识别 DeFi 诈骗代币的工具:2026 年加密货币诈骗指南
一种新代币上线去中心化交易所(DEX)。图表显示,价格像一条绿色的阶梯般向上攀升。Telegram 群组里顿时热闹起来。有人分享了一个合约地址。十五分钟后,流动性消失殆尽,图表断崖式下跌,而发送该地址的人要么早已离开群组,要么也和其他人一样对此感到意外。这种模式正是 2026 年链上欺诈的温床,而这正是诈骗检测工具旨在提前几步就将其拦截的目标。
这是一份面向加密货币用户、交易者和商家的实用指南,旨在帮助他们在资金流动前识别DeFi领域的诈骗代币。指南详细介绍了当前常用的工具(Token Sniffer、GoPlus、Honeypot.is、De.Fi扫描器、Bubblemaps、Arkham以及一些特定链的扫描工具),解释了每种工具识别出的危险信号和诈骗模式,并提供了一套在五分钟内检查新代币的分步工作流程,同时还分析了2024年至2026年期间出现的最新诈骗模式。指南的目标并非将任何人培养成智能合约审计师,而是确保用户在下次遇到可疑代币时,能够在点击购买前使用合适的工具进行识别,从而避免成为目前加密货币领域盛行的诈骗手段的受害者。
2026 年加密货币用户的 DeFi 骗局代币格局
链上诈骗损失已大幅飙升。Chainalysis 发布的《2026 年加密货币犯罪报告》预测,2025 年链上诈骗活动造成的损失将在 140 亿美元至 170 亿美元之间,其中冒名诈骗的损失就同比增长了约 1400%,平均诈骗金额增长了 253%,达到 2764 美元,而人工智能辅助的诈骗活动比传统诈骗的利润高出 4.5 倍。TRM Labs 预测,2025 年更广泛的非法加密货币交易量将达到约 1580 亿美元,比 2024 年的 645 亿美元增长了 145%。Immunefi 报告称,截至 2025 年 4 月底,加密货币黑客攻击和欺诈造成的损失已达 17 亿美元,超过了 2024 年全年 14.9 亿美元的总额。大部分损失通过三个渠道流入:在去中心化交易所 (DEX) 上推出的假代币和诈骗代币合约、导致钱包中已有数字资产被盗的钓鱼批准,以及最终导致受害者将盗取的加密货币发送给洗钱者的平台外投资诈骗。
DeFi领域充斥着大量骗局,包括跑路、蜜罐和针对新代币的拉高出货协同交易。DappRadar统计,到2025年中期,跑路损失将接近60亿美元(其中约92%与2025年4月13日Mantra OM代币的争议性崩盘有关)。Solidus Labs将Solana旗下pump.fun平台上发行的约700万枚代币中的98.6%归类为骗局、拉高出货或跑路,其中只有约9.7万枚代币的流动性超过1000美元。Solidus团队戏称为“Rug Republic”的12个钱包集群协同运作,创建了约20%的pump.fun代币,并策划了82%的流动性流失,从中获利约420万美元。
蜜罐合约(交易者可以买入但不能卖出)仍然是诈骗分子最便宜、最快捷的诈骗模式,因为一个利用合约漏洞的 Solidity 技巧就可以复制到数百万个代币合约中。庞氏骗局伪装成收益协议、洗钱代币发行以及诱骗受害者通过虚假平台进行诈骗,构成了诈骗的其余部分。潜在的诈骗也可能以 NFT 铸造、欺诈性空投和表面上看起来合法的、经过去中心化洗白的 DAO 的形式出现。作为参考,DeFiLlama 目前追踪了 503 条链和 6735 个协议中超过 1500 亿美元的 DeFi 总锁定价值 (TVL),因此诈骗规模存在于一个更大、大部分合法的生态系统中。
对于今天购买代币的人来说,好消息是自 2022 年以来,诈骗检测工具已经有了很大的改进,而且大多数值得使用的工具都是免费或免费增值模式的。坏消息是,诈骗模式的演变速度比检测工具的改进速度更快,因此检测工作就像一场永无止境的军备竞赛,没有任何一款扫描工具能够捕捉到所有骗局。
加密货币骗局中的危险信号:诱饵陷阱和反转套路
