摘要:这些只是我的几个社群玩家里几个钱包的遭遇,其他社群,其他玩家,甚至其他项目,时不时就被黑客攻击,动辄损失上亿美元。目前比较少在群里和社交媒体上看到使用这2个钱包被盗的情况,metamask开发团队是国外,bitpie应该是国内团队开发的。...
#web3钱包 #Web3Wallet
牛市到熊市,除了接受现货价值缩水三分之二,甚至跌掉90%的市场现状外,更难受的是钱包被盗。
2023下半年,随着熊市越深入,黑客越活跃,越来越多钱包被盗,不少人一夜归零。
据我的社群不完全统计,9月6日,一群友被盗21wu;10月23日,一群友被盗23wu;10月25日,一群友被盗2ku;
11月7日,一群又被盗16ku;11月14日,一群友被盗11wu;其他我没看到,没有公开损失的,就数不胜数了。
粗略计算这5个朋友损失就超过56万美元。
这些只是我的几个社群玩家里几个钱包的遭遇,其他社群,其他玩家,甚至其他项目,时不时就被黑客攻击,动辄损失上亿美元。
上周孙割旗下的Poloniex项目被黑1.26亿美元,孙割想提供了5%的白帽赏金,让黑客主动归还,没有得到黑客回复。
区块链的去中心化技术特点,让玩家不受中心化的约束和规则,同时也带来双刃剑的另一面;
只要拿到钱包助记词,或找到漏洞,就可以轻松拿走钱包资产,没有客服中心,没办法拦截或追回。
普通玩家拿现货,盯合约,做交互,赚波段,一点点累计的余额,一朝钱包被盗直接归零。
几个玩家都是链上钱包被盗,钱包下载后也使用了一段时间,但就在某天余额被莫名转走了,钱包归零。
这些钱包没有做交互,没有额外授权,钱包也是在官网下载的,但不知道哪个环节助记词泄露了。
搜索黑客的钱包地址,还持续有从其他钱包的大额转入,但毫无办法,不知道钱包背后主人是谁,不知道黑客钱包私钥和助记词,也没办法做任何操作。
链上资产被盗,BJ也不一定被受理,得到的回复是虚拟资产,自负盈亏,不予协助。钱包被盗只好默默承受巨大痛苦和损失,毫无挽回余地。
数字钱包使用有门槛,只能尽可能防患于未然,做好充分准备,尽量在每个环节做好防护。
①从官网钱包下载
市场上有几百种钱包,一些项目也有专门的操作钱包,根据钱包使用需求,选择本地保存密钥,代码开源的钱包。
初晓链做交互和项目互动时,主要是metamask,或使用项目方推荐的钱包插件交互;存放加密资产使用bitpie。
目前比较少在群里和社交媒体上看到使用这2个钱包被盗的情况,metamask开发团队是国外,bitpie应该是国内团队开发的。
其他Coinbase、Trust等钱包有交易所背景,也比较少听到负面消息,使用的人也比较多。
一般通过官网下载,官网不要通过搜索获取;不要点击别人主动分享给你的官网或下载链接。
②物理记录助记词
助记词一定不要通过复制黏贴在记事本,或截图保存在相册/电脑/收藏夹,每一次复制或截图保存都增加了助记词泄露风险。
手机里所有应用app都可能会扫描用户的粘贴板,只要一次复制就有可能被保存和上传对应数据库,助记词已经泄露。
手动抄写助记词,并妥善保存,用本子记录下来,多个本子分开存放和备份。不要随便抄在一张纸,因为下次很有可能找不到这张纸了。
嫌麻烦也方便了黑客,被盗时不知道是哪一次不小心导致的。妥善保存好钱包助记词,如果丢失或损坏,任何人都打不开钱包,里面的资产就永久锁定了,自己也悔不当初了。
③避免助记词泄露
前面提到的朋友,自认为是在官网下载的钱包,钱包也没有登录任何其他项目,手机环境也很干净,依然被盗,也有怀疑是钱包开发团队本身问题。
是不是在创建钱包时,助记词已经被记录在后台,被监控了?有大额进账时,资产就被盗了?当然这没有证据。
还有个朋友有合伙人,有女朋友,是不是钱包助记词被认为泄露,导致资产被转走了?也有可能,但也没办法证明。
或者是钱包助记词记录在手机里,或者截图保存在相册,被扫描了,都有可能。
有些恶意app故意监控用户钱包,扫描助记词,上传到数据库,并实时监控,钱包一旦有大额,就被转走了。助记词泄露,钱包不受控,资产被盗。
④谨慎操作合约授权
还有一些钱包登录了某些项目,进行合约交互。有些智能合约本身有风险漏洞,就是为了盗取钱包的,一旦钱包授权登录后,钱包主动权就授权给别人,别人也可以操作了。
如果是保存较多余额的钱包,不要做任何授权,只使用转入或转出功能,避免任何授权风险。
如果是专门撸空投做交互的钱包,授权某些项目时也要注意,确认是官方链接再进一步操作,如果授权一些钓鱼站点,钱包也会被盗。
不要相信社区提供的下载链接,或者项目链接,有可能登录授权后,账户就被盗了;或者助记词泄露,钱包不再安全了。
可以在revoke.cash查看授权的情况,取消可能存在的风险链接。
⑤硬件钱包
大额资产还可以使用硬件钱包,相对更安全。
硬件钱包离线产生助记词,助记词也要妥善保存,硬件钱包使用不需要联网,可链接蓝牙,操作后就不联网不做任何授权,相对更稳妥一些。
目前市面上常见硬件钱包如Ledger,OneKey,trezor等,也需要通过官网购买,类似U盘,不联网不交互,相对更安全。
⑥不要相信任何TG官方交流群
所有tg链接都可能存在风险,所有私信你的,也基本上都是骗子。
如果被拉到一些tg官方交流群,还积极回复问题,如果你被盗了,还积极处理的,大概都是骗子。
当然,如果以上这些你都做不到,那也可以选择放在头部交易所,在交易所每一次操作都需要邮箱,手机验证码,谷歌验证器等多重验证,相对安全。
唯一要堤防的风险就是交易所会不会倒闭或跑路,因为一旦网站登不上去,资产也不受自己控制,提不走了。
中心化的平台,可以直接冻结用户账号和资产,而且你也无能为力。
任何方式都有一定的风险,正视风险,尽可能在每个环节降低风险操作,每次偷懒都可能要交高昂学费,动辄几千上万美元。
每次风险操作也不会有提示,一旦发生就无法挽回,造成永久损失。
加密市场充满机会,每个机会都隐藏对应风险;每一次认真对待,有可能减少一次巨大损失。
以上只是个人看法,无投资建议。我是初晓链,我在关注加密市场和web3。