最近 TP 钱包上面 transit 闪兑服务闹得沸沸扬扬，骇客盗走上亿资金，我们在 web3 傲游的同时，该如何保障资金和隐私安全？看完本篇你应该不会再被盗了吧！ 一、你所有的操作都有洩露隐私的风险 网络世界的安全问题实际上一直萦绕从所有人的头上。 关于安全的知识庞杂而又繁琐，我们首先要掌握一个原则，网路世界里，几乎没有安全的地方，甚至你的每一步操作都有洩露隐私的风险。 之前也有很多人做过这方面的科普，但要么过于简单、要么过于复杂。这篇文章里，我準备用最简单、易懂的语言，让尽可能多的人读懂。 具体来说，我们需要关注的安全问题应该包括一下几个方面：情绪控制、web3 钱包的使用、设备的使用、个人隐私保护。 二、情绪是你最大的敌人 这里我继续说一下自己 stepn 鞋子差点被盗的经历，希望对大家会有一些警示作用。 前不久我弄了一双 stepn 鞋子想给家人使用，由于鞋子始终不能正常运行，无法获得 GST。我每天通过邮件、Discord 与官方客服交流，但始终没解决问题。这时，我因为一直无法赚到 GST 变得有些焦虑，在无意中发现有 Stepn 的「客服」通过私讯与我交流。客服表示，这个问题是由于伺服器维护导致的（刚好那段时间确实不稳定），只要提供帐号电邮信箱和验证码确认身份就能解决问题。  重点来了，由于中国很多服务都是需要提供验证码以验证本人身份，加上邮件上只写了「Complete Verification」而没有提示验证码具体的作用，特别是自己也已经很焦虑。收到验证码后，我没想太多複制了验证码。所幸在我按下「确认键」的那一刻突然清醒过来，「 We will never DM you」这句 discord 名言突然在脑中迴响，我立即停止了所有的操作。然后来到 stepn 的伺服器验证，发现所谓的「客服」果然是骗子。 回过神来，才发现一双价值几千刀的鞋子就这么差点被「客服」骗走，真是凶险万分。后来，我看了许多资安方面的资料。发现焦虑和傲慢这两种情绪是我们在区块链世界最大的敌人。 1、焦虑 大部分人都像我一样，来到区块链世界是为了赚钱的。但只要涉及到金钱，难免会产生 FOMO、焦虑的情绪，例如前几天 GAL 首发的时候有人以 200 刀的价格入场，又如有的 NFT 玩家在开盘前被「诱拐」到假的网站 mint . 总之，焦虑是所有投资人的大忌，一旦与钱打交道的时候，一定要想办法保持冷静。 2、傲慢 与焦虑相反的一面是傲慢。许多人都认为，自己是产业大佬，上知区块链技术下知彙编语言，熟知各类骗术，怎么可能会被骗？但恰恰是这样的傲慢，才会疏于防範，前不久就发生过 Defiance Capital 创始人 Arthur Cheong 钱包被盗的事件。据报导，Arthur Cheong 只是中了一个最常见的攻击方式：打开了邮件里带有病毒的文件。 所谓「骄兵必败」，不少人的事业在处于上升阶段的时候，会以为自己总是对的，忽略了很多其他方面的问题，等到灾难降临的时候已经一切归零。 三、如何安全使用 web3 钱包 以上是从人性的角度讲述可能的攻击手段，现在我们从大家最关心的钱包安全开始，说一些大家最关心的问题。 1、冷钱包、热钱包、交易所 我们的代币有三个地方可以存放。其中以冷钱包最为安全，如 Ledger。对于大多数人来说，只要做好密码保护和双重验证，交易所实际上会比热钱包更安全；我们的热钱包因为时刻在链上，一旦发生错误的授权，资产就很容易被转移。 2、USDT 的潜在风险 很多人以为 USDT 很安全，其实 USDT 是由 Tether 公司管理的，一旦被认为是黑钱，Tether 可以轻鬆冻结这笔资金。所以，遇到来历不明的 USDT 最好还是小心点。同理，需要注意的是 USDC，也是会被冻结的。 3、钱包的各类交互操作 先说一个大家最容易犯错的地方，就是签名（Sign）。一般认为，签名不涉及授权，不会有操作风险，但是遇到非明文写下的签名，还是有安全隐患的，所幸现在 metamask 都会用红字提示。 除签名外，最常用的一个功能是授权（approve）。这决定了你授权了对方某个币种可以自由使用的额度，一般来说像常用的 Uniswap 这类 DEX 比较安全，但是一旦遇到新的项目要求你无限转帐额度的授权，就一定要小心了。