最近看到社区的小伙伴对于钱包防盗这一块很是头疼，阿法狗看的十分焦急，巴不得当场把偷钱包的项目方和黑客们就地正法！本来以为是打个小项目，没想到捅到了盗钱包的老窝…

放眼看去，很多圈内大佬都遭遇过被盗，不少KOL一再提醒，要将防盗意识提高，但这事儿不发生在自己身上的时候，就认为与我无关。阿法狗也是其中一员，在NFT圈子混迹的过程中，金狗app自动打图帮我们保护好了钱包，但是当我们自己去mint项目时，才发现有很多不好的操作习惯，近日阿法狗参考学习了很多大佬的防骗指南，总结归纳了一下再提供给金狗社区的小伙伴们，希望能够给大家科普到一些防骗的小知识。祝君天天打金狗，钱包越来越饱满！

安全意识的缺失，不良的操作习惯，给黑客创造了很大的舞台，他们利用技术以接近0的成本从中不断获取收益。我们在进行带有风险的操作时，就像把自己的财产毫无防备的暴露在黑客面前并且进行嘲讽叫嚣。如果你没有被盗，那么有两种可能，一是时候未到，二是黑客看不上。

以下操作被认为是存在风险的行为，请大家对号入座：

1.明文保存、拍照或截屏保存钱包私钥；

2.将保存私钥的文件上传云端，通过社交软件，邮箱等进行发送，将私钥告诉他人；

3.经常在多个终端登录钱包，将大额资产长时间放置热钱包；

4.无脑授权各种网站、第三方应用、discord、token等；

5.经常使用不安全的WiFi登录钱包，进行操作；

6.不做终端系统维护，尤其是windows和chrome；

7.运行各种非官方途径获取的第三方应用、脚本，访问未知来源的网站；

8.使用他人提供的Apple ID，Google ID等；

9.频繁在各种场所登记钱包，用还有资产的钱包各种撸空投。

阿法狗认为，以上操作都是我们的主动行为，这是我们首先应该注意的，也是最能避免的。如果很不幸你有多个对上号了，那么你可能快要加入被盗的行列了。

黑客也分为多个派别，我们的主动风险行为容易被技术派利用。而更危险的是我们的FOMO心理，被不法分子所利用。这一派黑客通过诱导，让我们被动的做出一些行为，更加轻易的盗取资产。

以下行为是骗子的惯用操作：

1.在Discord中冒充项目方BOT、MOD行骗；

骗子冒充官方BOT，潜伏在各个项目的服务器中，等待时机，一旦项目方有动作，比如presale，公售，whitelist mint，就会根据内容进行私信。还有一些冒充MOD，私信raffle信息，或者是要求协助解决问题。此类骗局迷惑性极强，有和官方相同的名字，头像，模仿官方announcement的格式，发送钓鱼链接，或者是骗取用户钱包私钥，可以说是极易让人上当。

2.Twitter中冒充官推，@用户，发送私信，回复转发；

前段时间的AKCB就出现了这样的情况，黑客利用技术手段盗取了AKCB的官推，在原项目方官宣的时间点发布了只在末尾多了一个小数点的假mint链接，当时点击链接去mint的小伙伴们钱包被洗劫一空，他们以官方推特为外衣伪装，利用大家着急抢着mint的心理，让大家不看仔细直接授权钱包，因此还出现了AKCB dc里官方疯狂让社区用户举报自己官方推特的尴尬一幕。

还有些盗版项目，他们同Discord中的一样，拥有和官方相同的头像和名称，极度相似的twitter ID，相同的主页装饰。趁着项目热度，他们不断@相关标签用户，Moonbird的一个仿官推，在一天时间靠不断@用户获取了400k的粉丝。他们在介绍中放置几乎和官方网站一样的钓鱼网址（比如替换大写的 i 和小写的 L，替换小写的b和d，替换大写的 o 和 数字0之类的），赌的就是很多人不仔细看直接点击进入，很多人因此被骗。

