钱包被盗时,最容易犯的错是继续往旧钱包里打 Gas。钱包被盗,是指私钥、助记词、授权或签名权限被攻击者利用,导致链上资产被转走或仍处于可被转走的风险中。
核心要点
- 先判断是助记词泄露、授权风险、钓鱼签名,还是平台账户被盗。
- 助记词或私钥泄露时,旧钱包不能继续当安全钱包使用。
- 还有剩余资产时,应优先创建新钱包,再把可转移资产转走。
- 不要给旧钱包盲目充值 Gas,攻击者可能有自动转走脚本。
- 取证要保存交易哈希、地址、域名、聊天记录、授权页面和转账记录。
钱包被盗先判断哪种情况?
钱包被盗不是单一问题。不同原因对应不同止损方式,先判断类型,才能避免越处理越糟。
四类常见原因
| 类型 | 发生了什么 | 先做什么 |
|---|---|---|
| 助记词泄露 | 攻击者控制整个钱包 | 换新钱包,旧钱包停用 |
| 私钥泄露 | 单个地址控制权暴露 | 转走剩余资产,停用地址 |
| 恶意授权 | 合约可动用某些代币 | 撤销授权或转走相关资产 |
| 钓鱼签名 | 签了转移或授权交易 | 查交易哈希和合约行为 |
这张表的关键,是不要把所有被盗都当成“撤销授权”就能解决。助记词泄露时,撤销某个授权不够,因为攻击者已经能控制钱包。
先看交易哈希
打开区块浏览器,找到被转走资产对应的交易哈希。看 From、To、代币、数量、时间、合约交互和授权记录。交易哈希能帮助你分清资产是直接转出,还是被某个合约按授权转走。
如果你还不知道是哪条交易导致损失,可以从钱包地址的代币转账记录、内部交易和授权记录看。不要只看钱包 App 余额,余额只是结果。
不要相信“追回客服”
被盗后,经常会有人私信说能追回资产,要求你付手续费、验证钱包或提供助记词。这是二次诈骗高发场景。FTC 和 FBI 都提醒,涉及加密资产诈骗时要警惕追加付款、提现费用和假客服。
真正要做的是止损、留证和向平台或执法入口提交资料,而不是把钱包控制权交给陌生人。
三分钟分流表
刚发现异常时,可以先按下面顺序分流,不要在同一个旧钱包里反复尝试。
| 看到的现象 | 更可能是什么 | 先停下什么 |
|---|---|---|
| 所有链资产陆续被转走 | 助记词或设备环境被控制 | 停止给旧地址打 Gas |
| 只有某个代币被转走 | 授权或 Permit 签名风险 | 停止连接同一网站 |
| 平台账户资产被提走 | 平台登录或邮箱被盗 | 停止使用同一密码 |
| NFT 被挂单或转走 | NFT 授权或签名风险 | 停止确认市场弹窗 |
这个表不能替代安全排查,但能避免把所有问题混在一起。分清类型后,再决定是换钱包、撤销授权、冻结平台账户,还是先保存证据。
钱包被盗后的顺序是:判断类型,保护剩余资产,保存证据,再联系平台或报案。
如何止损?
止损的目标不是“修好旧钱包”,而是防止剩余资产继续流失。
助记词泄露要换钱包
MetaMask 支持文档建议,在新的浏览器、浏览器配置或设备上创建新钱包,写下新的 Secret Recovery Phrase,并把剩余资产从被盗账户转走。这个逻辑很重要:新的助记词才代表新的控制权。
如果旧助记词已经泄露,不要继续把它当主钱包使用。改密码、卸载扩展、换电脑,都不能改变攻击者已经知道助记词的事实。
有自动转走脚本时别充值
攻击者可能监控被盗地址,只要你往里面充入原生币作为 Gas,就立刻把它和剩余资产转走。遇到这种情况,盲目充值会扩大损失。
可以按这个顺序处理:
- 先创建新钱包并安全保存新助记词。
- 查清旧钱包还有哪些资产和在哪些网络。
- 判断是否存在自动转走迹象。
- 对仍可转移的资产,选择低风险时机转到新钱包。
- 对无法转移或会触发攻击的资产,保留记录并寻求平台或专业支持。
这不是技术教程,而是减少二次损失的思路。看不懂链上记录时,先暂停,不要继续签名。
授权风险要撤销或转移资产
如果损失来自代币授权,Revoke.cash 和 MetaMask Portfolio 这类工具可以查看并撤销授权。撤销授权本身也是链上交易,需要支付 Gas,并且只对对应网络、对应代币、对应 spender 生效。
撤销授权不是恢复损失。它的作用是让被授权对象不能继续按旧额度动用资产。已经转走的资产,链上撤销无法自动追回。
设备也要一起处理
如果怀疑助记词、浏览器扩展或剪贴板被恶意软件读取,不要只在原设备上创建新钱包。新钱包应在更干净的环境里生成,并单独保存新的助记词。旧设备要检查浏览器扩展、下载软件、远程控制工具和剪贴板异常。
平台账户也要同步处理。修改邮箱密码、开启或重置 2FA、检查登录设备、提现白名单和 API Key。被盗往往不是单点问题,而是钱包、邮箱、社交账号和设备同时暴露。
留证要保存什么?
