在某個加密貨幣網紅最新貼文底下的留言串中,成千上萬個 Solana(SOL)錢包地址像彩票一樣堆疊著。指示總是如出一轍:「丟下你的 SOL 地址,有驚喜。」
這種做法已成為當前散戶周期的代表性儀式之一——一個大規模的行為循環:用戶拿自己的鏈上身份去交換極少數情況下才有價值的代幣。表面上看是派發福利,實際上,這卻是加密產業迄今為止最有效率的成長駭客策略之一。
「掉地址」這套 meta 並不是出於慷慨,而是出於算盤。Solana 的交易手續費低到誇張——每筆轉帳只要不到一美分——代幣發行者花不到一杯咖啡的價錢,就能給 10,000 個錢包空投一點「灰塵」。
每一位收幣者都會在區塊鏈瀏覽器上變成一行紀錄,推高持幣人數。每一則回覆與轉發,都在餵養社交媒體演算法。
每一次互動,都營造成一種自然發酵、草根動能的假象。在 memecoin 投機的注意力經濟裡,這種「假象」本身就是產品。
要理解這個生態系,必須同時承認兩個現實。
第一:只有極少數參與者靠空投耕種賺到可觀收益,而這些少見的成功案例,撐起了整個行為循環。
第二:支撐廉價大規模分發的同一套基礎設施,也同樣支援廉價的大規模盜竊。
假贈獎頁面、惡意的代幣授權,以及會把錢包掏空的智能合約,已經把「掉地址」變成產業裡效率極高的釣魚手法之一。機會與陷阱之間,只差一次點錯簽名。
分錢經濟學:大規模分發的「硬幣學」
整個「掉地址」經濟的基礎,是 Solana 的費用結構。每一筆 Solana 交易都要支付 0.000005 SOL 的基礎費用——以目前價格換算,大約是 0.0005 美元。
即使加上可選的優先手續費,根據 CoinCodex 整理 的數據,2025 年間平均交易成本大約在 0.00025 到 0.003 美元之間。
以這樣的價格,發幣者若要向 10,000 個錢包分發代幣,整體網絡費用大約只要 3 到 30 美元,視乎優先費設定而定。
這種成本結構,就是整個 meta 的引擎。在 Ethereum(ETH)上,如果碰上中度壅塞,同樣的操作很容易要花上幾百甚至幾千美元。
在 Solana 上,這筆錢只是個四捨五入的尾數。像 Smithii 的 Solana Multisender 這類工具允許 代幣創建者上傳一份包含錢包地址的 CSV,幾分鐘內就能完成批量空投。平台估算,若需為收幣者建立新的代幣帳戶,每個錢包成本約 0.3 美元;若收幣者已持有該代幣,成本就低得多。
對空投發起者來說,經濟誘因非常直接。一枚擁有 15,000 位持有人數的 memecoin,在 Solscan 或 Birdeye 上看起來,和只有 200 位持幣人的幣完全是兩回事。更高的數字帶來社會認同。
這會給人一種正在獲得牽引力的感覺,吸引那些掃描市場、尋找早期動能標的的交易者。
空投本身就是一筆行銷開銷,而在 Solana 上,這可以說是整個金融科技領域裡最便宜的行銷費用了。
演算法黑客
這種送幣結構不只是一套區塊鏈操作,更是一套社交媒體策略。當一個網紅或代幣創建者發文說:「丟下你的 SOL 地址、按讚並轉發就有驚喜」,其實就是在精心打造一則能最大化 X(前身為 Twitter)互動訊號的貼文。
每一個附上錢包地址的回覆,都算是一則留言。每一次轉發,都能擴散觸及。每一個按讚,都在把這則貼文往演算法排序的上層推。
結果就形成了一個回授循環:因為有成千上萬人互動,貼文開始趨勢化;而正是因為它看起來在流行,又吸引了成千上萬人跟風互動。
對創建者來說,成本微乎其微——幾美元的手續費,再加上一小部分在大多數情況下根本沒有內在價值的代幣。換來的,卻是如果靠同一平台的付費廣告,要花上數千美元才能買到的演算法曝光。
這種動態,也解釋了為什麼「掉地址」貼文會這麼密集出現在加密貨幣社群的動態牆裡。這種行為並不是什麼自然的社群凝聚,而是一種「互動耕種」——產業本身就用 這個詞來形容那些專門用來製造需求假象的策略。
而之所以有效,是因為社交媒體演算法無法分辨真正的熱情,和被刻意製造出來的互動。
延伸閱讀: UK Caps Overseas Political Donations, Bans Crypto Contributions In New Bill