3.冒充官方service通过社交软件，邮件发送木马文件或者网站；

阿法狗收到过邮件称我的小狐狸钱包存在私钥泄露风险，请登录网站进行检测，或者加他们的联系方式协助进行处理。收到过OKEX的异地登录提醒，更新提醒，请登录检查之类的。还有很多群里面的主动加好友的，称有项目进行合作，并主动发送项目文件。此类邮件往往包含有钓鱼网站，发送的文件中很可能含有木马病毒，用来窃取钱包私钥或者是账号密码。

4.空投钓鱼代币；

阿法狗加了很多dc频道，里面每天会分享上许多空投信息，而在这些信息中，就隐藏着一些空投钓鱼代币的链接。这些代币都有合约地址，而且一般都比较值钱，但是会限制交易。骗子会编写免费空投信息诱惑你，骗你进行钱包授权，从而达到盗取钱包的目的。

5.发送假Token；

链游和土狗的火爆带来了各种各样的代币，很多都是没有听说过的，还有很多高仿币。这些高仿币同真币仅仅只是合约地址不同，如果不仔细核对，在购买环节很难发现问题。可能更难想象到的是，买卖假USDT已经成为了产业，同买卖假币几乎相同。

6.私信财富密码；

如果你加入几个土狗群，你就会发现每天都有人cx各种百倍、千倍、万倍币，而这是传销还不能算骗人，最多就是找人接盘。但是私信你的，往往就是骗局了，他们可能以财富密码的由头，发送给你钓鱼链接，钓鱼token等等，用来获取你的钱包信息。

7.Discord服务器被攻击；

可以说几乎每一个火爆的项目，Discord服务器都会被黑客攻击。被攻击的Discord会发布假的announcement，raffle信息，骗成员访问钓鱼网站，mint假的NFT。

8.冒充分叉网站；

前段时间，空投界出现了不少的分叉网站，有opensea、sand等。通过简单的填写地址，就能获取代币空投，然后拉人头够一定数量就能提取代币。这些网站明眼人一眼就能看出来问题，其中代币的合约地址是假的，甚至于几个网站的模板都一样，话说骗子也太懒了。

9.冒充品牌方发布NFT；

玩土狗的时间久了，经常会看到类似Coca-Cola，Louis Vuitton，Apple，NIKE之类的打着大品牌方发放NFT的项目被mint多次。点开他们的opensea链接，都可以看到一个10e-20e不等的floor price，而他们的mint价格一般都是0.12e，而且mint5个还可以获得一个空投，而这些项目和信息，都是项目方自导自演的。

还有很多骗子的手段，我们没有列举。web3可以说是遍布精英和高智商玩家，本以为在此行骗需要更高的手段和技术，其实并非如此。能混web3的人必然是认知程度要高一些，但是本身的性格和逐利的心态没有改变，再加上很多人和阿法狗一样的似懂非懂，造成了更容易上当的事实。黑客一定更懂技术，骗子一定更懂人性。

如果小伙伴们能看到这里，相信已经有了很多防守的想法，阿法狗再把他们总结一下，然后给大家一些工具和经验。

1.不要明文保存私钥和助记词，不要进行截屏拍照保存，不要将私钥上传网络，可以将助记词放到离线存储（比如U盘、移动硬盘、不联网的pad等），然后一定要进行手写备份，放到安全的地方，以备不时之需（这里你可以想一想如何写遗嘱）。如果必须进行线上传输，一定要进行各种加密；

2.大资产放到冷钱包，活跃钱包配备专用设备（最好是mac系统，或者是纯净windows系统），钱包中只留有日常所需的币，对钱包进行备份，并将备份保存在离线、安全的地方；

