这种首尾号相似地址投毒的钓鱼不接近灭绝，这行业的安全基建就永远不及格...这种针对钱包交易历史的投毒污染，技巧好几种，比如这个例子用到了两种： 1 假 token 的合约代码 emit 出假事件日志，不仅欺骗肉眼也会让区块浏览器及许多钱包都按事件日志的意图去原样输出 2 零金额转账事件日志，许多 token 都支持代币为 0 的 transferFrom 操作，金额为 0 的场景下，from/to 随便定义 这两种都会让用户以为是自己的操作，毕竟看去确实是从自己的地址往目标钱包地址发送的 tx，可惜这里的“目标钱包地址”只有首尾几个字符是和真实的一样。 其他技巧还有如来源地址是首尾字符相同，真实的小额资金打给用户地址，这种在波场上一直很多，你但凡往外转些资金，很快就会收到各种小额入账，一看都是来投毒钱包历史记录的。 还有一些高级点的技巧比如结合剪切板劫持的，黏贴过去的和之前常用的地址首尾字符看去一样。再比如假冒知名 DEX 输出假事件日志的，会更让你以为是自己曾经真的操作... 其实这种防御是很简单的，比如善于使用钱包白名单机制、地址多看几个字符（重要的完整看都行）、结合知名硬件钱包做 double check 等等。但是吧，简单的防御，对许多用户来说还是不简单，用户会嫌麻烦，尤其在 fomo 的时候。这也是钱包们难的地方，用户们经常被各种安全道道坑，但总是先拿钱包开刀...