Pump.fun 工廠與 98.6% 問題
要理解支撐這套生態系的 memecoin 產量有多驚人,就得看看 Pump.fun——這個 Solana 原生的發幣平台,讓任何人只花大約 3 美元、幾秒鐘就能創建一枚代幣。
自 2024 年 1 月上線以來,該平台已生成 超過 1,190 萬枚代幣,累積營收逾 8 億美元。
根據 CoinMarketCap 的數據,在 2025 年初的高峰時期,Pump.fun 佔了 Solana 上超過 70% 的新代幣發行量。
Bloomberg 在 2025 年 6 月報導 指出,Pump.fun 已成為「推動 memecoin 爆炸性成長以及 Solana 鏈上活動暴增的最大動力之一」。
根據 BestBrokers 彙整的追蹤數據,2025 年 1 月下旬,單日代幣創建量曾一度衝上約 72,000 枚,之後才回落並穩定在每天 15,000 至 20,000 枚之間。
壓倒性多數的這些代幣都以失敗告終。Solidus Labs 的一份合規分析發現,在 Pump.fun 上發行的代幣中,有 98.6% 展現出與「拔地毯」(rug pull)或「拉高出貨」方案相符的特徵。
Pump.fun 對這樣的定性提出質疑,但就連平台自己的「畢業」機制也顯示出極高的淘汰率:代幣市值必須先達到約 90,000 美元門檻,才會被遷移到像 Raydium 這類去中心化交易所,進入更廣泛的交易市場。
絕大多數代幣都永遠達不到這個門檻。
「掉地址」空投,就是在這樣的環境下運作。發幣者花 3 美元上線一枚新幣,再花 10 到 30 美元把它撒到成千上萬個錢包裡,在 X 上製造成千上萬個互動訊號,希望藉此吸引足夠的買盤,把代幣推向「畢業」門檻。
而那些收到空投的參與者,在大多數情況下拿到的,都是沒有流動性、沒有實用性,也幾乎不可能產生實際價值的代幣。
彩票式心理
儘管成功機率極低,參與者仍不斷投入。理性的說法叫「不對稱報酬」,感性的說法就是「中獎幻想」。
加密貨幣世界曾經出現過足夠多、來自空投參與的極端暴利案例,足以支撐這個行為循環。
Jupiter 的 JUP 空投在 2024 年初分配 了 40% 的總供應給早期用戶,個別分配價值動輒上千美元。Jito 的 JTO 空投,也讓參與流動質押的用戶拿到相當可觀的倉位。
Bonk 則把 50% 供應分給社群,被認為在市場低迷時重新點燃了 Solana 生態系的活力。
這些先例的作用,就像彩券業中的頭獎得主:它們提供了一個可被想像、甚至被模仿的成功樣本,讓人持續買票。
結構上的差別在於,買彩券要花錢,而在留言串裡丟一個錢包地址是免費的。
真正的成本,是時間、注意力,以及——更關鍵的——把錢包地址公開、並可能與未知代幣互動所帶來的安全風險。
若從投入時間來衡量,「掉地址」空投的平均參與回報幾乎可以肯定是負的。大部分被分發的代幣既沒有流動性池,也沒有交易量,更沒有把這些空投換成法幣或穩定幣的機制。
即使少數真的能交易,金額通常也只以幾毛錢計。
這種做法之所以持續存在,是因為進場成本幾乎趨近於零,而那種「不對稱暴利」的夢——與老虎機、刮刮樂背後同一套心理機制——足以壓過理性的機率判斷。
延伸閱讀: How Bernstein Reads The USDC Yield Ban As A Potential Win For Circle
黑暗面:錢包掏空與釣魚基礎設施
在「掉地址」這套 meta 裡,最具殺傷力的風險並不是收到一枚一文不值的代幣,而是收到一枚專門設計來把你錢包裡其他東西全部洗走的代幣。
在 Solana 上,錢包掏空攻擊的手法演變速度非常快。其中一種常見的攻擊向量,已被記錄 下來…… 由網絡安全公司 Cyble 指出的一種手法,是透過空投派發含有釣魚網站連結的 NFT 或代幣。
當收件人嘗試與該代幣互動——無論是打算出售、領取額外獎勵,還是單純想看看是甚麼——頁面都會要求連接錢包並請求簽署交易。那個簽名並不會執行兌換交易。