3.不使用第三方提供的钱包工具，应用，网站，不与任何人共享你的私钥；

4.安装识别假盘仿盘钓鱼链接的插件，mint时多一步提醒。

https://dash.pocketuniverse.app/

5.不要进行无脑授权，必须授权时必须阅读授权信息，及时取消授权，并且定期检查；

取消授权的工具：

https://bscscan.com/tokenapprovalchecker

https://tac.dappstar.io/#/

https://approved.zone/

https://etherscan.io/tokenapprovalchecker

https://revoke.cash/zh

https://debank.com/

6.重视系统安全，定期进行系统杀毒维护（尤其是windows用户），尽量不在公共WiFi下进行钱包操作；

7.保护好自己的各种ID，邮箱账号密码，以及一切相关账号密码，交易所设置2FA等各种验证，使用大小写加数字加字符的强密码；

8.非必要时不打开Discord DM，在需要用到DM认证完成后，马上关闭；

9.将确定正确的网站加入书签，不要随便访问搜索的或者别人推送的网站；

10.不要相信任何人陌生人有关财富密码的推荐，不碰任何保证收益的投资；

11.看到明显的捡钱项目，要多留心，99.99%的都是骗子，天上绝对不会掉馅饼的！

1、按照下图输入项目地址进入合约，1234走完了以后就打开了这个合约的写入功能

2、找到这个下面关于mint的那一栏，一般是mint或者交**mint、mint**之类的，输入2个参数即可

1、高级设置打开十六进制数据

2、展开视图

3、点击发送

4、输入项目地址0x581e4fd879eff9d2f36012c4dad563f64a2f250d和十六进制（一般我会发这两个）

打之前看看还有没有了，说一下怎么看，看两个参数：1、总量  2、目前打了多少

1、总量在flip、scroing等上面都可以很直观的看到图片总量，如下图

2、目前打了多少，在以太坊浏览器上搜索项目地址，然后点token Tracker

进来后看这个Max total supply,就是打了多少，如果没到最后的数量就是还有，但要注意速度和gas，如果图很好的话很可能打的很快，gas也要选择快速，否则会失败。

我们可以不懂智能合约安全，也不用去了解过多的后台技术，因为大部分的智能合约都需要通过前端和用户进行交互，只要我们能分辨前端的真假，我们就可以进行有效防范。

域名的层级是从右往左，比如我们的官方工具：https://www.jingou.app .app是顶级域名，jingou是二级域名，www是三级域名，依次类推。

1.一般币圈的项目，很少用到com、net、cn等传统顶级域名，（自称sand项目分叉网站的域名为：https://the-sandboxs.com ）；

2.一般官网只到二级域名，也就是可以直接访问jingou.app，如果一个域名中含有四级五级域名，那它就十分可疑，建议删掉三级以后域名，访问官网进行跳转；

3.Http和https相比差一个认证证书，没有s的需要更加谨慎；

4.访问之前仔细查看核对域名，警惕比如替换大写的 i 和小写的 L，替换小写的b和d，替换大写的 o 和 数字0之类的操作；

5.遇到想冲的NFT，可以从opensea上看一下数据，不会耽误太多时间，就可以筛掉99%的骗子项目；比如下图

碰瓷金狗社区的项目，自称JINGOU PASS，没有交易量，地板价很低，owner很少，items也很少，这是很明显的骗子项目，很容易判别。（大家可以去举报一下！！！！）

很多时候人们都是后知后觉，做亡羊补牢之事，但是我们要做吃一堑长一智，要做亡羊补牢，未为晚也，最好还做到别人吃一堑，我长一智！

文章总体来说比较入门，没有涉及任何技术层面的讨论，主要是给新玩家以及小白玩家提供一些防骗的小知识。目前的行情还是熊市，大家依旧可以不断地去静下心来学习，去投资自己，大家都在等待牛市的到来~

金狗团队主研bot打图狗交易及链上数据分析，目前已经有一定的沉淀，并且社区的整体质量还在不断提高中，建立金狗的初衷如下：

1、做一个真诚、开放的web3.0交流与分享社群；

2、利用强大的技术背景，让小伙伴能够更加轻松、安全的在web3的世界里得到自己想要的NFT ；

3、做好信息与人的链接，让个体与个体之间1 加 1大于2，圈子最大的价值是认知提升及赋能，金狗本身技术实力过硬，未来会尽力邀请更优秀的投研人士及科学家，提高大家从信息到工具到操作的效率；