骇客们最喜欢用的一招就是让你在焦虑（新项目 mint 时）、兴奋（突然收到貌似大额的空投）、沮丧（反覆被骗）等情绪下，将你骗到一个假冒网站，让你无意中授权给他。 这里提供一些查询和授权的网站，仔细检查一些是否有不明来源的授权，这对你很重要： bscscan.com/tokenapprovalchecker snowtrace.io/tokenapprovalchecker cronoscan.com/tokenapprovalchecker 近期还有一种伪装成 NFT 的 ERC1155 协议。骇客会将做一个与你钱包里同名的 NFT，然后空投给你，一旦你在指定的网站上授权挂单，骇客就可以转移对应的 NFT，十分危险。所以不要随便使用不明来源的空投。 Mint 主要用于铸造 NFT，一般来说不会有什么风险。不过，要确定自己 Mint 的网站不是骇客伪造的，这类事件时有发生。假冒的网站经常会把 Mint 改为一个授权协议，如果在 FOMO 当下进行铸造，很有可能会因为没注意协议导致误授权。有的骗子很直白，会直接要求你 send eth 给他…… 4、其他钱包 很多人对 ETH 钱包的相关操作了如指掌，以为可以轻鬆驾驭其他的钱包（犯了前文提到的自傲的错）。实际上，其他链的钱包更不安全。因为你对新的公链肯定不如对 ETH 了解那么深，公链和钱包在设计逻辑上也会存在 bug，所以交互的时候应该更加小心，不要随意使用陌生的网站进行陌生的交互。 慢雾创始人余弦就提到过一个 SOL 案例。攻击者批量给用户空投 NFT（上图 1），用户通过空投 NFT 描述内容里的连结进入目标网站，连接钱包 (上图 2)，点击页面上的「Mint」，出现批准提示框 (上图 3)。注意，此时的批准提示框并没有什么特别提示，当批准后，该钱包里的所有 SOL 都会被转走。这里面有两个坑需要注意： 恶意合约在用户批准 (Approve) 后，可以转走用户的原生资产 ( SOL)，这点在以太坊上是不可能的。以太坊的授权钓鱼钓不走以太坊的原生资产 (ETH)，但可以钓走其他代币。于是，这里就存在「常识违背」现象，导致用户容易掉以轻心； Solana 最知名的钱包 Phantom 在「所见即所签」 安全机制上存在缺陷 (其他钱包没测试)，没有给用户完备的风险提醒。这非常容易造成安全盲区，导致用户丢币。 5、NFT NFT 很热，相关的骗局也很多，比如： 从传统 app 弹出通知将你引诱到某 NFT 项目——好项目是不需要通过 web2 的方式来引流的； 社群不断讨论如何维护地板价——崩盘前奏； Discord 上频繁踢人、禁言——这是项目方没有自信的表现； 没有审计（这一点其他非 NFT 项目也是一样的）—— 虽然审计了也不一定安全，例如说被 CertiK 审计但却登上 REKT list 的那些项目；但不审计肯定危险，尤其是加 disclaimer 的那种，例如 SpaceLoot。 频繁出现漏洞——比如 gas 过高，mint 方式不合理； 假冒 NFT——许多新手会被诱骗买到假冒的 NFT，所谓的假冒可能是仿冒了某个已经存在的 NFT 产品，也可能是谎称由某知名艺术家製作，或者谎称拥有某知名艺术家的授权发布的产品，因此购买 NFT 前最好多来源确认产品的合规性。 6、网站前端安全 网站不安全，一般是发生在以下几种情况中： HTTP 肯定是不安全的——必须确保你使用的网站带有 HTTPS，HTTP 网站的传输是未加密的，你的所有资讯都有可能被骇客看到。 被他人或第三方的资讯带入钓鱼网站——不仅要警惕陌生人，有时候熟人也有可能由于早就被误导，导致发送错误的连结给你，还有的时候是群聊中的朋友，一时轻信了某些消息，无意中传播了钓鱼网站。 官方网站被骇——这比较难防範，你能做的只有一直保持警觉，留意公告再三确认自己进入的网站是否安全。 7、剪贴簿安全 剪贴簿的风险主要在于被其他应用读取你的个人资讯，然后组成一套完整的个人档案，获得密码或者钱包密钥/助记词。我对剪贴簿做了一些查证，获取了以下资讯： 几乎所有的手机 app（包括苹果）都会读取你的剪贴簿，所以真的不能在手机上複製密钥； Google 近年来对 Chrome 的插件做了很多限制，除非被破解或者用户主动安装来源不明的插件，否则插件是无法读取剪贴簿的，这个基本可以放心； 电脑上的各种软体也有读取剪贴簿的可能，所以复制资料的时候要小心。 