Web3 通过区块链技术为用户拿回了数据与资产主权，让用户自己管理自己的信息与财产，同时也让用户进入了黑森林。在 Code is Law 的 Web3 世界中，与各种合约交互是用户的基本动作，但没有开发背景的普通用户难以识别恶意嵌入合约代码里的漏洞，极易遭受财产损失。

01

• 错误授权：用户在与 dapp 交互时通常需要进行合约授权，某些恶意地址会发起转移资产的授权请求，若用户点击授权，则资产可以被直接转走
• 机制改动：合约开发者可通过一系列手段更改代币机制，进行增发、销毁、改变交易税等操作
• 貔貅合约：用户的买卖行为被限制，常见方式为自由买入，对卖出进行限制

02

十大避坑工具

针对以上问题，我们整理了十大避坑工具，帮助 Web3 用户守护好自己的资产和账户。以下工具除了 Harpie 在发生追回财产事件时需要付 0.01ETH 的固定费用，以及 MistTrack 在一个月免费试用期后需要付费订阅，其他工具均为免费。

2.1 合约风险扫描

• Go+ Security
• 官网：https://gopluslabs.io/
• StaySafu
• 官网：https://app.staysafu.org/
• Token Sniffer
• 官网：https://tokensniffer.com/

2.1.1 功能与使用场景

功能：检测合约地址风险，快速获得简易审计报告

使用场景：在与某个 dApp 交互、或在 dex 上输入地址购买长尾代币时，如不确定其智能合约是否存在漏洞及其他风险，可在以上工具的扫描功能中输入要交互的智能合约地址，查看风险检测结果

2.1.2 项目对比

支持公链

安全能力

项目背景

综合点评

• Go+ Security：覆盖的公链最多，且涵盖的风险指标更多，可更加全面了解潜在风险
• Tokensiffer：同样有较多覆盖指标，同时每个指标有详细解释，可以更加深入理解风险点
• StaySafu：风险指标和支持公链较少

2.2 钱包防钓鱼插件

Scam Sniffer

官网：https://scamsniffer.io

Pocket Universe