近期，GoPlus Security 收到合作伙伴提供的风险线索，YouTube 出现一种批量钓鱼的方式，钓鱼网站冒充钱包官方，发布 DeFi 分协议的质押教程，骗取用户授权，资取资产。

一，骗子是怎么做的呢:

第一步，官方给出钓鱼网址，教程视频在 BakerySwap 交易所上交互，但后面给的钓鱼地址并不是 BakerySwap，也是在利用 BakerySwap 取得用户信任。

第二步，让连接你的钱包，MetaMask/WalletConnect 。

第三步，高收益率诱惑，可以看到这些伪造的质押节点，其中某代币达到了 718% 的年化收益率，而页面上 Eth， Busd 只有百分之几。

第四步，博主讲述，自己认识的人已经在这个节点上质押了 10 万美元，每天获得 2 千美元的收益。

第五步，博主自己质押操作：质押了 2500 美元，展示 24 小时后，收到 50 美元质押奖励。

第六步，告诉你可以随时撤销质押（降低你的防备心理和交易成本）。

第七步，一旦你按照视频的指导完成抵押合约的授权，则合约获得转移你资产的权利。攻击者就会把你们数字资产直接转走，而你不会得到任何通知。

二，同类钓鱼骗局

类似这种冒充官方的视频有很多，换不同的钱包名，或者项目方名字，视频看起来很正规，讲解也很专业，很容易让用户以为是官方教学视频，同时被高收益吸引，完成操作。

在 YouTube 输入“token AIRDROP ” 这样的关键词，会出现很多类似上述的空投，质押骗局。骗子选取的都是知名的项目方 / 硬件钱包 / 高收益 / 山寨币空投，来伪造钓鱼网址，骗取授权。

有的视频底下，还会用一些马甲小号来刷好评，带节奏。

而且我仿佛看到一个规律，好多打着“AirDrop claim$500”这样封面的视频，都是差不多一个团队做的。可能骗子懒的换封面了吧……

在 YouTube 搜索这几个关键词，首页就会出现大量这样的同类视频。有的视频还是同一个博主，穿着同一件毛衣，换不同代币名称，发布在不同账号上。据不完全统计，有上百个这样的视频，播放量高的有 2k，5k 的，大部分都是 300–600 的，预计总的播放量已经超过 30 万 +，数字还在增长中。

YouTube 是 Web3 用户最常用的视频媒体，看各种交互指南和项目分析的同时，也成为了不少加密骗局的媒介。大家一定要注意区分。

三，防骗指南

1，首先要跟官方确认，不要相信其他渠道给出的操作指南，请去官方网站，社群查询。

2，区分这些视频的发布者，不要轻易相信 YouTube 博主，哪怕这个真人看起来体面，甚至还有点帅气。同时要去主页看下这个博主的历史发布情况，这种粉丝只有 300，主页上没有历史视频，或者发布的全是这种钓鱼交易类的，不要相信。

3，不要相信高利诱惑，APR718% 在目前的市场情况下，不能说不可能出现，但也是非常稀少，所以当出现如此高收益的时候，请更小心的确认。

4 ，使用专业工具识别骗子的攻击授权，作为用户，不易识别这类骗局，很自然进入骗子的逻辑，但可以依靠专业的主动安全防御功能，识别合约授权风险。

Web3 充满了这样的安全信息不对称，因为普通的用户不懂代码，也看不懂每一次到底授权了啥，在这样的黑暗丛林中是属于绝对弱势的。

例如 GoPlus Security 的授权检测 API，钱包可以通过接入 API，为用户实时识别后授权风险，并进行授权管理，用户在授权攻击者合约时会收到警告，如果那些合约被攻击，之前的授权可能被攻击者利用，转移用户资产，也会及时提示。

目前接入 API 的合作方：

网站：gopluslabs.io

API 开发文档：https://docs.gopluslabs.io/