Web3黑暗森林自救指南，5000字说透钱包和安全

原文标题：Web3黑暗森林自救指南，5000字说透钱包和安全前面是从人性的角度讲述可能的攻击手段，现在我们从大家最关心的钱包安全开始，说一些大家最关心的问题。因为你对新的公链肯定不如对ETH了解那么深，公链和钱包在设计逻辑上也会存在bug，所以交互的时候应该更加小心，不要随意使用陌生的网站进行陌生的交互……

原文标题：Web3黑暗森林自救指南，5000字说透钱包和安全

今天TP钱包上面 transit 闪兑服务闹得沸沸扬扬，黑客已盗上亿资金，我们在web3傲游的同时如何保障资金和隐私安全？看完本篇你应该不会再被盗了吧！一、你所有的操作都有泄露隐私的风险

网络世界的安全问题实际上一直萦绕从所有人的头上。

关于安全的知识庞杂而又繁琐，我们首先要掌握一个原则，计算机世界里，几乎没有安全的地方，甚至你的每一步操作都有泄露隐私的风险。

之前也有很多人做过这方面的科普，但要么过于简单、要么过于复杂。这篇文章里，我准备用最简单、易懂的语言，让尽可能多的人读懂。

具体来说，我们需要关注的安全问题应该包括一下几个方面：情绪控制、web3钱包的使用、设备的使用、个人隐私保护。

二、情绪是你最大的敌人

这里我继续说一下自己stepn鞋子差点被盗的经历，希望对大家会有一些警示作用。前不久我弄了一双stepn鞋子想给家人使用，由于鞋子始终不能正常运行，无法获得gst。我每天通过邮件和Discord与官方客服交流，但始终没解决问题。这时我因为一直无法赚到gst变得有些焦虑，在无意中发现有Stepn的“客服”通过私信与我交流。客服表示这个问题是由于服务器维护导致的（刚好那段时间确实不稳定），只要提供账号邮箱和验证码确认身份就能解决问题。

重点来了，由于国内很多服务都是需要提供验证码以验证本人身份，加上邮件上只写了”complete verication”而没有提示验证码具体的作用，特别是自己也已经很焦虑。收到验证码后，我没想太多复制了验证码。所幸在我按下“回车”的那一刻突然清醒过来，”We will never DM you”这句discord名言突然在脑中回响，我立即停止了所有的操作。然后来到stepn的服务器验证，发现所谓的”客服“果然是骗子。

可谓是骗子聚集地，项目方一般都会有明显的提示

回过神来，才发现一双价值几千刀的鞋子就这么差点被“客服“骗走，真是凶险万分。后来我看了许多安全方面的资料。发现焦虑和傲慢这两种情绪是我们在区块链世界最大的敌人。

1、焦虑

大部分人都像我一样，来到区块链世界是为了赚钱的。但只要涉及到金钱，难免会产生fomo、焦虑的情绪，例如前几天GAL首发的时候有人以200刀的价格入场，又如有的NFT玩家在开盘前被骗到了假的网站mint……

总之，焦虑是所有投资人的大忌，一旦与钱打交道的时候，一定要想办法保持冷静。

2、傲慢

与焦虑相反的一面是傲慢。许多人认为自己是行业大佬，上知区块链技术下知汇编语言，熟知各类骗术，怎么可能会被骗？但恰恰是这样的傲慢信息安全软件，才会属于防范，前不久就发生过Defiance Capital创始人Arthur Cheong钱包被盗的事件。据报道，Arthur Cheong只是中了一个最常见的攻击方式：打开了邮件里带有病毒的文件。

所谓“骄兵必败”，不少人的事业在处于上升阶段的时会以为自己总是对的那一个，忽略了很多其他方面的问题，等到灾难降临的时候已经一切归零。

三、如何安全使用web3钱包

前面是从人性的角度讲述可能的攻击手段，现在我们从大家最关心的钱包安全开始，说一些大家最关心的问题。

1、冷钱包、热钱包、交易所

我们的代币有三个地方可以存放。其中以冷钱包最为安全，如Ledger。对于大多数人来说，只要做好密码保护和双重验证，交易所实际上会比热钱包更安全；我们的热钱包因为时刻在链上，一旦发生错误的授权，资产就很容易被转移。