在运行任何工具之前,了解这些工具要检测的内容至关重要。几乎所有 DeFi 骗局代币都会在以下一个或多个危险信号中留下痕迹。
| 红旗 | 它的含义 | 典型工具覆盖范围 |
|---|---|---|
| 蜜罐逻辑 | 允许买入,卖出则恢复原状 | Honeypot.is、GoPlus、QuickIntel |
| 未放弃的所有权 | 部署者仍然可以进行铸币、列入黑名单或暂停操作。 | Token Sniffer,DeFi扫描器 |
| 隐藏的薄荷糖功能 | 所有者可以无限量打印新的耗材。 | Token Sniffer,GoPlus |
| 可升级代理合约 | 所有者可以稍后更换实现方式。 | GoPlus,慢雾追踪 |
| 未经核实的合同代码 | 来源未在 Etherscan/BscScan 上发布 | 区块链浏览器直接检查 |
| 极高的买卖税 | 超过15%的税率会令交易者在每次掉期交易中损失惨重。 | GoPlus、DEXTools |
| 无锁定流动性 | LP代币未锁定时间;部署者可以提取 | DEXTools、DexScreener、De.Fi |
| 代币持有者分布图(头重脚轻) | 排名前十的钱包持有超过70%的供应量 | 气泡图、阿卡姆、莫拉利斯 |
| 内部人士抢先发布 | 部署者钱包会在公开发布前几分钟购买资金。 | 气泡图,南森 |
| 反氪金大佬冷却时间被滥用 | 团队可以限制除自己以外的所有人。 | Token Sniffer,QuickIntel |
“拉倒”骗局是指部署者撤回流动性池或发行新代币后抛售。经典的“蜜罐”骗局会在卖出环节诱骗用户资金。“拉高出货”骗局则利用市场炒作和可预测的Telegram群组协调进行交易。“屠宰骗局”和“追回骗局”虽然在链下进行,但最终往往会在链上发生,被盗资金会通过诈骗钱包转移,而这些钱包随后会被取证工具标记出来。
简易规则:如果一个筹码触发了桌上两个以上的危险信号,那它几乎肯定是个骗局。如果只触发了一个信号,在冒险之前,最好用其他工具再检查一遍。
区块链浏览器检查每个代币的需求
每次扫描都从区块链浏览器开始。Etherscan、BscScan、Solscan、Arbiscan 和 Polygonscan 都允许任何用户免费查看代币的智能合约和链上活动。前三项检查几乎总是相同的。
首先,确认合约源代码是否已发布。未经验证的代码本身就是一个危险信号。任何正规的加密项目都会将源代码发布到相关的区块链浏览器,以便审计人员和社区成员可以查阅。
其次,阅读合约代码顶部的所有权函数。查找 `renounceOwnership`、`owner()`、`mint`、`setTaxFee`、`blacklist`、`pause` 和 `upgradeTo`。如果未放弃所有权,则部署者仍然控制代币。如果存在 `mint` 且可访问,则代币供应量不固定。如果存在 `upgradeTo`,则该合约是一个代理合约,其实现方式可以稍后进行切换。
第三,打开“持有者”选项卡。健康的代币应该分布广泛。而有问题的代币则可能只有两三个钱包持有 40% 到 80% 的供应量,而且这些钱包通常都没有被标记为已知的交易所或归属合约。浏览器还会显示该代币最近的区块链交易记录,从而揭示最早的买家以及任何捆绑式的抢购模式。
区块链浏览器是欺诈检测的基础层。它们不会告诉用户某个代币是否是蜜罐代币,也不会告诉用户流动性是否被锁定,因此下一步需要使用专门的扫描工具。
诈骗检测工具评测:Token Sniffer、GoPlus、De.Fi Scanner
这些是大多数加密货币用户在 2026 年首先会使用的主要诈骗检测工具。