4、努力做好社区基础建设，给大家提供强大的工具、丰富且有实力的白名单合作、提供更多有价值的web3市场信息。

愿：大家能够更好的在web3的世界里不断地提升自己，也能够在金狗社区得到自己想要的未来，新的一年里希望能够和大家一起进步，共同成长！

https://discord.gg/7nkP3ZwY42

研报编辑： @afazhu 2023.02.08 参考部分业内信息仅为科普防骗使用，不作为商业应用。

最近看到社区的小伙伴对于钱包防盗这一块很是头疼，阿法狗看的十分焦急，巴不得当场把偷钱包的项目方和黑客们就地正法！本来以为是打个小项目，没想到捅到了盗钱包的老窝…

放眼看去，很多圈内大佬都遭遇过被盗，不少KOL一再提醒，要将防盗意识提高，但这事儿不发生在自己身上的时候，就认为与我无关。阿法狗也是其中一员，在NFT圈子混迹的过程中，金狗app自动打图帮我们保护好了钱包，但是当我们自己去mint项目时，才发现有很多不好的操作习惯，近日阿法狗参考学习了很多大佬的防骗指南，总结归纳了一下再提供给金狗社区的小伙伴们，希望能够给大家科普到一些防骗的小知识。祝君天天打金狗，钱包越来越饱满！

安全意识的缺失，不良的操作习惯，给黑客创造了很大的舞台，他们利用技术以接近0的成本从中不断获取收益。我们在进行带有风险的操作时，就像把自己的财产毫无防备的暴露在黑客面前并且进行嘲讽叫嚣。如果你没有被盗，那么有两种可能，一是时候未到，二是黑客看不上。

以下操作被认为是存在风险的行为，请大家对号入座：

1.明文保存、拍照或截屏保存钱包私钥；

2.将保存私钥的文件上传云端，通过社交软件，邮箱等进行发送，将私钥告诉他人；

3.经常在多个终端登录钱包，将大额资产长时间放置热钱包；

4.无脑授权各种网站、第三方应用、discord、token等；

5.经常使用不安全的WiFi登录钱包，进行操作；

6.不做终端系统维护，尤其是windows和chrome；

7.运行各种非官方途径获取的第三方应用、脚本，访问未知来源的网站；

8.使用他人提供的Apple ID，Google ID等；

9.频繁在各种场所登记钱包，用还有资产的钱包各种撸空投。

阿法狗认为，以上操作都是我们的主动行为，这是我们首先应该注意的，也是最能避免的。如果很不幸你有多个对上号了，那么你可能快要加入被盗的行列了。

黑客也分为多个派别，我们的主动风险行为容易被技术派利用。而更危险的是我们的FOMO心理，被不法分子所利用。这一派黑客通过诱导，让我们被动的做出一些行为，更加轻易的盗取资产。

以下行为是骗子的惯用操作：

1.在Discord中冒充项目方BOT、MOD行骗；

骗子冒充官方BOT，潜伏在各个项目的服务器中，等待时机，一旦项目方有动作，比如presale，公售，whitelist mint，就会根据内容进行私信。还有一些冒充MOD，私信raffle信息，或者是要求协助解决问题。此类骗局迷惑性极强，有和官方相同的名字，头像，模仿官方announcement的格式，发送钓鱼链接，或者是骗取用户钱包私钥，可以说是极易让人上当。

2.Twitter中冒充官推，@用户，发送私信，回复转发；

前段时间的AKCB就出现了这样的情况，黑客利用技术手段盗取了AKCB的官推，在原项目方官宣的时间点发布了只在末尾多了一个小数点的假mint链接，当时点击链接去mint的小伙伴们钱包被洗劫一空，他们以官方推特为外衣伪装，利用大家着急抢着mint的心理，让大家不看仔细直接授权钱包，因此还出现了AKCB dc里官方疯狂让社区用户举报自己官方推特的尴尬一幕。

还有些盗版项目，他们同Discord中的一样，拥有和官方相同的头像和名称，极度相似的twitter ID，相同的主页装饰。趁着项目热度，他们不断@相关标签用户，Moonbird的一个仿官推，在一天时间靠不断@用户获取了400k的粉丝。他们在介绍中放置几乎和官方网站一样的钓鱼网址（比如替换大写的 i 和小写的 L，替换小写的b和d，替换大写的 o 和 数字0之类的），赌的就是很多人不仔细看直接点击进入，很多人因此被骗。