它實際上會執行一個智能合約函數,將受害者資產的存取權限授予攻擊者。
在 2026 年 3 月發佈的一份分析估算,僅在 2025 年上半年,Solana 用戶就在釣魚攻擊中損失超過 9,000 萬美元。
Solana 的攻擊面特別寬廣,因為與以太坊不同,Solana 帳戶有一個明確的「Owner(擁有人)」欄位,只需一條 assign 指令就可以被重新指派。
一旦攻擊者騙使用戶簽署包含該指令的交易,就可以實際上將錢包控制權轉移到惡意程式。
這個威脅既不是理論上的,也不是邊緣案例。Recorded Future 的 Insikt Group 在 2026 年初發佈了一份關於 Rublevka Team 的詳細報告。Rublevka Team 是一個俄語網絡犯罪團隊,自 2025 年春季起將重心轉移到基於 Solana 的錢包掏空工具。
該團隊透過 Telegram 經營「掏空即服務」(drainer-as-a-service)模式,向加盟者提供超過 50 個釣魚登陸頁面,假扮包括 Jito、Axiom 和 Marinade 在內的合法服務。到報告發佈時,Rublevka Team 的累計收入已超過 1,000 萬美元。
他們的登陸頁面特別仿冒空投領取介面、代幣鑄造頁面以及質押服務——剛好對應「drop your address」文化鼓勵用戶隨意執行的那類操作。
更早之前,在 2024 年 1 月,Scam Sniffer 與 Dune 聯合分析指出,兩個惡意程式 Rainbow Drainer 和 Node Drainer 在短短數週內,從 3,967 個 Solana 錢包中竊取合共 417 萬美元。
Rainbow Drainer 鎖定特定 Solana 代幣持有人,透過空投含釣魚連結的 NFT 進行攻擊。
Node Drainer 則透過 Discord 群組及被入侵的 Twitter 帳戶採用類似手法——其中包括 Google 子公司 Mandiant 的帳戶。
更廣泛的釣魚版圖
Scam Sniffer 在 2025 年的年度報告中記錄到,在所有 EVM 相容鏈上的錢包掏空式釣魚攻擊,總損失達 8,385 萬美元,影響 106,106 名受害者——較 2024 年近 4.94 億美元的損失下降 83%。這一下降幅度很可觀,但需要放在脈絡中理解。
Scam Sniffer 的追蹤只涵蓋 EVM 鏈,不包括 Solana 原生掏空工具的活動。而該報告本身的結論也相當直白:「掏空生態系仍然活躍——舊的掏空工具退場,新的一批很快就會補上空缺。」
損失數字與市場活動高度同步。2025 年第三季,正值 Bitcoin(BTC)和以太坊最強勁的一波升勢,同時亦錄得最高的釣魚損失,達 3,100 萬美元。這一模式非常直觀:鏈上活動愈多,就有愈多用戶與陌生合約互動,受害人數的絕對值自然就愈高。
「drop your address」這種玩法會進一步放大這個動態,因為它把與未知代幣及不熟悉介面互動的行為常態化。
基於 Permit 的授權——即用戶簽署一則訊息,授權某合約代為支配其代幣——仍然是主導攻擊向量,佔所有超過 100 萬美元損失的 38%。
2025 年單一最大宗被盜事件發生在 9 月,一個惡意 Permit 簽名導致 650 萬美元損失。
延伸閱讀:Bitmine Launches MAVAN To Stake $6.8B In Ethereum
壕溝守則:專業農夫如何控管風險
在迷因幣「農耕」社群內,逐漸形成了一套非正式的風險管理做法。這些做法並非人人遵守,但在有經驗的玩家之間,它們被視為基本的操作安全底線。
第一條、也是最重要的一條,是使用「燒錢包」(burner wallet)。燒錢包是專門為空投互動而建立的 Solana 錢包,只放少量 SOL——僅足夠支付交易手續費——不存放任何高價值資產。
如果錢包因惡意交易而被攻陷,攻擊者也拿不到任何值錢的東西。
在 Phantom 或 Solflare 建立新錢包只需幾秒,而且不花錢。把任何真正的收益從燒錢包轉到安全保管錢包所帶來的不便,完全比不上把主錢包曝露給未知合約的風險。
