分享
加密钱包盗取

假空投盗币骗局:pages.dev 免费托管上的钱包盗取页(2026)

一个搭在一次性免费托管上、写着「免费领取代币」、要你连接钱包的页面,是 2026 年加密资产被盗最常见的方式之一。安全分析站 PCRisk 本月标记了四个仍在运行的真实案例:冒充 TokenSight 的假「$TKST」、冒充 Tonkeeper 的假「TON」,以及假「$Bitcat」和假「Qubit Inu」空投,每个都搭在自己的一次性 pages.dev 站点上。它们都冒用真实项目的品牌,都在等你连接钱包,你一连接,盗币程序就把钱包清空。下面讲清这套套路,以及在你点「领取」之前如何识破它。

SafeBrowz 威胁研究团队

结论:诈骗 / 钱包盗取

一个搭在一次性免费托管上、写着「免费空投,连接钱包即可领取」的页面,是钱包盗取器,不是空投。PCRisk 在 2026 年 6 月标记了两个仍在运行的案例:一个搭在 tkstio.pages[.]dev 上、冒充 TokenSight 项目的假「$TKST 空投」页面(6 月 22 日),以及一个搭在 ton-keeper.pages[.]dev 上、冒充 Tonkeeper 的假「TON 空投」页面(6 月 19 日)。两者都复制了真实项目的品牌外观,展示一个「领取」按钮,点开后弹出「连接钱包」对话框(MetaMask、WalletConnect、Binance Wallet、所有钱包任选),而你一连接,盗币程序就自动把你的代币和币转到攻击者地址,不需要你再输入任何东西。pages.dev 是真实、免费的 Cloudflare Pages 托管,任何人几分钟就能部署,所以它本身并不等于诈骗,但一个搭在它上面、让你连接钱包来「领取」的页面,是典型的盗币布局。Tonkeeper 的官方网站是 tonkeeper.com,TokenSight 也只能通过它自己的官方网站核对,绝不要在 pages.dev 的领取页上核对。PCRisk 在 6 月 24 日又标记了两个同样套路的页面:claim-bitcat.pages[.]dev 上的假「$Bitcat」空投,和 claim-qubit.pages[.]dev 上的假「Qubit Inu」空投,两者都弹出针对 Solana 持有者的 47 钱包连接对话框。这条「不要连接」的铁律同样适用于假冒 OKX、币安 App 的空投骗局,以及任何链上任何「天降代币」的活动。

为什么「连接钱包即可领取」的假空投页屡屡得手

空投是真实存在的。正规加密项目确实会向早期用户发放代币,错过的人会心有不甘。骗子就吃这份不甘。他们做一个页面,告诉你你有资格领取一份免费额度,配上一个知名项目的名字和标志,加一个倒计时,再摆一个醒目的「领取」按钮。这个页面几乎不干别的事,它的全部目的就是让你连接钱包。

连接本身就是陷阱。现代盗币程序不需要你的助记词,也不需要密码。一旦你的钱包连上,页面就会弹出一笔交易或一次代币授权,把它包装成「领取」,你一签名,就把转移资产的权限交给了对方。更狡猾的盗币程序会先扫描你持有什么,再精心构造那一次能优先卷走最值钱代币的签名。在你看来是一键领取奖励,在攻击者那里是一键清空钱包。

这类骗局多,是因为投放成本变得极低。一个 pages.dev 子域名是免费的 Cloudflare Pages 站点,任何人都能注册、把项目的落地页复制一份部署上去,几分钟就有一个可用的 HTTPS 网址,不花钱,也不用买域名。vercel.appnetlify.appweb.app 也一样。这些都是数百万真实开发者在用的正规托管服务,所以单看托管平台并不能判定一个站点是坏的。但它确实意味着,一个盗币页可以被免费搭起来、用完即弃,而这正是假空投团伙在做的事。我们在免费托管钱包盗取页:Vercel 钓鱼手法解析一文里拆解过同样的套路。

