每个区块链地址都有一段历史。它做过的每一笔交易、交互过的每一个合约、收到的每一笔代币——全部永久记录在链上,任何人都可以查看。地址风险评分就是通过分析这段历史来判断:这个地址是否安全,是否与恶意活动有关联。
当你向一个钓鱼地址转了钱、授权了一个恶意合约、或者收到了来自制裁实体的代币,你就会成为一条可追踪的交易链的一部分。理解风险评分的工作原理,能帮助你保护自己——也能解释为什么交易所有时会冻结你的提币。
核心要点: 地址风险评分评估六大类风险——钓鱼关联、制裁曝光、洗钱关联、蜜罐创建、黑名单状态和恶意合约交互。与被标记地址的一次交互就可能”污染”你自己地址的风险画像。
地址风险评分衡量什么
风险评分系统整合多个来源的数据——链上交易历史、执法数据库、社区举报和交易所合规数据——来标记涉及恶意活动的地址。
六大风险类别
| 风险类别 | 检测内容 | 严重程度 |
|---|---|---|
| 钓鱼关联 | 地址与已知钓鱼活动有资金往来 | 极高 |
| 制裁曝光 | 地址出现在 OFAC、联合国或欧盟制裁名单上 | 极高 |
| 洗钱关联 | 地址与混币器或 Tornado Cash 有大额交互 | 高 |
| 蜜罐创建 | 地址部署过被标记为蜜罐的合约 | 高 |
| 黑名单状态 | 地址被交易所或合规机构列入黑名单 | 高 |
| 漏洞利用关联 | 地址接收过已知协议漏洞利用的资金 | 高 |
1. 钓鱼关联
钓鱼是链上最常见的犯罪。攻击者创建仿冒 DApp 网站,诱骗用户签署恶意交易,清空其钱包。被盗资金经过一系列中间地址最终到达攻击者手中。
污染传播
当受害者举报钓鱼地址后,合规服务将其加入数据库。此后,任何从该钓鱼地址接收资金——或向其发送资金——的地址都会被标记为”钓鱼关联”。
这形成一条污染链:
- 钓鱼地址清空受害者钱包
- 资金转移到中间地址 A(洗钱第一步)
- 资金经过混币器
- 资金到达交易所充值地址 B
如果你与地址 A 交互——即使是不知情的,比如收到了它发的空投——你的地址可能继承钓鱼风险标记。
对你的影响
交易所使用这些风险评分做合规。如果你的地址有钓鱼关联标记,交易所可能:
- 冻结充值并等待人工审核
- 要求额外的 KYC 文件
- 将你的账户标记为反洗钱(AML)调查对象
- 在极端情况下向执法机构报告你的地址
2. 制裁曝光
政府制裁名单——特别是美国财政部 OFAC 特别指定国民(SDN)名单——包含与恐怖主义、贩毒、武器扩散和国家支持的网络犯罪相关的区块链地址。
高调案例:Tornado Cash
2022 年 8 月被 OFAC 制裁的加密货币混币器 Tornado Cash 是最知名的案例。制裁后:
- 美国人被禁止与任何 Tornado Cash 智能合约交互
- 与 Tornado Cash 有交互记录的地址可能携带制裁曝光标记
- 主要交易所自动标记有 Tornado Cash 交互历史的地址
- 即使被动收到来自制裁地址的代币转账(空投钓鱼常用手法)也可能污染你的钱包
如何检查
在与任何陌生地址交互之前——特别是主动向你发送代币的地址——检查其制裁状态:
- 在区块链浏览器上查看该地址
- 检查是否出现在 OFAC SDN 名单中
- 审查交易历史中是否有混币器交互
- 使用地址风险 API 做自动化筛查
3. 洗钱关联
链上洗钱通常旨在切断非法资金与其来源之间的联系。常见手法包括:
| 手法 | 原理 | 链上特征 |
|---|---|---|
| 链跳 | 通过跨链桥在多条链之间转移 | 频繁桥交互,分散金额 |
| 混币 | 使用 Tornado Cash 或类似服务 | 与已知混币合约交互 |
| 分层 | 通过数十个中间地址发送 | 高交易频次,小额,剥洋葱式拆分 |
| 兑换洗白 | 在多个 DEX 交易对之间频繁兑换 | 快速跨多代币对兑换 |
剥洋葱模式
经典的洗钱手法——剥洋葱链(Peeling Chain):
- 从非法来源获得 100 ETH
- 向地址 A 发送 99 ETH,向地址 B 发送 1 ETH(“剥皮”)
- 从地址 A 向地址 C 发送 98 ETH,向地址 D 发送 2 ETH
- 持续剥皮直到资金分散到数百个地址
- 每个碎片最终到达交易所兑现
风险评分系统通过分析交易图谱来检测这种模式。如果你的地址恰好处于剥洋葱链的路径上——即使你对洗钱毫不知情——你可能会继承风险标记。
4. 蜜罐和 rug pull 创建
部署过恶意合约——蜜罐、rug pull 或虚假代币合约——的地址被标记为”部署者风险地址”。
如何识别危险部署者
在交互任何新代币或合约之前,检查部署者地址:
- 历史部署: 该地址是否部署过其他合约?那些合约是否被标记为诈骗?