2、USDT的潜在风险

很多人以为USDT很安全，其实USDT是由Tether公司管理的，一旦被认为是黑钱，Tether可以轻松冻结这一笔钱。所以遇到不明来源的USDT最好还是小心点。同理，需要注意的是USDC，也是会被冻结的。

3、钱包的各类交互操作。

先说一个大家最容易犯错的地方，就是签名（sign）。一般认为签名不涉及授权，不会有操作风险，但是遇到非明文写下的签名，还是有安全隐患的，好在现在metamask都会用红字提示。

除签名外，最常用的一个功能是授权（approve）。这决定了你授权了对方某个币种可以自由使用的额度，一般来说像常用的Uniswap这类的DEX比较安全，但是一旦遇到新的项目要求你无限转账额度的授权，就一定要小心了。黑客们最喜欢用的一招就是让你在焦虑（新项目mint时）、兴奋（突然收到貌似大额的空投）、沮丧（反复被骗）等情绪下，将你骗到一个假冒网站，让你无意中将授权交给他。

这里提供一些查询和授权的网站，仔细检查一些是否有不明来源的授权，这对你很重要

扩展钱包Rabby

近期还有一种伪装成NFT的erc1155协议。黑客会将做一个与你钱包里同名的NFT，然后空投给你，一旦你在指定的网站上授权挂单，黑客就可以转移对应的NFT，十分危险。所以不要随便使用不明来源的空投。

Mint主要用于铸造NFT，一般来说不会有什么风险。不过要确定自己mint的网站不是黑客伪造的，这类事件时有发生。伪装的网站经常会把mint改为一个授权协议，如果在fomo的情绪中mint，很有可能没注意协议导致误授权。有的骗子很直白，会直接要求你send eth给他……

4、其他钱包

很多人对ETH钱包的相关操作了如指掌，以为可以轻松驾驭其他的钱包（犯了前文提到的自傲的错）。实际上，其他链的钱包更不安全。因为你对新的公链肯定不如对ETH了解那么深，公链和钱包在设计逻辑上也会存在bug，所以交互的时候应该更加小心，不要随意使用陌生的网站进行陌生的交互。

慢雾创始人余弦就提到过一个SOL案例。攻击者批量给用户空投 NFT （上图1），用户通过空投 NFT 描述内容里的链接 进入目标网站，连接钱包 (上图2)，点击页面上的 “Mint”，出现批准提示框 (上图 3)。注意，此时的批准提示框并没有什么特别提示，当批准后，该钱包里的所有 SOL 都会被转走。这里面有两个坑需要注意：a)恶意合约在用户批准 (Approve) 后，可以转走用户的原生资产 ( SOL)，这点在以太坊上是不可能的。以太坊的授权钓鱼钓不走以太坊的原生资产 (ETH)，但可以钓走其上的 Token。于是这里就存在“常识违背”现象，导致用户容易掉以轻心。

b)Solana 最知名的钱包 Phantom 在 “所见即所签” 安全机制上存在缺陷(其他钱包没测试)，没有给用户完备的风险提醒。这非常容易造成安全盲区，导致用户丢币。

5、NFT

NFT很热，相关的骗局也很多，比如：a)从传统app弹出通知将你引到某NFT项目——好项目是不需要通过web2的方式来引流的。b)社区不断地讨论如何维护地板价——崩盘前奏。c)Discord上频繁踢人、禁言——这是项目方没有自信的表现。

d)没有审计（这一点其他非NFT项目也是一样的）——虽然审计了也不一定安全，例如说被CertiK审计但却登上REKT list的那些项目；但不审计肯定危险，尤其是加disclaimer的那种，例如SpaceLoot

e)频繁出现漏洞——比如gas过高，mint方式不合理

f）假冒NFT——许多新手会被诱骗买到假冒的NFT，所谓的假冒可能是仿冒了某个已经存在的NFT产品，也可能是谎称由某知名艺术家制作，或者谎称拥有某知名艺术家的授权发布的产品，因此购买NFT前最好多来源确认产品的合规性。