加密资产被盗后,证据越完整,平台、执法机构或安全团队越容易理解发生了什么。
证据清单
| 证据 | 为什么有用 |
|---|---|
| 钱包地址 | 定位受害地址 |
| 交易哈希 | 证明资产转移路径 |
| 攻击者地址 | 追踪后续流向 |
| 代币和网络 | 防止混淆不同链 |
| 钓鱼域名 | 识别诈骗入口 |
| 聊天记录 | 证明诱导过程 |
| 授权截图 | 判断是否是权限风险 |
| 平台账号记录 | 连接链上和平台账户 |
FBI 关于加密资产投资诈骗的页面提醒,报案时应尽量提供交易信息。链上记录公开,但你仍要把时间线整理清楚:什么时候访问网站、什么时候签名、哪笔交易转走资产。
报告入口要用官方渠道
在美国语境下,FTC 提供 ReportFraud.gov,FBI 使用 IC3 接收网络犯罪投诉。中国大陆读者如果涉及诈骗,应保存材料并向当地公安机关反映。交易平台、钱包或项目方也可能有安全支持入口。
不要在社群里公开完整个人信息、身份证、邮箱或未打码截图。公开求助可以隐藏敏感信息,只保留必要的交易哈希和地址。
分清平台资产和自托管钱包
如果资产在交易平台账户里被盗,处理方式和自托管钱包不同。平台账户涉及登录密码、2FA、邮箱、设备、提现地址和平台客服。自托管钱包则主要看助记词、私钥、授权和签名。
平台账户还有一个时间因素:发现异常后应尽快联系平台冻结账户或提现功能,并保存工单编号。自托管钱包则更看重链上时间线和交易哈希,因为链上转出后通常不能由钱包方单方面撤回。
两类资产的证据也不同。平台账户需要登录记录、提现记录和客服沟通;自托管钱包需要交易哈希、授权记录和签名入口。把材料分开整理,后续沟通会更清楚。
这篇可以先记住一句话:钱包被盗后,别急着点新链接,先换安全环境、转移剩余资产、撤销可疑授权,并把证据链保存下来。
常见问题
Q: 钱包被盗后改密码有用吗?
答: 如果只是本地钱包 App 密码泄露,改密码可能有帮助;如果助记词或私钥已经泄露,改密码不能阻止攻击者导入钱包。应创建新钱包并停用旧助记词。
Q: 撤销授权能追回已经被盗的币吗?
答: 不能。撤销授权只能阻止被授权地址继续动用额度,已经发生的链上转账无法靠撤销自动恢复。
Q: 旧钱包里还有 NFT 怎么办?
答: 先判断旧钱包是否被助记词控制、是否有自动转走脚本、NFT 是否有转移价值和 Gas 风险。看不懂时不要随意充值 Gas 或签新交易。
Q: 被盗后能不能找黑客追回?
答: 不建议相信陌生“追回服务”。二次诈骗常以追回为名要求手续费、私钥或远程控制。应保存证据,通过平台、钱包官方支持或执法入口处理。
Q: 交易哈希公开给别人安全吗?
答: 交易哈希本身是公开链上信息,通常可以用于求助和报案。但不要同时公开邮箱、手机号、身份证、完整聊天账号或其他个人敏感信息。
参考资料
- MetaMask Support:I’ve been hacked or scammed
- MetaMask Support:How to revoke smart contract allowances/token approvals
- Revoke.cash:Learn About Token Approvals
- FTC:What To Know About Cryptocurrency and Scams
- FBI:Cryptocurrency Investment Fraud
- FBI:Operation Level Up
版本 1.0 · 更新于 2026-06 · 资料截至 2026-06-18