概要
  • 我是 Jim Liu,自2024年初起运营 AlphaGainDaily,已审核50+个空投项目。约四分之一的投稿会以假空投或高风险方案被拦截。
  • 最可靠的信号是技术层面的:检查合约部署时间(8周内 = 红旗)、持币分布(前3个钱包持有60%+ = 红旗),以及领取函数是否调用未验证的外部地址。
  • 社交证明很容易造假。28K Discord成员在机器人网络上大约花费180美元。应检查成员加入日期的集中情况。
  • 如果空投要求你提供助记词,或收取Gas费才能领取——立即停止。没有任何合法协议会这样做。
  • 如果你已经与假空投交互过,请在30分钟内到 revoke.cash 撤销所有授权。

去年10月,一个叫"SynthLabs"的项目私信找我申请 AlphaGainDaily 的收录。网站设计专业,白皮书38页,Discord显示41K成员。

我花了两个小时审查它。然后拒绝了。

这个项目就是我现在所说的"精心包装的假空投"——精细程度足以欺骗大多数空投聚合器,但经不起仔细的链上审查。以下是我发现的问题,以及我现在对每个投稿运行的流程。

我是谁,为什么我要亲自审核每个投稿 {#background-zh}

我叫Jim Liu,是一名驻悉尼的独立开发者,运营着 AlphaGainDaily——一个我从2024年初开始运营的加密空投和DeFi收益追踪网站。出现在 AGD 空投追踪器 中的每个项目在收录前都经过了人工审查。

18个月下来,我个人拦截了大约15到20个有明显诈骗信号的项目。有些很容易判断——有一个项目在克隆网站上要求钱包助记词。其他的则只能通过阅读合约才能发现。SynthLabs是我见过的最有说服力的假空投案例。

以下是我现在实际运行的审查流程。

我的3分钟链上检查(在我打开白皮书之前) {#on-chain-check-zh}

在阅读任何文档之前,我检查三件事:

1. 合约部署日期。 如果一个项目声称"从2023年开始建设",但智能合约6周前才部署,这是一个硬性警告信号。合法协议在主合约上线并积累了真实用户活动的3-12个月后才宣布空投。我在 Etherscan 或 Solscan 上检查这一点——大约需要90秒。一个不到8周的合约已经在运行代币分发活动,几乎总是假空投或不值得参与的劣质项目。

2. 代币持有者分布。 我查看前20个钱包的持有比例。如果前3个钱包控制了65%以上的总供应量,且没有文件记录的归属时间表,这是一个预抛售设置。真实协议的国库和团队分配有6-18个月的线性归属,在链上可见。假空投团队不需要归属——他们计划在社区注意到代币毫无价值之前套现。

3. 合约源代码验证。 未验证的字节码是自动拒绝的条件,没有例外。合法的DeFi协议发布经过验证的源代码,因为审计员、其他开发者和用户需要检查逻辑。一个要求你调用其领取函数的未验证合约是在隐藏什么。SynthLabs的合约是经过验证的——这就是它通过这第一道关卡的原因。

深入审查发现的问题——技术合约信号 {#technical-signals-zh}

SynthLabs通过快速检查后,我又花了20分钟阅读实际的合约逻辑。问题就在这里暴露了。

初始代币持有者钱包——那些看起来显示"有机"分布的钱包——都是在合约部署前四天的48小时内创建的。这是典型的Sybil设置:批量生成钱包,向虚假"用户"分发代币,让持币图表看起来健康,然后运行空投活动吸引真实参与者。

领取函数还有一个次要问题。用户调用claim()后,它会调用一个外部控制的地址,没有事件记录,也没有回滚保护。简而言之:团队有一个后门,可以在你调用后操纵领取逻辑,而且链上没有调用记录。这是在源代码中发现的——他们链接的审计报告已经11个月了,并未涵盖这个函数。

我为此拦截了其他项目的技术信号:

  • 拥有单一钱包升级密钥的代理合约。 团队可以随时重写任何函数逻辑。你批准的支出限额或质押代币可能在你交互后被重定向。
  • 领取函数通过未验证的桥接中间商。 你的代币在到达钱包之前通过未经审计的合约路由,资金可能被卡住或重定向。
  • "领取Gas费"机制。 你需要支付ETH或SOL才能领取你的空投代币。没有任何合法协议这样做。真实空投要么使用元交易(无Gas),要么在分发中支付Gas成本,要么Gas从收到的代币中自动扣除——而不是从你现有的钱包余额中扣除。

社交证明是最容易造假的信号 {#social-flags-zh}

SynthLabs通过技术审查失败后,我回头审视了社交信号。每一个都是伪造的。

28K Discord成员听起来像是真实社区。在2025年中期的机器人网络上,这大约需要180美元。关键不是成员数量——而是加入日期分布。当我按加入日期筛选SynthLabs Discord成员列表时,74%的人在11天内加入了。真实的社区增长看起来像一条缓慢的曲线,在重大公告前后有峰值。加入日期图上的垂直线是一个购买事件。

我检查的其他社交信号:

  • Twitter互动率。 40K粉丝但每篇帖子4-6个点赞意味着机器人粉丝。真实受众的项目在普通帖子上的平均互动率是0.5-2%,而不是0.01%。
  • 创始团队LinkedIn。 如果CEO的资料7个月前才创建,有一张库存图片头像,并且列出了一份在谷歌上找不到的公司工作经历——那个资料是为这个项目创建的。
  • GitHub活动。 声称有18个月开发历史的项目,其GitHub仓库显示3次提交,都在同一天——这不是真正的工程团队。

