# 金狗社区Web3 钱包防骗指南

By [阿法狗](https://paragraph.com/@afagou) · 2023-02-08

---

最近看到社区的小伙伴对于钱包防盗这一块很是头疼，阿法狗看的十分焦急，巴不得当场把偷钱包的项目方和黑客们就地正法！本来以为是打个小项目，没想到捅到了盗钱包的老窝…

放眼看去，很多圈内大佬都遭遇过被盗，不少KOL一再提醒，要将防盗意识提高，但这事儿不发生在自己身上的时候，就认为与我无关。阿法狗也是其中一员，在NFT圈子混迹的过程中，金狗app自动打图帮我们保护好了钱包，但是当我们自己去mint项目时，才发现有很多不好的操作习惯，近日阿法狗参考学习了很多大佬的防骗指南，总结归纳了一下再提供给金狗社区的小伙伴们，**希望能够给大家科普到一些防骗的小知识。祝君天天打金狗，钱包越来越饱满！**

一、mint时存在风险的行为分析
----------------

安全意识的缺失，不良的操作习惯，给黑客创造了很大的舞台，他们利用技术以接近0的成本从中不断获取收益。我们在进行带有风险的操作时，就像把自己的财产毫无防备的暴露在黑客面前并且进行嘲讽叫嚣。**如果你没有被盗，那么有两种可能，一是时候未到，二是黑客看不上。**

以下操作被认为是存在风险的行为，请大家对号入座：

**1.明文保存、拍照或截屏保存钱包私钥；**

**2.将保存私钥的文件上传云端，通过社交软件，邮箱等进行发送，将私钥告诉他人；**

**3.经常在多个终端登录钱包，将大额资产长时间放置热钱包；**

**4.无脑授权各种网站、第三方应用、discord、token等；**

**5.经常使用不安全的WiFi登录钱包，进行操作；**

**6.不做终端系统维护，尤其是windows和chrome；**

**7.运行各种非官方途径获取的第三方应用、脚本，访问未知来源的网站；**

**8.使用他人提供的Apple ID，Google ID等；**

**9.频繁在各种场所登记钱包，用还有资产的钱包各种撸空投。**

阿法狗认为，以上操作都是我们的主动行为，这是我们首先应该注意的，也是最能避免的。如果很不幸你有多个对上号了，那么你可能快要加入被盗的行列了。

二、骗子可能存在的角落
-----------

黑客也分为多个派别，我们的主动风险行为容易被技术派利用。而更危险的是我们的**FOMO心理，被不法分子所利用**。这一派黑客通过诱导，让我们被动的做出一些行为，更加轻易的盗取资产。

以下行为是骗子的惯用操作：

**1.在Discord中冒充项目方BOT、MOD行骗；**

骗子冒充官方BOT，潜伏在各个项目的服务器中，等待时机，一旦项目方有动作，比如presale，公售，whitelist mint，就会根据内容进行私信。还有一些冒充MOD，私信raffle信息，或者是要求协助解决问题。此类骗局迷惑性极强，有和官方相同的名字，头像，模仿官方announcement的格式，发送钓鱼链接，或者是骗取用户钱包私钥，可以说是极易让人上当。

**2.Twitter中冒充官推，@用户，发送私信，回复转发；**

前段时间的AKCB就出现了这样的情况，黑客利用技术手段盗取了AKCB的官推，在原项目方官宣的时间点发布了只在末尾多了一个小数点的假mint链接，当时点击链接去mint的小伙伴们钱包被洗劫一空，他们以官方推特为外衣伪装，利用大家着急抢着mint的心理，让大家不看仔细直接授权钱包，因此还出现了AKCB dc里官方疯狂让社区用户举报自己官方推特的尴尬一幕。

还有些盗版项目，他们同Discord中的一样，拥有和官方相同的头像和名称，极度相似的twitter ID，相同的主页装饰。趁着项目热度，他们不断@相关标签用户，Moonbird的一个仿官推，在一天时间靠不断@用户获取了400k的粉丝。他们在介绍中放置几乎和官方网站一样的钓鱼网址（**比如替换大写的 i 和小写的 L，替换小写的b和d，替换大写的 o 和 数字0**之类的），赌的就是很多人不仔细看直接点击进入，很多人因此被骗。