3.冒充官方service通过社交软件，邮件发送木马文件或者网站；

阿法狗收到过邮件称我的小狐狸钱包存在私钥泄露风险，请登录网站进行检测，或者加他们的联系方式协助进行处理。收到过OKEX的异地登录提醒，更新提醒，请登录检查之类的。还有很多群里面的主动加好友的，称有项目进行合作，并主动发送项目文件。此类邮件往往包含有钓鱼网站，发送的文件中很可能含有木马病毒，用来窃取钱包私钥或者是账号密码。

4.空投钓鱼代币；

阿法狗加了很多dc频道，里面每天会分享上许多空投信息，而在这些信息中，就隐藏着一些空投钓鱼代币的链接。这些代币都有合约地址，而且一般都比较值钱，但是会限制交易。骗子会编写免费空投信息诱惑你，骗你进行钱包授权，从而达到盗取钱包的目的。

5.发送假Token；

链游和土狗的火爆带来了各种各样的代币，很多都是没有听说过的，还有很多高仿币。这些高仿币同真币仅仅只是合约地址不同，如果不仔细核对，在购买环节很难发现问题。可能更难想象到的是，买卖假USDT已经成为了产业，同买卖假币几乎相同。

6.私信财富密码；

如果你加入几个土狗群，你就会发现每天都有人cx各种百倍、千倍、万倍币，而这是传销还不能算骗人，最多就是找人接盘。但是私信你的，往往就是骗局了，他们可能以财富密码的由头，发送给你钓鱼链接，钓鱼token等等，用来获取你的钱包信息。

7.Discord服务器被攻击；

可以说几乎每一个火爆的项目，Discord服务器都会被黑客攻击。被攻击的Discord会发布假的announcement，raffle信息，骗成员访问钓鱼网站，mint假的NFT。

8.冒充分叉网站；

前段时间，空投界出现了不少的分叉网站，有opensea、sand等。通过简单的填写地址，就能获取代币空投，然后拉人头够一定数量就能提取代币。这些网站明眼人一眼就能看出来问题，其中代币的合约地址是假的，甚至于几个网站的模板都一样，话说骗子也太懒了。

9.冒充品牌方发布NFT；

玩土狗的时间久了，经常会看到类似Coca-Cola，Louis Vuitton，Apple，NIKE之类的打着大品牌方发放NFT的项目被mint多次。点开他们的opensea链接，都可以看到一个10e-20e不等的floor price，而他们的mint价格一般都是0.12e，而且mint5个还可以获得一个空投，而这些项目和信息，都是项目方自导自演的。

还有很多骗子的手段，我们没有列举。web3可以说是遍布精英和高智商玩家，本以为在此行骗需要更高的手段和技术，其实并非如此。能混web3的人必然是认知程度要高一些，但是本身的性格和逐利的心态没有改变，再加上很多人和阿法狗一样的似懂非懂，造成了更容易上当的事实。黑客一定更懂技术，骗子一定更懂人性。

如果小伙伴们能看到这里，相信已经有了很多防守的想法，阿法狗再把他们总结一下，然后给大家一些工具和经验。

1.不要明文保存私钥和助记词，不要进行截屏拍照保存，不要将私钥上传网络，可以将助记词放到离线存储（比如U盘、移动硬盘、不联网的pad等），然后一定要进行手写备份，放到安全的地方，以备不时之需（这里你可以想一想如何写遗嘱）。如果必须进行线上传输，一定要进行各种加密；

2.大资产放到冷钱包，活跃钱包配备专用设备（最好是mac系统，或者是纯净windows系统），钱包中只留有日常所需的币，对钱包进行备份，并将备份保存在离线、安全的地方；

