的签名不是兑换或登录，而是授予攻击者对您代币的无限消费权。无需恶意软件——密钥本身从未离开您的钱包，但权限已经离开了。
2. 您运行了 ClickFix"验证码"PowerShell 命令。 一个假冒的 Cloudflare 或 Google 验证页面要求您按 Windows+R，粘贴一条命令并回车。该命令下载了一个信息窃取程序，扫描您的浏览器中的钱包扩展、存储在笔记中的助记词和会话令牌。我们的 ClickFix 防护页面详细介绍了这一点。
3. 您下载了假冒的钱包或硬件钱包应用。 谷歌广告或论坛链接指向 MetaMask、Phantom、Trust Wallet 或 Ledger Live 的克隆版本。安装程序看起来合法，甚至一开始运行正常。在设置时它泄露了您的助记词，或者在每次出账交易时悄悄替换目标地址。
4. 您在假冒的恢复或同步页面上输入了助记词。 一个弹窗、一条客服私信或一则搜索广告告诉您的钱包"不同步"，要求您输入 12 或 24 个词。这包括我们在假冒 Ledger 邮件警告中详细介绍的 Ledger 变体。真正的钱包从不在网站上索取您的助记词。
5. 您安装了恶意浏览器扩展程序。 它可能是"钱包助手"、截图工具、PDF 阅读器或 AI 助手。安装后，它读取剪贴板内容，实时重写地址，在某些情况下直接将交易注入您的钱包会话。

什么可以挽救，什么不能

诚实地设定预期，因为下一个错误决定通常来自于希望一种不可能的恢复。

• 无法挽救。 已被清空并兑换的代币。区块链上的已签名交易没有撤销操作。跨链桥转移的资金、混币的资金和已套现的资金对散户来说已经消失了。任何告诉您相反情况的人都想要您的钱。
• 有时可以挽救。 质押仓位、锁定的 LP、与您地址绑定的未来空投分配、攻击者尚未挂牌出售的 NFT、归属团队代币。如果您在攻击者注意到之前采取行动，可以将这些转移到新钱包。
• 部分可能，罕见且昂贵。 链上取证公司有时可以追踪资金到中心化交易所，并与执法部门合作冻结资金。这只对六位数和七位数的损失现实可行，需要数月时间，且需要预付大额定金。

24 小时检查清单

第一个小时结束、可挽救的资产已转入新钱包后，您有 24 小时来完成枯燥但至关重要的清理工作。在睡觉前完成以下清单。

• 如果代币通过交易所转移，请通知该交易所。 如果攻击者将资金转移到 Binance、Coinbase、Kraken、Bybit 或任何中心化交易所，请立即联系其合规团队，提供交易哈希和清空程序地址。某些链和某些交易所会在调查期间冻结资金，尤其是当您行动迅速时。
• 在 Chainabuse 上提交报告。 标记攻击者钱包并描述事件。这会减慢攻击者的套现速度，因为主要交易所和跨链桥会读取 Chainabuse 的数据。您的报告有助于您自己，也有助于下一个差点中招的人。
• 检查清空程序钱包是否已被标记。 通过 Chainalysis、TRM Labs 或 Etherscan 和 Solscan 上的公共标签查询攻击者地址。预先标记的地址有助于您与交易所的沟通、保险理赔（如有）以及您提交的任何警察报告。
• 更改所有非加密账户的密码。 如果攻击向量是恶意软件或假安装程序，攻击者可能已获取您的浏览器保存密码、会话 Cookie 以及您当时打开的所有内容。电子邮件、银行、云存储、密码管理器主密码、社交媒体以及 Steam 或游戏账户都需要新的唯一密码和全新 2FA。
• 向当地警方和 IC3（美国）或 Action Fraud（英国）提交报告。 不是因为他们会追回资金，而是因为您需要案号用于税务、保险以及任何交易所冻结请求。