Token Sniffer 是一款免费的网页工具,网址为 tokensniffer.com。它基于合约代码分析、持有者分布、流动性健康状况以及与包含超过 10,000 个已知诈骗代码模板的数据库进行字节码模式匹配等综合分析,自动生成 100 分制的审计评分。该数据库历时五年构建。截至 2026 年,Token Sniffer 已索引 15 条链上的 4790 万个代币,并已将其中 608 万个标记为诈骗代币。它的优势在于速度:只需粘贴合约地址,即可在几秒钟内获得彩色编码的风险摘要。它的缺点在于可能造成虚假的自信:高分并不意味着安全,而仅仅意味着“未检测到明显的诈骗模式”。该工具涵盖以太坊、BNB 链、Polygon、Avalanche、Fantom 以及其他一些 EVM 链。
GoPlus Security。gopluslabs.io提供免费的代币安全扫描器。GoPlus 构建了业内集成度最高的安全 API 之一;其代币安全检查功能已嵌入 CoinGecko、OKX Wallet、Trust Wallet 和众多 DEX 聚合器中。该控制面板使用易于扫描的二进制标志标记蜜罐逻辑、隐藏的铸币功能、代理合约、黑名单功能、税率和持有者集中度。支持以太坊、BNB Chain、Polygon、Avalanche、Arbitrum、Base、Optimism 等多种代币。
DeFi 扫描器。它是 De.Fi Shield 套件的一部分,网址为 de.fi/scanner。它可以扫描智能合约代码中的常见漏洞,并生成一个 DeFi 评分,该评分综合考虑了审计历史、合约风险、团队信息泄露和流动性。De.Fi 还发布了 REKT 数据库,其中包含了历史上的失败案例,除了实时扫描工具外,该数据库也是一个有用的参考资料。付费版本提供更深入的合约审计报告,但免费版本足以对新代币进行初步检查。
Honeypot.is 是一款专门用于检测蜜罐的工具。它会模拟目标代币的买卖交易,并报告交易双方是否撤回,以及往返交易的实际税费。如果 Honeypot.is 返回红色警告,请立即停止操作。虽然它的功能范围有限,但检测效果极佳。
QuickIntel 是一款新型综合扫描工具,可在 quickintel.io 上访问。它可在一次扫描中完成蜜罐检测、流动性锁定检查、合约代码审查和诈骗模式匹配。在 Token Sniffer 或 GoPlus 之后,它可作为良好的二次确认工具。
DEXTools 和 DexScreener并非专门的检测工具,但这两个去中心化交易所(DEX)图表平台都会发布链上信息,这些信息是每位交易者在购买代币前都应该查看的:当前流动性、流动性是否被锁定、首次铸造时间戳、买卖税预估以及交易量与持有者比例。DEXTools 还添加了 DEXTscore 可靠性指标。DexScreener 会显示付费的“Boost”徽章,这些徽章经常被拉高出货团队滥用,不应被视为认可。
RugDoc 和 CertiK是更新速度较慢的审计类资源。RugDoc 发布经过人工审核的 DeFi 农场评测,其中 BNB Chain 的评测更为集中。CertiK 的 Skynet 和 Security Leaderboard 则汇总了更广泛市场的审计评分和链上数据。CertiK 的审计结果并非绝对可靠(经过审计的项目仍然存在缺陷),但对于一个看似可靠的 DeFi 项目而言,缺少审计本身就是一个警示信号。
蜜罐检测和合同审计工具
蜜罐代币值得单独归类,因为它们是新手最常遇到的陷阱。其模式是:代币的买入功能正常,交易者买入后,看着价格上涨,然后发现卖出功能悄无声息地失效了。用户的加密资产就此被困。
Honeypot.is、QuickIntel 和 GoPlus 都专注于此类检测。它们的工作原理是通过实际流动性池模拟小额买入和立即卖出,监控卖出时的反转、高额卖方税、黑名单屏蔽或买卖双方之间任何形式的不对称行为。另外两个值得一提的检测工具是:
DetectHoneypot.com支持多条区块链,并在蜜罐探测之外增加了轻量级流动性分析。ChainAware会对钱包和新兴代币的行为诈骗模式进行分析;其启发式算法对打击生命周期短的诈骗代币发行非常有效。