3.不使用第三方提供的钱包工具，应用，网站，不与任何人共享你的私钥；

4.安装识别假盘仿盘钓鱼链接的插件，mint时多一步提醒。

https://dash.pocketuniverse.app/

5.不要进行无脑授权，必须授权时必须阅读授权信息，及时取消授权，并且定期检查；

取消授权的工具：

https://bscscan.com/tokenapprovalchecker

https://tac.dappstar.io/#/

https://approved.zone/

https://etherscan.io/tokenapprovalchecker

https://revoke.cash/zh

https://debank.com/

6.重视系统安全，定期进行系统杀毒维护（尤其是windows用户），尽量不在公共WiFi下进行钱包操作；

7.保护好自己的各种ID，邮箱账号密码，以及一切相关账号密码，交易所设置2FA等各种验证，使用大小写加数字加字符的强密码；

8.非必要时不打开Discord DM，在需要用到DM认证完成后，马上关闭；

9.将确定正确的网站加入书签，不要随便访问搜索的或者别人推送的网站；

10.不要相信任何人陌生人有关财富密码的推荐，不碰任何保证收益的投资；

11.看到明显的捡钱项目，要多留心，99.99%的都是骗子，天上绝对不会掉馅饼的！

1、按照下图输入项目地址进入合约，1234走完了以后就打开了这个合约的写入功能

2、找到这个下面关于mint的那一栏，一般是mint或者交**mint、mint**之类的，输入2个参数即可

1、高级设置打开十六进制数据

2、展开视图

3、点击发送

4、输入项目地址0x581e4fd879eff9d2f36012c4dad563f64a2f250d和十六进制（一般我会发这两个）

打之前看看还有没有了，说一下怎么看，看两个参数：1、总量  2、目前打了多少

1、总量在flip、scroing等上面都可以很直观的看到图片总量，如下图

2、目前打了多少，在以太坊浏览器上搜索项目地址，然后点token Tracker

进来后看这个Max total supply,就是打了多少，如果没到最后的数量就是还有，但要注意速度和gas，如果图很好的话很可能打的很快，gas也要选择快速，否则会失败。

我们可以不懂智能合约安全，也不用去了解过多的后台技术，因为大部分的智能合约都需要通过前端和用户进行交互，只要我们能分辨前端的真假，我们就可以进行有效防范。

域名的层级是从右往左，比如我们的官方工具：https://www.jingou.app .app是顶级域名，jingou是二级域名，www是三级域名，依次类推。

1.一般币圈的项目，很少用到com、net、cn等传统顶级域名，（自称sand项目分叉网站的域名为：https://the-sandboxs.com ）；

2.一般官网只到二级域名，也就是可以直接访问jingou.app，如果一个域名中含有四级五级域名，那它就十分可疑，建议删掉三级以后域名，访问官网进行跳转；

3.Http和https相比差一个认证证书，没有s的需要更加谨慎；

4.访问之前仔细查看核对域名，警惕比如替换大写的 i 和小写的 L，替换小写的b和d，替换大写的 o 和 数字0之类的操作；

5.遇到想冲的NFT，可以从opensea上看一下数据，不会耽误太多时间，就可以筛掉99%的骗子项目；比如下图

碰瓷金狗社区的项目，自称JINGOU PASS，没有交易量，地板价很低，owner很少，items也很少，这是很明显的骗子项目，很容易判别。（大家可以去举报一下！！！！）

很多时候人们都是后知后觉，做亡羊补牢之事，但是我们要做吃一堑长一智，要做亡羊补牢，未为晚也，最好还做到别人吃一堑，我长一智！

文章总体来说比较入门，没有涉及任何技术层面的讨论，主要是给新玩家以及小白玩家提供一些防骗的小知识。目前的行情还是熊市，大家依旧可以不断地去静下心来学习，去投资自己，大家都在等待牛市的到来~

金狗团队主研bot打图狗交易及链上数据分析，目前已经有一定的沉淀，并且社区的整体质量还在不断提高中，建立金狗的初衷如下：

1、做一个真诚、开放的web3.0交流与分享社群；

2、利用强大的技术背景，让小伙伴能够更加轻松、安全的在web3的世界里得到自己想要的NFT ；

3、做好信息与人的链接，让个体与个体之间1 加 1大于2，圈子最大的价值是认知提升及赋能，金狗本身技术实力过硬，未来会尽力邀请更优秀的投研人士及科学家，提高大家从信息到工具到操作的效率；

4、努力做好社区基础建设，给大家提供强大的工具、丰富且有实力的白名单合作、提供更多有价值的web3市场信息。

愿：大家能够更好的在web3的世界里不断地提升自己，也能够在金狗社区得到自己想要的未来，新的一年里希望能够和大家一起进步，共同成长！

https://discord.gg/7nkP3ZwY42

研报编辑： @afazhu 2023.02.08 参考部分业内信息仅为科普防骗使用，不作为商业应用。