6、网站前端安全

网站不安全，一般是发生在以下几种情况中：a） HTTP肯定是不安全的——必须确保你使用的网站带有HTTPS，HTTP网站的传输是未加密的，你的所有信息都有可能被黑客看到。b） 被他人的信息带入钓鱼网站——不仅要警惕陌生人，有时候熟人也有可能由于早就被误导，导致发送错误的链接给你，还有的时候是群聊中的朋友，一时轻信了某些消息，无意中传播了钓鱼网站。

c）官方网站被黑——这比较难防范，你能做的只有一直保持警觉，留意公告再三确认自己进入的网站是否安全。

7、剪贴板安全

剪贴板的风险主要在于被其他应用读取你的个人信息，然后组成一套完整的个人档案，获得密码或者钱包密钥/助记词。我对剪贴板做了一些查证，获取了一下信息：a）几乎所有的手机app（包括苹果）都会读取你的剪贴板，所以真的不能在手机上复制密钥。b）谷歌近年来对chrome的插件做了很多限制，除非被破解或者用户主动安装来源不明的插件，否则插件是无法读取剪贴板的，这个基本可以放心。

c）电脑上的各种软件也有读取剪贴板的可能，所以复制信息的时候要小心。

8、关于使用钱包的一些安全建议

a）不要复制，也不要使用网络传输私钥、助记词。万不得已时，苹果用户可使用隔空投送，其他用户可使用telegram（相对安全）b）大额资产使用独立的钱包c）新项目开始前，如果感到危险，可新建立一个钱包去参与d）对不明来源的空投保持警惕，骗子常常在nft上刻下钓鱼网站的网址，将你诱骗到危险的地方

e）对每一次钱包的操作都保持警惕

四、设备安全

行走web3.0，保持设备与保证钱包安全同样重要。

1、手机和电脑的操作系统应该保持更新并开启自动更新，特别是不要使用停止维护的系统，比如win 7。

善用windows安全中心可以保持良好的使用习惯2、不要使用root过的安卓手机，小品牌的安卓手机风险也很高，必须使用官方市场的app，最好是用google play，苹果手机（非越狱）相对来说更安全。3、电脑上不要安装不明来源的软件，特别是国产软件，几乎没有下限。4、虚拟机是个好东西，对于不明来源的文件可以尝试使用虚拟机打开。现在win10就自带虚拟机，具体使用可参照微软官方文档但一定要注意，有的黑客（或木马）很厉害，能够意识到自己正在“matrix”当中，会主动寻求跳出虚拟机的方法。5、浏览器和钱包必须保持更新。6、Wifi是最容易被监听的渠道。永远不要使用外面的wifi，自己家的路由器也要经常检查，防止被监听。如果不懂如何检查，最好保存好相关的信息后每隔一段时间重置一次。7、你的SIM卡也不一定安全，黑客可以伪造一个相同的sim卡获得你的信息（比如验证码）。所以最好不要在网络上炫富，更不要暴露真实身份，这会带来很多麻烦。8、如果迫不得已要通过网络传输密钥，身边的设备可以使用隔空投送功能，网络传输建议Telegram，可以最大限度地避免被窃取。

9、出于不可名状的原因，本人不建议任何人使用那个被大力推广的反诈XXX。

五、社会工程学攻击

黑客除了会寻找软硬件上存在的漏洞，还会寻找用户有意无意流露出来的信息，制造社会工程学攻击。

1、密码

不知大家是否知道，我们大多数的web2网站都被入侵过，甚至有的网站对密码根本就没有加密，网管可以随意读取，所以绝对不要把你使用过的密码用在跟资产有关的地方。建议设置好几套密码，分别在不同的网络和环境下使用，尤其是涉及到大额资金的密码，必须使用包括大写、小写字母、数字、符号的10位以上的密码，且不能含有生日这种容易被猜到的信息。对于一些不熟悉的软件和网站，也可以单独使用一套密码，避免跟其他已知安全的软件和网站混肴。

这里有个小建议，如果担心记不住密码，你可以使用一串数字为你的生日“加密”。例如，如果你的生日是19901202，你可以错位加上一串家人（如19500821）的生日，像是19901202+05008210，然后再附上一些字母和符号，黑客没法猜到经过你自己“加密”的密码。

2、邮件钓鱼

邮件或是其他聊天程序传来的不明文件诈骗虽然很土信息安全软件，但依旧奏效，如果遇到必须打开的情况，可以按上文的方式，在虚拟机中打开。

3、不要轻信任何客服

这在上文已经提过多次，不重复了。

4.个人信息

Web3.0的个人信息除了包括生日、电话、家庭住址等，还应包括你的钱包地址，主资产钱包应该跟社交钱包绝对隔离（即不能有互相转账的纪录等），特别对于撸毛党，如果你不想被举报，一定不能泄露你的地址。你看，我的地址YouAirdrop.ETH里面什么都没有：）