**3.冒充官方service通过社交软件，邮件发送木马文件或者网站；**

阿法狗收到过邮件称我的小狐狸钱包存在私钥泄露风险，请登录网站进行检测，或者加他们的联系方式协助进行处理。收到过OKEX的异地登录提醒，更新提醒，请登录检查之类的。还有很多群里面的主动加好友的，称有项目进行合作，并主动发送项目文件。此类邮件往往包含有钓鱼网站，发送的文件中很可能含有木马病毒，用来窃取钱包私钥或者是账号密码。

**4.空投钓鱼代币；**

阿法狗加了很多dc频道，里面每天会分享上许多空投信息，而在这些信息中，就隐藏着一些空投钓鱼代币的链接。这些代币都有合约地址，而且一般都比较值钱，但是会限制交易。骗子会编写免费空投信息诱惑你，骗你进行钱包授权，从而达到盗取钱包的目的。

**5.发送假Token；**

链游和土狗的火爆带来了各种各样的代币，很多都是没有听说过的，还有很多高仿币。这些高仿币同真币仅仅只是合约地址不同，如果不仔细核对，在购买环节很难发现问题。可能更难想象到的是，买卖假USDT已经成为了产业，同买卖假币几乎相同。

**6.私信财富密码；**

如果你加入几个土狗群，你就会发现每天都有人cx各种百倍、千倍、万倍币，而这是传销还不能算骗人，最多就是找人接盘。但是私信你的，往往就是骗局了，他们可能以财富密码的由头，发送给你钓鱼链接，钓鱼token等等，用来获取你的钱包信息。

**7.Discord服务器被攻击；**

可以说几乎每一个火爆的项目，Discord服务器都会被黑客攻击。被攻击的Discord会发布假的announcement，raffle信息，骗成员访问钓鱼网站，mint假的NFT。

**8.冒充分叉网站；**

前段时间，空投界出现了不少的分叉网站，有opensea、sand等。通过简单的填写地址，就能获取代币空投，然后拉人头够一定数量就能提取代币。这些网站明眼人一眼就能看出来问题，其中代币的合约地址是假的，甚至于几个网站的模板都一样，话说骗子也太懒了。

**9.冒充品牌方发布NFT；**

玩土狗的时间久了，经常会看到类似Coca-Cola，Louis Vuitton，Apple，NIKE之类的打着大品牌方发放NFT的项目被mint多次。点开他们的opensea链接，都可以看到一个10e-20e不等的floor price，而他们的mint价格一般都是0.12e，而且mint5个还可以获得一个空投，而这些项目和信息，都是项目方自导自演的。

还有很多骗子的手段，我们没有列举。web3可以说是遍布精英和高智商玩家，本以为在此行骗需要更高的手段和技术，其实并非如此。能混web3的人必然是认知程度要高一些，但是本身的性格和逐利的心态没有改变，再加上很多人和阿法狗一样的似懂非懂，造成了更容易上当的事实。**黑客一定更懂技术，骗子一定更懂人性。**

三、对应的防守动作
---------

如果小伙伴们能看到这里，相信已经有了很多防守的想法，阿法狗再把他们总结一下，然后给大家一些工具和经验。

**1.不要明文保存私钥和助记词，不要进行截屏拍照保存，不要将私钥上传网络，可以将助记词放到离线存储（比如U盘、移动硬盘、不联网的pad等**），然后一定要进行手写备份，放到安全的地方，以备不时之需（**这里你可以想一想如何写遗嘱**）。如果必须进行线上传输，一定要进行各种加密；

**2.大资产放到冷钱包，活跃钱包配备专用设备**（最好是mac系统，或者是纯净windows系统）**，钱包中只留有日常所需的币，对钱包进行备份，并将备份保存在离线、安全的地方；**

**3.不使用第三方提供的钱包工具，应用，网站，不与任何人共享你的私钥；**

**4.安装识别假盘仿盘钓鱼链接的插件，mint时多一步提醒。**

[https://dash.pocketuniverse.app/](https://dash.pocketuniverse.app/)

**5.不要进行无脑授权，必须授权时必须阅读授权信息，及时取消授权，并且定期检查；**

取消授权的工具：

[https://bscscan.com/tokenapprovalchecker](https://bscscan.com/tokenapprovalchecker)

[https://tac.dappstar.io/#/](https://tac.dappstar.io/#/)

[https://approved.zone/](https://approved.zone/)