对于高于基本欺诈检查的合约审计,一些智能合约审计机构会发布值得一读的报告,例如 SlowMist、PeckShield、Trail of Bits、OpenZeppelin 和 CertiK。虽然这些机构都不能保证绝对安全,但找到一份由知名智能合约安全公司发布的审计报告(并仔细阅读问题列表,而不仅仅是封面)是合约审计尽职调查中的重要一步。高质量的智能合约审计也表明,团队认真对待区块链安全,而不是急于将代币推向市场。
用于识别恶意行为者的区块链取证工具
除了代币层面的检查之外,钱包层面和实体层面的工具还能显示代币的发行者是否与已知的诈骗钱包或之前的撤资事件有关联。对于任何认真进行交易的人来说,取证层面都至关重要。
气泡图。可视化钱包聚类。只需输入合约地址,气泡图即可将代币持有者渲染成由资金线连接的气泡。“魔法节点”功能可自动对相关钱包进行聚类,“时间旅行”功能可显示历史分布情况,“发行捆绑分析器”功能可量化部署后最初几个区块中,由协调钱包捆绑的总供应量。如果排名前十的气泡大小相同,且都源自同一资金来源,那么所谓的“自然”分布实际上是一个整体。气泡图已在2024年和2025年公开揭露了多起网络迷因币骗局。
Arkham Intelligence是一个链上情报平台,网址为 intel.arkm.com,拥有超过 8 亿个标记地址,涵盖 BTC、以太坊、Solana 和主流 L2 钱包。该平台可用于检查部署者钱包是否与已公开的加密货币诈骗者或之前的诈骗案有关联。Arkham 的公共仪表板经常在大型黑客攻击后揭露被盗的加密货币流向。
Nansen 提供智能资金标记和钱包分析功能,已标记超过 5 亿个钱包,其中约 1 万个被标记为“智能资金”。Nansen 的优势在于能够识别代币持有者地址所关联的钱包;如果某个新代币的早期购买者集中使用多个被标记为诈骗的钱包,这便是一个明显的警示信号。2026 年定价方案为:免费版,专业版年付 49 美元/月,或月付 69 美元/月。
MistTrack(SlowMist)。一款免费的钱包查询服务,专注于洗钱和追踪被盗资金。可用于快速查询刚刚向商家支付地址发送代币的钱包。
诈骗发生后,取证工具也能发挥重要作用。一旦被盗资金开始流动,Arkham、Nansen、Chainalysis 和 TRM Labs 等工具就能追踪区块链网络中的资金流向,标记混币器使用情况,识别出下线交易所,并将数据反馈给执法部门。正是这些分析工具帮助调查人员检测欺诈性加密货币流动,并将欺诈性加密货币转移追踪到洗钱层。在预防方面,同样的数据有助于在购买前识别可疑代币,检测新部署中的诈骗模式,并在签署批准文件前标记已知的诈骗钱包。
防范诈骗:分步令牌验证工作流程
一个五分钟即可完成的验证流程,几乎适用于任何新型代币。验证顺序至关重要,因为每一步都能排除不同类型的诈骗。
1.确认代币是否存在。在 CoinGecko 或 CoinMarketCap 上搜索该代币名称。如果未列出,且没有项目页面,则表明该新加密货币非常新,甚至可能是假的。
2.在区块链浏览器上打开代币合约地址。确认合约源代码已发布。查看代码顶部的 mint、blacklist、pause 和 upgradeTo 参数。检查所有权和持有者。
3.运行 Token Sniffer。粘贴合约地址,扫描自动评分。读取各个标志,而不仅仅是数字。
4.运行 GoPlus Token Security。检查蜜罐、铸币、代理、税收和持有者集中度等标志。GoPlus 是最可靠的第二意见。
5.运行 Honeypot.is。如果代币位于受支持的链上,这将添加一个行为模拟层,这是仅读取合约所无法实现的。
6.打开 Bubblemaps。确认代币持有者分布并非集中在一个集群中。如果前 10 名持有者都由同一出资人资助,则应停止操作。
7.查看 DexScreener 或 DEXTools。确认流动性规模、流动性是否被锁定(以及锁定时间)、交易对的成立时间和近期交易量。