- 资金来源: 部署者的 Gas 费从哪来?如果来自混币器或已知漏洞利用地址,是严重红旗
- 时间线: 部署者是否在协同营销活动开始前几分钟创建合约?暗示预谋操控
- 自交易: 部署者是否反复与自己的合约交互以制造虚假交易量?
详见 如何识别和防范蜜罐(貔貅)代币 和 代币安全检查清单。
5. 黑名单状态
除了政府制裁,多个组织维护私有黑名单:
- 交易所合规名单: 每个大型交易所(Binance、Coinbase、Kraken)维护内部风险数据库
- Chainalysis / TRM Labs / Elliptic: 商业区块链分析公司,向交易所和政府出售风险数据
- 社区维护名单: 安全研究人员和 DeFi 社区编制的诈骗数据库
一个地址可能只被一个交易所拉黑而不被其他交易所拉黑。但如果主要交易所标记了某地址,其他交易所通常会跟进。
6. 漏洞利用关联
当协议被攻击——无论是闪电贷攻击、重入漏洞还是预言机操控——攻击者的地址和所有下游接收被盗资金的地址都会被标记。
污染问题
如果被盗资金经过你的地址——即使你是无辜接收的(例如卖 NFT 给用赃款付款的人)——你的地址可能被标记为漏洞利用关联。因此:
- 始终验证收款来源
- 卖出 NFT 或代币给陌生地址时要谨慎
- 如果收到意外转账,在区块链浏览器上查看该地址
如何解读地址风险报告
一份综合风险报告通常包含:
| 报告部分 | 含义 |
|---|---|
| 风险评分 | 总体风险等级(0-100 或 低/中/高/极高) |
| 制裁检查 | 地址是否出现在政府名单上 |
| 钓鱼标记 | 交易历史中钓鱼交互的数量 |
| 混币器曝光 | 与混币器的交互频率和金额 |
| 漏洞利用关联 | 地址是否接收过已知漏洞利用的资金 |
| 交易所状态 | 主要交易所是否已标记该地址 |
| 合约部署 | 该地址部署过的所有合约 |
| 首次出现 | 地址首次活动的时间(越新 = 风险越高) |
风险评分解读
| 评分范围 | 风险等级 | 建议操作 |
|---|---|---|
| 0–10 | 干净 | 可以交互 |
| 10–25 | 低风险 | 保持正常警惕 |
| 25–50 | 中风险 | 交互前深入调查 |
| 50–75 | 高风险 | 不经彻底调查不要交互 |
| 75–100 | 极高风险 | 任何情况下不要交互 |
使用地址风险 API
对于需要构建合规或安全功能的开发者,Onchain Diary 提供地址风险 API,返回任意钱包地址的结构化风险评估,整合了钓鱼/诈骗关联数据、制裁名单匹配、洗钱模式检测、漏洞利用资金追踪和交易所黑名单状态。详见地址风险评分 API 指南。
地址风险评分的局限性
风险评分并不完美:
- 误报: 地址可能因收到来自被标记地址的空投而被误标(粉尘攻击)。地址主人可能完全无辜。
- 漏报: 新地址没有历史记录,看起来是干净的——骗子利用这一点为每次行动创建全新地址。
- 关联污染: 区块链的互联性意味着风险可以在交易链中传播,标记距离实际犯罪好几跳的无辜用户。
- 链下风险: 链上历史干净的地址仍可能属于在链下行骗的骗子(社交工程、社群诈骗)。
总结
地址风险评分是一个工具,而非保证。它显著提升了你在交互前识别危险地址的能力,但不能取代基本的安全习惯:
- 使用硬件钱包存储大额资产
- 不要签署来自未验证来源的交易
- 使用独立钱包参与 DeFi 交互
- 转账前检查地址,特别是大额转账
- 对不明空投保持警惕——它们可能是钓鱼诱饵