如何識別釣魚鏈接？

釣魚鏈接通過仿冒官方網站或應用，誘導用戶輸入助記詞、連接錢包並簽署惡意交易——識別這類攻擊需要養成幾個關鍵的驗證習慣，而非僅依賴視覺判斷。

為什麼重要

在加密領域，釣魚攻擊是用戶資產損失最主要的原因之一。攻擊者技術手段不斷升級，仿冒網站往往與真實官網幾乎一模一樣。理解攻擊手法和識別方法，是保護資產的基礎技能。OWASP 釣魚攻擊防範指南 提供了詳細的攻擊方式分類。

常見釣魚手法

1. 仿冒域名

• 使用視覺相似字符：onekey.so vs 0nekey.so（0 替換 o）
• 添加或替換頂級域名：onekey.com vs onekey.io（OneKey 官網是 onekey.so）
• 添加前綴／後綴：app-onekey.so、onekey-official.com

2. 搜索引擎廣告投放

攻擊者通過購買搜索引擎廣告，讓釣魚網站排名高於真實官網。搜索「OneKey 錢包下載」出現的第一個廣告結果，可能指向釣魚網站。

3. 社交媒體仿冒賬號

在 Twitter/X、Telegram、Discord 中創建與官方賬號高度相似的仿冒賬號，發布「活動」或「空投」鏈接，誘導用戶點擊並連接錢包。

4. 電郵釣魚

發送仿冒官方的電郵，聲稱賬戶有問題需要「驗證」或「重新連接錢包」，鏈接指向釣魚網站。

5. 惡意 DApp

在 DeFi 生態中，存在專門偽裝成合法協議的惡意 DApp，連接錢包後要求簽署無限授權或惡意轉賬指令。

識別和防範方法

始終通過官方渠道訪問

• 將 OneKey 官網 添加到瀏覽器書籤，通過書籤訪問，而非搜索引擎
• App 從官方應用商店（App Store、Google Play）或 OneKey 官網下載頁 下載

驗證 URL

• 仔細檢查域名的每一個字符，注意相似字符替換
• 確認 HTTPS 連接，但注意 HTTPS 不等於網站安全（釣魚網站也可以有 HTTPS）

不響應未經請求的聯繫

• 任何通過社交媒體、私信或電郵主動發來的錢包操作請求，默認視為可疑
• 官方平台不會主動要求你輸入助記詞或私鑰

使用硬件錢包的屏幕驗證

• OneKey 硬件錢包 在設備屏幕上獨立顯示交易詳情，即使電腦前端被篡改，硬件設備顯示的是真實的簽名內容

定期檢查合約授權

• 通過 Revoke.cash 定期審計並撤銷不再需要的合約授權，減少歷史釣魚成功後的持續風險

OneKey App 入口

OneKey App 內置了 DApp 安全檢測功能，訪問已知惡意網站時會發出警告。始終確保從 OneKey 官網 下載 App，而非通過搜索引擎點擊廣告結果。

FAQ

Q：如何確認某個網站是否是 OneKey 官網？ A：OneKey 的唯一官方網站域名是 onekey.so，其他域名均非官方。請將官網加入書籤，通過書籤訪問。

Q：已經連接了可疑網站的錢包，怎麼辦？ A：立即停止任何進一步的簽名操作；通過 Revoke.cash 檢查並撤銷已授權的合約；如果已經簽署了任何可疑交易，立即將資產轉移到全新錢包（新助記詞）。

立即開始

提升安全意識是保護資產的第一步。下載 OneKey App，訪問 OneKey 官網 了解完整的錢包安全解決方案，配合 Revoke.cash 定期維護你的鏈上授權健康度。