除了线上的隐私外，最好不要在生活中透露自己是个搞传销区块链的，除了能避免很多误会外，还能尽量避免被熟悉你的人通过你的个人信息进行撞库攻击。

关于社会工程学的知识可以再出一个专题，我们之恶要知道不要随意泄露个人隐私就好了，如果想了解更多的信息，可以去知乎的这个问答下看看：

# 结语

这篇文章中我们总结了冲浪Web3.0时的应对各种黑客攻击的方式，但道高一尺魔高一丈，黑客们已经开始熟练地将各种攻击组合在一起，完成更隐蔽、伤害更大的进攻。只有不断提高警觉，才能免于受到黑客的侵害。大致来说，我们可以把握以下几个原则：1、保持健康的情绪2、钱包交互的时候一定要看清楚内容3、密钥、助记词不能复制，应离线保存4、确保各项设备安全，并一直保持更新5、不要相信主动找你的“客服”，也不要随意打开不明来源的文件，灵活使用虚拟机6、线上和线下都不要泄露个人隐私和资产

网络安全是一个很庞杂的问题，本文难免有遗漏的地方，还请谅解。

欢迎大家关注我的个人推特@YourAirdropETH

你可能想看：

汛期自救指南你Get了吗？

连日来，河南灾情牵动人心。触目惊心的画面让人心痛，自救、互救的故事令人感动。与此同时，这场暴雨也引发了人们的思考——面对汛期异常天气、自然灾害，我们掌握的安全常识和技能，够用吗?A.调查问卷安全常识知...

webshell是什么意思，如何避免网站被留下webshell后门？

webshell实际是以asp、php、jsp，ini、cgi等网页文件形式存在的一种代码执行环境，也可以将其称做为一种网页后门。通常有很多黑客都通过使用webshell来让其在入侵一个网站后留下这个...

百度钱包和支付宝微信的区别在哪，百度钱包怎样？

百度没有支付的场景，腾讯有QQ游戏Q币及增值服务。而且阿里和腾讯都在不断的收购，所以缺失了用户场景的百度钱包，百度钱包入场太晚。支付宝和财付通就是支付界的双雄。而腾讯则直接放弃财付通，百度在移动互联网...

三体人明知道有黑暗森林法则，为什么也在寻找外星文明？

三体文明提问者这样说没有根据，虽然从表面上看三体人寻找外星文明是为了找到新的生存空间，但并没有证据表明三体人在第一舰队进入宇宙之前，就对黑暗森林有清晰和明确的认识。第一个问题：在第一舰队进入宇宙之前，...

三体中魔戒文明说黑暗森林只存在相同维度之间，为什么？

黑暗森林只存在不同维度之间～这个提法错误的，三体也没说黑暗森林在不同维度存在，是你的理解错误了！1、四维文明被降维打击，打击者本人也是首先属于四维文明，在四维空间进行打击前先于改造成三维生命（弄干海的...

《三体》歌者文明，为什么在知道黑暗森林法则的前提下还敢攻击？

这个问题的答案比很多人想象的要复杂得多，残酷的多，也悲哀的多。简单的说歌者对人类发起清理并不是因为黑暗森林，而是基于一个超级文明的基本道德。因为宇宙的熵在升高，而低熵体要活下去必须清理虫子。第一个问题...

如果《三体》的黑暗森林法则如实存在，那旅行者飞行器上为什么还要携带黄金唱片？

感谢“欧洲人的非洲泪”的邀请！要回答这个问题其实非常简单，因为黑暗森林理论是刘慈欣先生在2006年写作《三体》时创作的理论，而旅行者1号2号两艘宇宙飞船发射于1977年，在那个年代还没有黑暗森林理论，...

零钱包和余额宝哪个好？

1，余额宝是支付宝中的一个功能，销售的是天弘基金。2，零钱包提供活期、定期、定投多重方式的理财产品，实现用户的最佳资金周转率。用户固定期限内不用的现金，可投资定期理财产品，获取相对更高的收益。3，零钱...

京东网银钱包和余额宝哪个好？

据了解京东即将推出“网银钱包”余额宝类理财产品，对于这款即将上线的京东网银钱包。很多网友不了解网银钱包和余额宝的区别，哪个收益高?下面就跟统一小编一起来看看余额宝和网银钱包收益区别对比评测吧。京东网银...