8.查找审计报告。使用 De.Fi 扫描器查看自动生成的 DeFi 评分,如果项目声称已进行审计,还可以查看 CertiK、SlowMist 或 PeckShield 的审计报告。阅读审计结果,而不是营销宣传。
如果上述任何一项措施出现严重失败(例如 Honeypot.is 为红色、来源未经核实、前三大持有者集中出现),则结论为否。如果所有八项措施均通过,代币仍有可能出现问题(经审计的项目都经历过考验),但发生灾难的概率会大幅下降。
值得关注的加密货币诈骗案例研究(2024-2026)
最近的案例表明,这些模式的传播速度有多快,以及它们会造成多大的损失。
LIBRA(2025年2月14日)。这种阿根廷政治概念币市值一度飙升至近40亿美元,随后在数小时内暴跌超过90%。八个内部钱包套现约1.07亿美元;投资者总损失估计约为2.51亿美元。团队关联的钱包在拉高价时抛售,而Bubblemaps在发行后数小时内的分析清晰地显示了这一集群现象。
TRUMP 和 MELANIA(2025 年 1 月)。这两个模因币在 72 小时内相继上线。链上数据显示,内部人士大量抢购:在正式发布前约两分半钟内,就有 24 个钱包买入了价值 260 万美元的 MELANIA。这两个模因币的散户总损失约为 43 亿美元,涉及约 200 万个钱包,内部人士的损失是散户的 20 倍。
OM(Mantra)崩盘(2025年4月13日)。Mantra代币在短短一个交易日内价值暴跌约90%,原因是大量OM代币被转移到交易所,并在衍生品市场引发强制清算,导致市值在数小时内蒸发超过60亿美元。此次崩盘并非典型的“地毯式”崩盘,但其链上模式(暴跌前大量代币突然被转移到中心化交易所)与诈骗检测工具所监控的模式完全一致。
JELLY / Hyperliquid(2025年3月26日)。一位巨鲸操纵了 Hyperliquid 平台上的 JELLY 代币,他开立了超额仓位,导致一系列强制平仓,使平台 HLP 金库中约 1350 万美元面临风险。Hyperliquid 介入并以手动设定的价格将该代币下架。该事件凸显了即使在复杂的交易平台上,低流动性代币也可能被恶意利用。
pump.fun 生态系统(2024-2026)。每天都有数万个类似 pump.fun 的代币通过启动器部署到 Solana 平台。大多数代币会在数小时内失效。Token Sniffer、GoPlus 和 Honeypot.is 联手拦截了绝大多数此类恶意陷阱和骗局;剩余的风险是市场风险,而非欺诈风险。
所有这些案例的共同点在于,在交易发生之前,链上数据中就已经出现了明显的异常信号。Bubblemaps、Arkham、GoPlus 以及它们之间的区块链浏览器,都会在用户购买代币之前就向其发出预警。
商家安全:接受比特币、稳定币和山寨币
对于加密货币支付用户而言,关于诈骗代币的问题则截然不同。商家通常不出售代币,而是接受代币。风险也因此不同。
- 假冒稳定币。诈骗者会在低手续费的区块链上发行名为 USDT 或 USDC 的代币,其符号与官方代币极其相似。如果商家只关注符号而不查看代币合约地址,就可能将毫无价值的代币记入账户。解决方法:务必将合约地址与官方发行方公布的合约进行比对。以太坊上真正的 USDT 地址是 `0xdAC17F958D2ee523a2206206994597C13D831ec7`;BNB 链上的地址是 `0x55d398326f99059fF775485246999027B3197955`。任何其他地址都不是 Tether。
- 地址投毒。诈骗者生成一个地址,其首尾几个字符与已知交易对手的地址匹配,并发送一笔小额交易,使其出现在钱包历史记录中。之后,工作人员会从历史记录中复制粘贴,并将资金转给攻击者。解决方法:发送前验证地址的每个字符。