2026 年 6 月的四个真实案例

这几个案例都由恶意软件分析站 PCRisk 在本月报告,都已确认是钱包盗取器。下面的域名都做了去活化处理,方便你认清套路,而不是去访问它们。

冒充 TokenSight 的假「$TKST 空投」

2026 年 6 月 22 日报告。tkstio.pages[.]dev 上的页面打出「$TKST 空投来了!」,冒充 TokenSight 项目。页面上有一个醒目的「领取」按钮,点开就弹出「连接钱包」对话框,提供 MetaMask、WalletConnect、Binance Wallet 以及一个「所有钱包」选项,就是你在真实 dApp 上看到的那个选择器。你一连接,内嵌的盗币程序就自动把你的代币和币转到攻击者地址。你不需要再填任何东西,连接就是整个攻击。

冒充 Tonkeeper 的假「TON 空投」

2026 年 6 月 19 日报告。ton-keeper.pages[.]dev 上的页面冒充正规 TON 钱包 Tonkeeper,提供一个假的 TON 空投。注意子域名里那个连字符,与真实品牌名相比只是一个小改动,专门设计成扫一眼看着没问题。套路一模一样:一个领取提示、一个连接钱包步骤、一个在连接时启动的盗币程序。真正的 Tonkeeper 钱包在 tonkeeper.com,TON 基金会和 Tonkeeper 不会通过某个随机的 pages.dev 页面发空投。

假「$Bitcat 空投」

2026 年 6 月 24 日报告。claim-bitcat.pages[.]dev 上的页面打出免费「$Bitcat」代币空投。点「领取」就弹出一个列着 47 个钱包的「连接钱包」对话框,包括 MetaMask、Phantom、Solflare、Jupiter、Ledger、Trust 和 BackPack。Phantom、Solflare、BackPack 这些 Solana 钱包一起出现,正好暴露了这一波瞄准的是 Solana 持有者,而不只是 EVM。你一连接,盗币程序就把你的资金转给攻击者,通常在你批准连接后几秒内完成。

假「Qubit Inu 空投」

同一天,2026 年 6 月 24 日报告。claim-qubit.pages[.]dev 上的页面推一个假的「Qubit Inu」($Qubit)模因币空投。弹出的是同一个 47 钱包连接对话框,连接后发生的事也一样:盗币程序利用这次授权,签发把你的数字资产转到攻击者钱包的交易。两个不同的品牌名,同一个一次性 pages.dev 托管,同样一键被清空。

这几个案例都不需要你的助记词,这正是它们危险的地方。没有一个明显的「在此输入你的助记词」输入框来拉响警报。在你的钱包被清空之前,它看起来就是一个普通的连接并领取流程。

🛡 实时检测

连接钱包之前,先把那个空投链接验一验

看到一个空投或「领取代币」页面、一个连接钱包弹窗,或一个挂在 pages.dev / vercel.app / netlify.app 上的链接,拿不准?在连接钱包或签名任何东西之前,把它粘到下面。我们的三层引擎(本地 + 接口 + AI)约 3 秒给出结论。免费,无需注册。

使用深度 AI 分析进行完整扫描 → · 不会将任何网址与您的身份关联。

假空投盗币页的危险信号

  • 一个你没去找的「空投」或「领取」推广。你并没有主动去找它,它出现在私信、回复、评论、广告或某个随机弹出的标签页里。真正的领取资格是你在项目自己的官网上去查的,不是陌生人发给你的。
  • 仅仅为了「领取」就要你「连接钱包」。一个不连接钱包就什么都不给你看的页面只有一个目的:拿到连接,好向你发出那笔会清空钱包的签名请求。
  • 它挂在免费托管上。网址以 pages.devvercel.appnetlify.appweb.app 结尾。正规项目发代币会用自己的域名,而不是一个用完即弃的免费子域名。
  • 它在错误的域名上冒充一个知名项目。品牌写着 Tonkeeper、TokenSight 或别的真实名字,但网址不是该项目的官方域名。子域名里多一个连字符或多一个词(ton-keeper 而不是 tonkeeper)就是破绽。
  • 它催你。倒计时、「名额有限」「过期不候」存在的唯一目的,就是不让你停下来核对这一切是不是真的。
  • 它让你为了「领取」去签一笔交易或一次授权。领取真实空投通常是在官网上签一笔清楚、可读的交易。一个含糊的签名,或一个被包装成「领取你的奖励」的无限额代币授权,就是那一次清空。
  • 奖励是个纸面数字。一份你在任何真实市场上都查不到报价的大额代币,是诱饵,不是价值。