这些信号单独来看都不是决定性的。三个一起,加上合约技术审查失败,足以拦截。

我拦截的四个投稿——附具体原因 {#blocked-cases-zh}

SynthLabs(2025年10月): 精心包装的案例。干净的网站,38页白皮书,经过验证的合约。拦截原因:48小时内的Sybil钱包创建 + 领取函数中的后门外部调用 + 74%的Discord成员在11天内加入。

NexusNode 空投(2025年1月): 要求用户在第三方"验证"页面输入钱包助记词。不到30秒就被拦截了。这是最简单的假空投类型——没有任何合法协议需要你的助记词。

PulseBridge Points(2025年3月): 两个问题。领取合约要求对USDC的无限授权(approve MAX_UINT),意味着签名一次后它可以随时耗尽你的整个USDC余额。它还收取0.003 ETH作为"处理费"来激活领取。无限授权加上预付费等于提款和跑路机制。

QuantumLayer Rewards(2025年4月): 带有单钱包管理员密钥的代理合约——部署者地址,没有时间锁。在用户批准代币支出后,团队可以升级合约逻辑。真实团队身份无法核实。已拦截。

这四个项目都没有出现在 AlphaGainDaily 上。

你的5分钟假空投验证清单 {#checklist-zh}

在与任何空投领取交互之前:

  • 直接在项目官方网站或已验证的Twitter/X上找到合约地址——不要通过私信、Discord链接或转发消息
  • 在Etherscan或Solscan上检查合约:源代码是否经过验证?部署日期是否超过8周?
  • 领取过程是否在任何环节要求你提供助记词或私钥?→ 立即停止
  • 领取函数是否要求你在收到空投之前发送ETH、SOL或任何代币作为"费用"?→ 红旗
  • 检查前20名持币者:是否有3个以上的钱包持有60%以上的供应量且没有显示归属计划?→ 红旗
  • 检查Discord成员加入日期分布:是否有超过50%的人在2周内加入?→ 红旗
  • 在LinkedIn上查找创始团队成员:资料是否超过12个月,有可核实的工作经历?

如果5分钟后任何复选框未通过 → 不要交互。大多数空投的预期收益不值得冒钱包被入侵的风险。

如果你已经签署了某些交易 {#recovery-zh}

迅速行动。损失控制窗口大约是30分钟到几个小时,取决于具体方案。

如果你签署了授权交易(最常见的机制):立即访问 revoke.cash,连接你使用的钱包,撤销授予你不认识的合约的所有代币授权。这需要少量Gas费,但会移除允许假空投合约日后耗尽你资金的权限。

如果你输入了助记词或私钥:钱包已永久受损。将每一项资产——代币、NFT、质押仓位——转移到你在干净设备上离线生成的新钱包中。不要拖延。假空投运营者会在助记词提交后几分钟内运行自动脚本清空受损钱包。

如果你只是连接了钱包(只读):在没有签署任何交易的情况下连接通常是安全的。只读连接不会授予合约对你资金的任何权限。

将合约地址报告给Etherscan的代币垃圾邮件列表或Solscan的诈骗数据库。这无法找回你的资金,但可以防止同一个假空投骗取下一个人。

常见问题

什么是假空投?

假空投模仿合法的加密代币分发活动来窃取资金、钱包凭证或代币授权。与真实空投不同——真实协议以无成本方式向真实用户分发代币——假空投方案通常要求输入助记词、收取预付"验证费",或请求无限代币授权,允许诈骗合约日后耗尽你的钱包。

在领取之前,如何验证空投是否合法?

从链上开始,而不是社交媒体。在项目的官方域名上找到合约地址(而不是链接的网站)。在Etherscan或Solscan上检查:经过验证的源代码,部署日期超过8周,以及领取函数中没有对未验证地址的外部调用。然后检查Discord成员加入日期分布和创始团队LinkedIn历史。这个过程大约需要5分钟,可以捕获大多数假空投尝试。

真实空投会收取Gas费吗?

大多数合法的Solana和Layer 2空投没有领取费用——协议支付成本或使用元交易。在以太坊主网上,Gas费存在,但从领取的代币中自动扣除,而不是预先从你的钱包余额中支付。任何要求你在收到分配之前发送ETH、SOL或任何其他代币的空投都是诈骗机制。

发现我使用了假空投网站后,我应该立即做什么?

如果你签署了任何交易:立即前往revoke.cash,连接你的钱包,撤销所有授权。如果你输入了助记词或私钥:立即将所有资产转移到在干净设备上生成的新钱包——原始钱包已永久受损。如果你只是连接了钱包而没有签署任何交易:你可能是安全的,但请检查revoke.cash以确认没有授予任何授权。

AlphaGainDaily 在收录项目之前如何进行审查?

AGD空投追踪器 中的每个项目都经过手动3步检查:链上验证(合约年龄、持币分布、经过验证的源代码)、合约逻辑审查(领取函数行为、外部调用、升级管理员密钥),以及社交证明审计(Discord加入日期分布、Twitter互动率、团队身份核实)。未通过任何关卡的项目将被禁止收录。在18个月的运营中,这一流程拦截了大约四分之一的投稿。

披露: 本文是关于识别欺诈性空投方案的教育内容,不构成财务建议。加密空投参与存在重大风险——只与你独立核实过的协议交互。AlphaGainDaily从本网站链接的某些工具中获得联盟收入;我们的审查决定不受收录费影响,因为我们不向项目收取出现在追踪器中的费用。