8、关于使用钱包的一些安全建议 不要複製，也不要使用网路传输私钥、助记词。万不得已时，苹果用户可使用隔空投送，其他用户可使用 telegram（相对安全）； 大额资产使用独立的钱包； 新项目开始前，如果感到危险，可新建立一个钱包去参与； 对不明来源的空投保持警惕，骗子常常会在 NFT 上刻下钓鱼网站的网址，将你诱骗到危险的地方； 对每一次钱包的操作都保持警惕。 四、设备安全 行走 web3.0，保持设备与保证钱包安全同样重要： 手机和电脑的操作系统应该保持更新并开启自动更新，特别是不要使用停止维护的系统，比如 win 7。 善用 windows 安全中心可以保持良好的使用习惯； 不要使用 root 过的安卓手机，小品牌的安卓手机风险也很高，必须使用官方市场的 app，最好是用 google play，苹果手机（非越狱）相对来说更安全； 电脑上不要安装不明来源的软体，特别是中国软体，几乎没有下限； 虚拟机是个好东西，对于不明来源的文件可以尝试使用虚拟机打开。现在 win10 就自带虚拟机，具体使用可参照微软官方文档但一定要注意，有的骇客（或木马）很厉害，能够意识到自己正在「matrix」当中，会主动寻求跳出虚拟机的方法； 浏览器和钱包必须保持更新； Wifi 是最容易被监听的渠道。永远不要使用外面的 wifi，自己家的路由器也要经常检查，防止被监听。如果不懂如何检查，最好保存好相关的信息后每隔一段时间重置一次； 你的 SIM 卡也不一定安全，骇客可以伪造一个相同的 sim 卡获得你的资料（比如验证码）。所以最好不要在网路上炫富，更不要暴露真实身份，这会带来很多麻烦； 如果迫不得已要通过网路传输密钥，身边的设备可以使用隔空投送功能，网络传输建议 Telegram，可以最大限度地避免被窃取。 五、社会工程学攻击 骇客除了会寻找软硬体上存在的漏洞，还会寻找用户有意无意流露出来的资讯，製造社会工程学攻击。 1、密码 不知大家是否知道，我们大多数的 web2 网站都被入侵过，甚至有的网站对密码根本就没有加密，网管可以随意读取，所以绝对不要把你使用过的密码用在跟资产有关的地方。建议设置好几套密码，分别在不同的网络和环境下使用，尤其是涉及到大额资金的密码，必须使用包括大写、小写字母、数字、符号的 10 位以上的密码，且不能含有生日这种容易被猜到的数字。对于一些不熟悉的软体和网站，也可以单独使用一套密码，避免跟其他已知安全的软体和网站混餚。 这里有个小建议，如果担心记不住密码，你可以使用一串数字为你的生日「加密」。例如，如果你的生日是 19901202，你可以错位加上一串家人（如 19500821）的生日，像是 19901202+05008210，然后再附上一些字母和符号，骇客没法猜到经过你自己「加密」的密码。 2、钓鱼 邮件或是其他聊天软体传来的不明文件诈骗虽然很土，但依旧奏效，如果遇到必须打开的情况，可以按照上文的方式，在虚拟机中打开。 3、不要轻信任何客服 这在上文已经提过多次，不重複了。 4. 个人资料 Web3.0 的个人资料除了包括生日、电话、家庭住址等，还应包括你的钱包地址，主资产钱包应该跟社交钱包绝对隔离（即不能有互相转帐的纪录等），特别对于撸毛党，如果你不想被举报，一定不能洩露你的地址。 除了网路上的隐私外，最好不要在生活中透露自己是个搞区块链的，除了能避免很多误会外，还能尽量避免被熟悉你的人通过你的个人资料进行撞库攻击。 关于社会工程学的知识可以再出一个专题，我们要记得别随意洩露个人隐私就好了。 这篇文章中，我们总结了冲浪 Web3.0 时应对各种骇客攻击的方式，但道高一尺魔高一丈，骇客们已经开始熟练地将各种攻击组合在一起，完成更隐蔽、伤害更大的进攻。 只有不断提高警觉，才能免于受到骇客的侵害。大致来说，我们可以把握以下几个原则： 保持健康的情绪； 钱包交互的时候一定要看清楚内容； 密钥、助记词不能複製，应离线保存； 确保各项设备安全，并一直保持更新； 不要相信主动联繫你的「客服」，也不要随意打开不明来源的文件，灵活使用虚拟机； 线上和线下都不要洩露个人隐私和资产。 网络安全是一个很庞杂的问题，本文难免有遗漏的地方，还请谅解。