7 天检查清单

在证明设备清洁之前，假设它仍然受到入侵。助记词窃取程序不会在完成一次盗窃后自行卸载，它会等待您设置下一个钱包。

• 为新助记词设置硬件钱包。 Ledger、Trezor、Keystone 或类似产品。直接从制造商购买，切勿从第三方市场购买。到货后验证封条，在设备上生成助记词，而不是在盒子里附带的纸上生成。
• 对接触过旧助记词的所有设备进行完整操作系统重装。 不是扫描，不是运行 Malwarebytes。对 Windows、macOS 或您的手机进行完整擦除和全新安装。窃取助记词的恶意软件家族被设计成能在所有常见清理工具中存活。
• 为共享电子邮件或密码的所有账户设置唯一密码和 2FA。 使用密码管理器，并尽可能使用基于应用程序或硬件的 2FA 而非短信验证。
• 考虑为加密货币创建新的电子邮件地址。 您的旧电子邮件现在已被攻击者列入钓鱼和凭证填充的目标名单。专用的加密货币电子邮件配备独立密码和独立 2FA，能大幅缩小攻击面。
• 审查攻击者看到了什么。 如果信息窃取程序运行过，假设"下载"、"桌面"和"文档"中的每个文件都已被上传。税务文件、身份证扫描件以及任何助记词备份照片都应视为已泄露。

永不再犯：真正能防止下次被盗的方法

被盗事件之所以反复发生，是因为导致第一次被盗的习惯仍然存在。改变习惯，而不仅仅是更换钱包。

• 超过零花钱的资产使用硬件钱包。 如果损失了会很痛，就应该放在硬件钱包上。一个冷签名设备能一举阻止所有信息窃取程序、所有假安装程序和所有浏览器扩展攻击。
• 助记词永远离线保存。 永远不要将助记词输入网站、浏览器字段、官方钱包设置之外的手机应用程序、密码管理器、笔记应用、云盘或照片中。纸张、金属备份板和保险柜是唯一正确的存放地点。
• 分离热钱包和冷库钱包。 保持一个小额热钱包用于日常使用和铸造，以及一个冷库钱包用于储蓄。冷库钱包只在硬件设备上签名，且只在您刻意将资金从热钱包转入时操作。
• 在点击之前拦截钓鱼和清空程序网站。 实时检查 URL 的浏览器扩展是加密货币领域最便宜的保险。查看我们的钱包守护替代方案指南，了解点击前拦截与交易模拟的比较。
• 阅读每一个签名提示。 永不盲签。如果提示显示"Permit2"、"SetApprovalForAll"或不熟悉的合约，请取消并检查域名。大多数清空攻击需要您的点击才能成功。
• 将真正的钱包和 DEX 网站加入书签。 切勿通过搜索引擎广告访问 Uniswap、MetaMask、Phantom 或 Ledger。搜索广告是钱包仿冒网站的头号传播渠道。

即将被盗的危险信号

这些是人们在签署错误交易前看到的确切提示。如果出现以下任何一种情况，请停下来，关闭标签页，通过钱包官方网站进行验证。

• "重新验证您的钱包"或"您的钱包不同步"。 没有真正的钱包会这样要求。这始终是钓鱼页面。
• MetaMask 或 Phantom 在钱包自身更新流程之外显示的"更新"提示。 更新通过浏览器商店或钱包设置进行，而不是通过网页横幅。
• 针对您不认识的合约的签名请求。 如果您无法读取函数名称和受影响的代币，请勿签名。两秒钟的摩擦能救下整个钱包。
• Ledger 客服要求提供您的 24 个词。 Ledger 客服永远不会这样要求。没有任何合法的钱包制造商会这样做。一旦客服提出"助记词"或"恢复短语"，您就是在与攻击者交谈。
• 需要签名才能"验证资格"的认领页面。 资格检查是只读的。如果认领在显示金额之前需要您的签名，那就是一个清空程序。

恢复模式中的常见错误

恐慌会让人做出将糟糕的一天变成更糟糕的一周的事情。注意以下几点。

• 在同一设备上将资金慌乱转移到另一个热钱包。 如果您的机器已被感染，新钱包在设置完成的那一刻就已经被入侵。请使用不同的设备，最好是硬件钱包。
• 在"恢复服务"网站上输入新助记词。 没有任何合法的恢复服务需要您的新助记词。将新助记词输入任何恢复表单的每一个结果都是第二次被盗。
• 向"黑客"付费寻求恢复。 在被盗后几分钟内通过 Telegram 和 X 私信您、提出收费或抽成进行恢复的账户，要么是原始攻击者，要么是第二个骗子。拉黑并继续。
• 向"客服"提供您的助记词以帮助恢复。 真正的客服永远不需要您的助记词。无论是 MetaMask、Ledger、Trezor、Phantom 还是任何交易所，都不需要。索取助记词的请求就是被骗的证明。
• 忽视设备问题。 人们专注于钱包而忘记了笔记本电脑。如果根本原因是恶意软件，而您不擦除机器，下一个助记词会以同样的方式消失。