第二條做法,是嚴格禁止點擊 X(原 Twitter)回覆串、Discord 頻道或 Telegram 群組裡貼出的連結。像 Jupiter、Jito、Phantom 這些成熟協議發放的合法空投,會透過官方渠道公告,並通常只會在已驗證的網站上讓用戶領取。
它們不會要求用戶點擊某個匿名帳號在回覆串裡貼出的連結。任何在社交媒體留言裡承諾免費代幣的連結,都應預設視為釣魚攻擊,直到你獨立驗證為止。
第三條做法,是定期撤銷代幣授權。在 Solana 上,與去中心化應用互動往往需要授予該應用訪問錢包內代幣的權限。
這些權限會一直存在,直到你主動撤銷。
像 Solana Token Revoke 這類工具可以讓用戶檢查並撤銷尚未收回的授權。有經驗的「農夫」會定期檢視自己的授權清單,尤其是在剛跟不熟悉的平台互動之後。
第四條做法,是把「不請自來」的代幣當成帶輻射一樣對待。如果一個代幣突然出現在你的錢包裡,而你又無法找到清楚、可驗證的來源,最安全的做法就是甚麼都不要做。不要嘗試兌換。不要造訪與它相關的任何網站。不要以任何方式與它互動。有些掏空行動就是專門利用好奇心:他們存入一枚名字誘人或看似有價值的代幣,然後等收件人透過釣魚介面嘗試兌換。代幣本身就是誘餌,而「不作為」就是防禦。
延伸閱讀:Congress Says Tokenized Securities Need Full Regulation
監管真空
「drop your address」這種經濟活動,運作在一個監管機構幾乎尚未觸及的灰色地帶。
美國 證券交易委員會(SEC)尚未就不請自來的代幣空投發佈具體指引,但其判斷代幣是否構成證券的整體框架——即 Howey 測試——在理論上可以適用於那些以「收件人會為了獲利而交易」為預期而發放的代幣。
在 2025 年 1 月,一宗金額達 55 億美元的集體訴訟被提起,指控 Pump.fun 這個平台實際上以「無牌賭場」方式營運,並促成未註冊證券的銷售。
經修訂的訴狀加入了 RICO(反勒索及貪污組織)指控,並將 Solana Labs、Solana Foundation、Jito Labs 和 Jito Foundation 列為被告,聲稱這些實體透過驗證者手續費和區塊空間銷售來「從每一筆賭注中抽成」。
案件仍在審理中,結果未明,但它反映出,支撐大規模迷因幣創建與分發的底層基礎設施,正面臨愈來愈嚴格的法律審視。
在英國,金融行為監管局(FCA)已經對 Pump.fun 採取執法行動,但由於該平台以去中心化架構運作,相關措施的範圍和效果仍然有限。
這種玩法的下一步
「drop your address」經濟是三種條件匯聚的產物:Solana 上近乎為零的交易成本;傾向獎勵互動量而非互動品質的演算法社交平台;以及經過十多年加密貨幣循環教育後、已把「極端不對稱風險/報酬」視為特色而非缺陷的散戶市場。
這三種條件在短期內都不太可能改變。Solana 的手續費結構是核心設計而非缺陷;X 的演算法依然優先獎勵能創造大量回覆與轉發的貼文。
而「彩票型」機會的心理吸引力,只要偶爾還有人中獎,就會持續存在。
可能會改變的,是利用這種玩法的攻擊手法精細程度。Rublevka Team 的掏空即服務模式,如 Recorded Future 所記錄,其運作效率與勒索軟體即服務(ransomware-as-a-service)無異。
基礎設施是模組化的,登陸頁面是範本化的,而加盟分潤模式則鼓勵快速迭代。
只要「drop your address」持續讓與未知代幣及陌生領取介面的隨意互動變得正常化,釣魚攻擊的表面積就會維持在一個龐大且不斷擴張的水準。
對參與者而言,衡量標準最終是個人選擇。空投玩法不會消失,而對於數以百萬計的人自願參與的行為,說教沒有意義。
更相關的問題不是「要不要玩」,而是「如何玩才不會變成別人的產品——或別人的出貨對象」。
一個燒錢包、對不請自來代幣保持健康的懷疑態度,以及拒絕點擊回覆串裡的連結,並不會讓任何人致富。但它們會大幅提高另一種情況發生的難度——有人靠掏空你而致富。支出。