该怎么做

  1. 绝不要把钱包连接到领取页或空投页。不为了「检查资格」,不为了「验证」,不为了「过期前领取」。一个你只是看了一眼的页面碰不了你的资金,一个你连接了的页面可以。
  2. 只在你自己手动输入的项目官方域名上核对。手动输入 tonkeeper.com 进入官网,或通过项目已验证的官方渠道联系,绝不要通过别人发来的空投链接。如果真有空投,官网会说明。
  3. 把托管平台当作警告,而不是放行证。一个跑着「连接钱包领空投」的 pages.dev 或 vercel.app 网址,就是一个停止信号,关掉这个标签页。
  4. 如果你已经连接了,立刻转移资金。把资产转到一个全新的、用从没碰过那个页面的全新助记词生成的钱包,最值钱的代币和 NFT 优先。然后到 revoke.cash 撤销你授予过的所有授权。完整步骤见助记词被盗后该怎么办被骗了现在该怎么办(2026 恢复指南)
  5. 用硬件钱包存放资产。像来自 ledger.com 的 Ledger 这样的设备,会在它自己的屏幕上显示你实际正在签什么,并让密钥保持离线,这能挫败一键盗币程序。

如何举报

  • 向托管平台和反诈渠道举报这个页面。Cloudflare Pages、Vercel 和 Netlify 都有滥用举报通道,让 tkstio.pages[.]devton-keeper.pages[.]devclaim-bitcat.pages[.]devclaim-qubit.pages[.]dev 这类页面被下架,能保护下一个收到链接的人。
  • 把盗币地址报给链上调查者。用区块链浏览器追踪那些收款钱包并举报,好让交易所和 Chainabuse、Scam Sniffer 等追踪机构标记它们。
  • 在中国大陆,拨 110 报警并拨 96110 全国反诈专线,或用「国家反诈中心」App 一键举报,把诈骗链接转发到 12321 举报。在香港拨防騙易热线 18222,紧急情况拨 999;在台湾拨反詐騙專線 165。请保留页面网址、对方钱包地址和任何链上转账记录作为证据。
  • 提醒被冒充的项目方。正规项目想知道自己的品牌被用在盗币页上,好向自己的关注者发出警告。

SafeBrowz 如何拦截这种威胁

SafeBrowz 采用 3 层检测架构:本地检测 + API + AI。

  • 第 1 层 - 本地检测:60+ URL 模式签名 + 550+ 品牌数据库(含 Tonkeeper、MetaMask、币安、Ledger 等)+ 同形异义字和 Punycode 检查,全部在扩展程序中、在页面渲染之前运行。它能抓住把领取页做成仿冒域名的情形,比如 ton-keeper.pages.dev 这种并非官方主机却提供 Tonkeeper 风格空投页的站点,并把免费托管子域名视为更高风险。
  • 第 2 层 - API 检查:聚合 Google Safe Browsing、PhishTank、URLhaus、ScamAdviser,外加 30+ 诈骗 TLD 名单,标记那些已被确认为恶意的域名,这能覆盖盗币领取页被举报后的情形。
  • 第 3 层 - AI 深度扫描(高级版):支持 100+ 语言的内容分析,几秒钟就能抓住一个全新的领取页,包括一个刚搭起来、复制了真实样式、展示连接钱包选择器、在一次性免费托管上推动「连接即领取」流程的全新「$TKST 空投」或「TON 空投」站点。

诚实说明能力边界:SafeBrowz 会在你连接钱包之前标记出假空投和领取页面,让你压根碰不到那笔会清空钱包的签名。它做不到的,是在你已经连接并签名之后把已经流走的资金追回来,因为那笔交易在链上是最终的、不可撤销的。如果你已经连接,请立刻把资金转到全新钱包并撤销授权。防御的关键是先一步抓住那个页面。

检测签名源自威胁情报研究和我们内部的品牌数据库,而非用户浏览数据。SafeBrowz 不存储每个用户的浏览历史。

浏览器层防御在哪一步发挥作用

连接按钮是钱包被清空之前最后一刻的安静时刻,而到了那一步,一个真人已经认定这个页面是真的了。浏览器层扫描抓的是再前一步:领取页本身。当一个 Tonkeeper 风格或 TokenSight 风格的空投页,渲染在一个并非项目域名的 pages.dev 主机上时,一个识别品牌的扫描器会在你点击连接之前就标记出这次冒充。SafeBrowz 是一款面向 Chrome、Firefox 和 Edge(Safari 即将支持)的免费扩展,会在每个网址渲染之前,对照 550+ 品牌数据库、配合 60+ URL 模式签名和可选的 AI 深度扫描进行检查。读一读如何判断一个网站是不是诈骗,装上 SafeBrowz,并配合那条能打败这整类骗局的铁律:绝不要把钱包连接到一个不是你在项目自己域名上主动找到的空投。