易方达E钱包和余额宝哪个好？

产品名称E钱包余额宝对接基金易方达天天理财货币A天弘增利宝货币7日历史预期年化收益率4。通过对比发现，作为货币基金T+0的“制造商”出品，E钱包除了预期年化收益率较余额宝略高之外，优势在于：存入即刻到...

坠机全部遇难 东航残骸发现钱包和银行卡身份证等，但找不到尸骨是什么原因？

东航残骸发现钱包和银行卡身份证等，但找不到尸骨是什么原因？就目前看到的信息 ，信息还是很少的，似乎飞机碎片残骸更多是机身碎片，似乎没太看到机舱内的物品碎片。但却有那么多随身证件 钱包这些易燃物品居然能...

安全期是怎么计算的安全期是怎么计算的安全期是怎么计算的安全期是怎么计算的安全期是怎么计算？

女性的排卵日期一般在下次月经来潮前的14天左右。下次月经来潮的第1天算起，倒数 14天或减去14天就是排卵日，排卵日及其前5天和后4天加在一起称为排卵期。例如，某女的 月经周期为28天，本次月经来潮的...

Web安全漏洞如何修复？

作为信息安全领域的从业人员很高兴回答你的问题。关于Web安全如何修复我认为漏洞修复分四步发现漏洞、确定漏洞的危害、确定有那些修复方案及成本、综合比较选择修复方案进行修复。可以通过专业的漏洞扫描工具或者...

常见的web安全漏洞有哪些？

跨站脚本攻击是指通过存在安全漏洞的Web网站注册用户的浏览器内运行非法的HTML标签或JavaScript进行的一种攻击:利用虚假输入表单骗取用户个人信息，XSS 的原理是恶意攻击者往 Web 页面里...

安全感到底是什么？结婚和安全感是什么样的关系？

安全感是一种心里感觉，是人对于自己所处环境的满意度！对于身边人的信任感。自己通过努力，有个稳定的工作，平静的生活，稳定的家庭。这些都是安全感的条件！结婚与安全感的关系，应该是最大的冒险。如果女人的安全...

2022年电竞游戏鼠标推荐，超详细，巨全面的游戏鼠标选购指南，游戏鼠标怎么选

鼠标的专业参数怎么看，位于哪些参数区间的鼠标可以买？游戏鼠标选购指南只要5步，快速科学的选好游戏鼠标，操作无脑，简单想要选对一款鼠标首先需要了解便是鼠标有哪些参数？所以很多玩家调整鼠标参数第一件事就是...

一个母亲给女儿的人生指南，以及那些来不及说的爱与牵挂

2、活下去最好的理由，恰好就是死亡。这也就意味着，只要你记得我，我就一直在你心里，因为我还在，所以我建议你，把日子过得忙碌一点儿，热爱生活，寻找幸福，不断前进。5、每个人都希望被看见一他们很重要，你看...

COMEBABY是什么意?COMEBABY？

come baby翻译为：来吧宝贝。短语Come On Baby 宝宝总动员 ; 宝贝儿来吧 ; 来吧 ; 来吧宝贝here come my baby 这里来我的宝宝 ; 这里是我的宝贝 ; 这里是我...

喜茶发布十周年报告，会员人数超6300万；东方甄选新年首个专场收官：25款农产品销售超1万单；BeBeBus首店开业｜消研所日报

1月3日，喜茶发布名为《喜茶这十年》的十周年报告，报告中显示，喜茶已经进入了全球83个城市。截至2022年底，喜茶GO会员人数突破了6300万，2022年新增会员人数达1300万，2022年6月以来喜...

开源安全如何落地？OpenSSF发布多份生命周期安全指南

《安全研究人员与开源软件项目协同漏洞披露(CVD)指南》该指南旨在成为一份介绍在使用NPM的包管理器时安全供应链最佳实践的全面文档，是对官方NPM文档的补充。

（来源：问答百科）

免责声明：本文内容来源于第三方或整理自互联网，本站仅提供展示，不拥有所有权，不代表本站观点立场，也不构成任何其他建议，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性不作任何保证或承诺，请读者仅作参考，并请自行核实相关内容,不承担相关法律责任。如发现本站文章、图片等内容有涉及版权/违法违规或其他不适合的内容， 请及时联系我们进行处理。