- 空投陷阱:商家钱包收到未经请求的代币。与合约交互(批准、兑换、转账)可能会触发大量空投,导致钱包资金耗尽。解决方法:切勿与未知的空投代币交互;不要批准。Revoke.cash 和 De.Fi Shield 等工具可以审核并撤销过期的批准。
- 基于签名的资金转移。恶意前端会要求用户签署一条看似无害的消息(EIP-2612“许可”或EIP-712链下签名),而实际上该消息会授权无限转账。工具:BlockSec Phalcon、Pocket Universe 和 Wallet Guard 等工具都会在签名发送前模拟其真实状态的变化。
- 收到 Memecoin 付款请求。一位顾客坚持要用一种不知名的新代币付款。商家设置了诱饵陷阱。解决方案:仅接受通过支付网关以允许列表中的资产(BTC、ETH、主流稳定币)进行的付款,该支付网关负责处理代币验证和转换。
Plisio 式的加密支付处理器会自动添加这种抽象层。网关会将传入的代币与允许列表进行比对,验证合约地址的完整性,拒绝可疑代币,并处理将其转换为法币或主流加密资产的操作。对于商家而言,这可以将大部分 DeFi 诈骗检测的负担转移到已经大规模运行的基础设施上。
商家直接接受加密货币交易的基本检查清单:使用在符号旁边显示真实合约地址的钱包;维护一个可接受资产的允许列表;对列表之外的任何资产运行快速的 Token Sniffer 或 GoPlus 扫描;避免任何来自主动联系的绕过 KYC 或“恢复骗局”的提议。
KYC、监管和加密货币不良行为者的作用
自2024年以来,加密货币欺诈监管力度显著加大。欧盟于2024年12月30日全面实施了《加密货币监管条例》(MiCA),该条例为所有成员国制定了托管、稳定币和市场滥用规则,并在大多数司法管辖区设有过渡期,有效期至2026年7月1日。据欧洲证券及市场管理局(ESMA)统计,截至2025年中期,已颁发约40张MiCA许可证。在美国,司法部于2024年宣布成立加密货币欺诈工作组,并已对数十名与去中心化金融(DeFi)骗局、庞氏骗局和非法宰猪活动有关的人员提起诉讼。2025年2月27日,美国证券交易委员会(SEC)公司财务部表示,大多数模因币不属于证券,因为它们不产生收益或赋予商业收入的权利;针对模因币欺诈的执法工作已转向美国商品期货交易委员会(CFTC,负责商品欺诈)和美国司法部(负责电汇欺诈和洗钱)。 OFAC 继续制裁与被盗加密货币和洗钱有关的钱包,取证工具会在每个屏幕上标记这些钱包。
对于加密货币用户而言,实际意义在于,KYC认证机制下的交易所、受监管的支付网关和链上筛选服务如今构成了一道多重防线,有效抵御已知的诈骗钱包。不受监管的海外平台,如果阻碍KYC验证,或者将用户引导至境外不良交易所进行未经验证的加密货币交易,本身就是一个危险信号。合法性检查(KYC状态、监管机构许可、审计历史)是一种成本低廉的筛选机制,能够在资金流动之前过滤掉大多数明显的欺诈者。
如何避免加密货币诈骗代币:最后总结
2026 年的诈骗检测更像是一份清单,而非猜测。只需四五个工具,在第二个标签页打开区块链浏览器窗口,集中精力五分钟,就能识别出那些在 2021 年会让同一用户蒙受损失的诈骗代币。Token Sniffer 和 GoPlus 可以识别出显而易见的诈骗。Honeypot.is 可以识别出那些阻碍卖出的代币。Bubblemaps 和 Arkham 可以揭示诈骗团伙的构成。De.Fi 扫描器则可以汇总审计层的信息。这些检测工具单独使用都不够全面,但它们结合起来可以覆盖当今绝大多数的诈骗模式。
最重要的习惯是在交易前运行工具,而不是交易后。所有有记录的 DeFi 骗局代币和 2025 年的撤资事件,在上线当天都至少被一个扫描器标记出来。损失的发生是因为用户没有进行检查。对于加密货币用户、交易者和商家来说,快速验证流程是目前最经济实惠的加密货币保险,而且除了打开正确的标签页所需的五分钟之外,无需任何其他成本。
