029：域名钓鱼的细节杀

域名钓鱼是 Web3 用户最常见却致命的风险。一个字母差异就可能让你误入假站点，钱包资产瞬间清空。无论是 DNS 劫持还是 ENS 仿冒，黑客都在利用细节漏洞。唯有谨慎核对域名、证书与官方渠道，才能避免成为“细节杀”的牺牲品

> 作者：[Henry](https://x.com/0xhenrydev)
> 🔨 本文是《Web3 敲门砖计划》的第 29 篇（计划共 100 篇）
>
> 初衷：
> ❤️ 不是“我教你”，而是“我们一起搞懂”
> ❤️ 不堆术语、不炫技，记录真实的学习过程
>
> 适合人群：
> ✅ Web3 初学者
> ✅ 想转型到 Web3 的技术 / 内容 / 产品从业者
> ✅ 希望用碎片化时间积累系统认知的朋友
>
> 如果你觉得有收获，欢迎点赞（❤️）+ 收藏，一起学习、彼此交流 🙌

![不要轻信](https://img.learnblockchain.cn/attachments/2025/09/z5E6Ma2P68d241033829a.png)
在 Web3 世界里，你可能已经习惯了：

* 输入某个 DApp 的网址，连接钱包；
* 或者在群里点开空投链接，期待惊喜。

但请注意：只要一个字母不同，你看到的“官方页面”，可能就是黑客布下的陷阱。

这就是 **域名钓鱼攻击** —— 最简单、却最致命的骗局之一。

***

### 什么是域名钓鱼？

#### 1. DNS 劫持

* 攻击者篡改域名系统，把用户输入的正确网址，重定向到恶意网站。

#### 2. 域名仿冒

* 注册一个与官方几乎一致的域名：

* 例子：`unlswap.org`（小写 L）冒充 `uniswap.org`。
  * 用户一旦不仔细检查，就可能误入陷阱。

#### 3. ENS 钓鱼

* 在以太坊上，ENS（Ethereum Name Service）提供类似 `vitalik.eth` 的命名服务。
* 黑客可能抢注相似名字，诱导用户转账或授权。

***

### 为什么钓鱼如此高效？

1. **心理误差**

* 人眼对相似字母极不敏感，`rn` ≈ `m`，`0` ≈ `O`。

2. **环境信任**

* 用户在熟悉的群、朋友的转发里看到链接，容易放松警惕。

3. **伪造网站几乎无差别**

* 前端 UI 可以完整复制，只有背后合约地址不同。

***

### 真实案例

* **Uniswap 钓鱼网站**：
  2021 年，假冒 Uniswap 的钓鱼站通过 Google 广告投放，骗走了数百万美元。
* **MetaMask 钓鱼**：
  无数用户因下载了假冒网站上的“MetaMask 插件”，导致私钥泄露。

***

### 如何防范？

1. **检查域名**

* 手动输入或收藏常用 DApp 的正确网址。
   * 警惕一切拼写差异。

2. **验证证书**

* 注意 HTTPS 和 SSL 证书，虽然不能保证绝对安全，但是假站点常常缺乏。

3. **借助安全工具**

* 浏览器插件（如 ScamSniffer、Pocket Universe）可识别钓鱼链接。

4. **社群交叉验证**

* 不要单凭群内转发确认，去官方推特/Discord 核对公告。

***

### 结语

在 Web3，细节往往决定成败。
一个不经意的点击，可能让你资产归零。

**域名钓鱼的“细节杀”，就是利用了你的粗心。**
保持警觉，才是最好的安全策略。

作者：Henry 🔨 本文是《Web3 敲门砖计划》的第 29 篇（计划共 100 篇）

初衷： ❤️ 不是“我教你”，而是“我们一起搞懂” ❤️ 不堆术语、不炫技，记录真实的学习过程

适合人群： ✅ Web3 初学者 ✅ 想转型到 Web3 的技术 / 内容 / 产品从业者 ✅ 希望用碎片化时间积累系统认知的朋友

如果你觉得有收获，欢迎点赞（❤️）+ 收藏，一起学习、彼此交流 🙌

在 Web3 世界里，你可能已经习惯了：

输入某个 DApp 的网址，连接钱包；
或者在群里点开空投链接，期待惊喜。

但请注意：只要一个字母不同，你看到的“官方页面”，可能就是黑客布下的陷阱。

这就是 域名钓鱼攻击 —— 最简单、却最致命的骗局之一。

什么是域名钓鱼？

1. DNS 劫持

攻击者篡改域名系统，把用户输入的正确网址，重定向到恶意网站。

2. 域名仿冒

注册一个与官方几乎一致的域名：
- 例子：unlswap.org（小写 L）冒充 uniswap.org。
- 用户一旦不仔细检查，就可能误入陷阱。

3. ENS 钓鱼

在以太坊上，ENS（Ethereum Name Service）提供类似 vitalik.eth 的命名服务。
黑客可能抢注相似名字，诱导用户转账或授权。

为什么钓鱼如此高效？

心理误差
- 人眼对相似字母极不敏感，rn ≈ m，0 ≈ O。
环境信任
- 用户在熟悉的群、朋友的转发里看到链接，容易放松警惕。
伪造网站几乎无差别
- 前端 UI 可以完整复制，只有背后合约地址不同。

真实案例

Uniswap 钓鱼网站： 2021 年，假冒 Uniswap 的钓鱼站通过 Google 广告投放，骗走了数百万美元。
MetaMask 钓鱼：无数用户因下载了假冒网站上的“MetaMask 插件”，导致私钥泄露。

如何防范？

检查域名
- 手动输入或收藏常用 DApp 的正确网址。
- 警惕一切拼写差异。
验证证书
- 注意 HTTPS 和 SSL 证书，虽然不能保证绝对安全，但是假站点常常缺乏。
借助安全工具
- 浏览器插件（如 ScamSniffer、Pocket Universe）可识别钓鱼链接。
社群交叉验证
- 不要单凭群内转发确认，去官方推特/Discord 核对公告。

结语

在 Web3，细节往往决定成败。一个不经意的点击，可能让你资产归零。

域名钓鱼的“细节杀”，就是利用了你的粗心。 保持警觉，才是最好的安全策略。

Web3 敲门砖计划