免费安装 SafeBrowz

添加这款浏览器扩展,它会自动、在每个页面渲染之前,运行本文中的每一项检查。永久免费,可选高级版 AI 深度扫描每年 14.99 美元。

Chrome 添加到 Chrome Firefox 添加到 Firefox Edge 添加到 Edge Google Play 通过 Google Play 下载

查看价格与高级版功能

常见问题

tkstio.pages.dev 上的 TokenSight $TKST 空投是真的吗?

不是。PCRisk 在 2026 年 6 月 22 日把 tkstio.pages.dev 报告为冒充 TokenSight 项目的钱包盗取器。页面写着「$TKST 空投来了!」,展示一个「领取」按钮,点开后弹出连接钱包对话框,提供 MetaMask、WalletConnect、Binance Wallet 等选项。你一连接,盗币程序就自动把你的代币和币转到攻击者地址。只在 TokenSight 自己的官方网站核对,绝不要在 pages.dev 领取页上核对。

ton-keeper.pages.dev 上的 Tonkeeper TON 空投是真的吗?

不是。PCRisk 在 2026 年 6 月 19 日把 ton-keeper.pages.dev 报告为冒充正规 TON 钱包 Tonkeeper 的钱包盗取器。它提供一个假 TON 空投,让你连接钱包来领取,并在连接时启动盗币程序。真正的 Tonkeeper 网站是 tonkeeper.com,TON 基金会和 Tonkeeper 不会通过某个随机的 pages.dev 页面发空投。「ton-keeper」里那个连字符就是它不是官方品牌的破绽。

claim-bitcat.pages.dev 和 claim-qubit.pages.dev 上的 $Bitcat、Qubit Inu 空投是真的吗?

不是。PCRisk 在 2026 年 6 月 24 日把这两个都报告为钱包盗取器。claim-bitcat.pages.dev 推一个假「$Bitcat」空投,claim-qubit.pages.dev 推一个假「Qubit Inu」($Qubit)空投。每个都弹出一个列着 47 个钱包的连接对话框(MetaMask、Phantom、Solflare、Jupiter、Ledger 等),你一连接,盗币程序就在几秒内把你的资金转给攻击者。一大堆 Solana 钱包一起出现,说明这一波瞄准的是 Solana 持有者。没有任何正规项目会从一次性的 pages.dev 页面发空投,所以这两个都不要连接钱包。

pages.dev 的站点一定是诈骗吗?

不是。pages.dev 是数百万真实开发者在用的免费 Cloudflare Pages 站点,所以单看托管平台并不能判定一个站点是坏的。问题在于,任何人都能在几分钟内、免费地在上面部署一个假空投页。一个搭在 pages.dev(或 vercel.app、netlify.app、web.app)上、冒充某个知名加密项目、让你连接钱包来领取奖励的页面,是典型的盗币套路。把这个特定组合当作一个停止信号。

我已经把钱包连接到一个假空投页了,现在怎么办?

快速行动。把你的资产转到一个全新的、用从没碰过那个页面的全新助记词生成的钱包,最值钱的代币和 NFT 优先。然后用一台干净设备到 revoke.cash 撤销你授予过的所有授权。不要再用那个已连接的钱包存放任何有价值的东西。无视任何提供有偿「资金追回」服务的人,那是针对第一次受害者的第二次诈骗。来自 ledger.com 的硬件钱包是转移资产最安全的去处。

相关阅读

底线:一个免费托管页面写着「领取你的免费空投」、要你连接钱包,那是盗币器,不是礼物。2026 年 6 月搭在 tkstio.pages[.]devton-keeper.pages[.]dev 上的假页面,你一连接就清空钱包,连助记词都不用。只在你自己手动输入的项目官方域名上核对真实空投,绝不要连接陌生人发来的空投,并在浏览器上装好 SafeBrowz,这样假冒的空投领取页面会在你连接钱包之前被标记。