[https://etherscan.io/tokenapprovalchecker](https://etherscan.io/tokenapprovalchecker)

[https://revoke.cash/zh](https://revoke.cash/zh)

[https://debank.com/](https://debank.com/)

**6.重视系统安全，定期进行系统杀毒维护（尤其是windows用户），尽量不在公共WiFi下进行钱包操作；**

**7.保护好自己的各种ID，邮箱账号密码，以及一切相关账号密码，交易所设置2FA等各种验证，使用大小写加数字加字符的强密码；**

**8.非必要时不打开Discord DM，在需要用到DM认证完成后，马上关闭；**

**9.将确定正确的网站加入书签，不要随便访问搜索的或者别人推送的网站；**

**10.不要相信任何人陌生人有关财富密码的推荐，不碰任何保证收益的投资；**

**11.看到明显的捡钱项目，要多留心，99.99%的都是骗子，天上绝对不会掉馅饼的！**

四、关于合约mint项目
------------

### 1.合约mint

**1、按照下图输入项目地址进入合约，1234走完了以后就打开了这个合约的写入功能**

![](https://storage.googleapis.com/papyrus_images/f3d9a1cb97087ce1cc8bf2bcc73c5620f41baebe27fe36c1e601d355de927ef8.png)

**2、找到这个下面关于mint的那一栏，一般是mint或者交\*\*mint、mint\*\*之类的，输入2个参数即可**

![](https://storage.googleapis.com/papyrus_images/2dc18d71cbe82015087100f2a857a2850ea9661d43980c76ee497ccccb65a5c9.png)

### 2.十六进制mint（大部分科学家都用的这个，不过代码和逻辑层面实现比较困难）

**1、高级设置打开十六进制数据**

![](https://storage.googleapis.com/papyrus_images/bc6ef76cdc8e3ff7a464d320368586174e2ed6a84eedbaf49ac011177b8e6daf.png)

**2、展开视图**

![](https://storage.googleapis.com/papyrus_images/e6cc9fbc83cece8735125f018921975bab714564594d6c6cb1c962fadca1ac3a.png)

**3、点击发送**

![](https://storage.googleapis.com/papyrus_images/90f47055deb3fcd17dbaec61fb5387952bd24558736f165f49ce6b350c88eada.png)

**4、输入项目地址0x581e4fd879eff9d2f36012c4dad563f64a2f250d和十六进制（一般我会发这两个）**

![](https://storage.googleapis.com/papyrus_images/f7dd4c45964bfd81bd13a63b0b68a8c8061a801fb8e22ab0965921367a52bc28.png)

### 三、特别注意

**打之前看看还有没有了，说一下怎么看，看两个参数：1、总量  2、目前打了多少**

**1、总量在flip、scroing等上面都可以很直观的看到图片总量，如下图**

![](https://storage.googleapis.com/papyrus_images/31d33463b89296643992b7dfd22700b26ba3360303217fef14669a8e27b21726.png)

**2、目前打了多少，在以太坊浏览器上搜索项目地址，然后点token Tracker**

![](https://storage.googleapis.com/papyrus_images/713195317e838926be338314fd099fec4af0986eb9b53e06e90480cfd0aa766a.png)

**进来后看这个Max total supply,就是打了多少，如果没到最后的数量就是还有，但要注意速度和gas，如果图很好的话很可能打的很快，gas也要选择快速，否则会失败。**

![](https://storage.googleapis.com/papyrus_images/8715cfe6d88af59313d91690a3a1476ffab9b784718ccc1140c3cde4eb258d5c.png)

五、如何鉴别真假网站和应用
-------------

我们可以不懂智能合约安全，也不用去了解过多的后台技术，因为大部分的智能合约都需要通过前端和用户进行交互，只要我们能分辨前端的真假，我们就可以进行有效防范。

域名的层级是从右往左，比如我们的官方工具：[https://www.jingou.app](https://www.jingou.app) .app是顶级域名，jingou是二级域名，www是三级域名，依次类推。

**1.一般币圈的项目，很少用到com、net、cn等传统顶级域名，（自称sand项目分叉网站的域名为：**[**https://the-sandboxs.com**](https://the-sandboxs.com/) **）；**

**2.一般官网只到二级域名，也就是可以直接访问jingou.app，如果一个域名中含有四级五级域名，那它就十分可疑，建议删掉三级以后域名，访问官网进行跳转；**

**3.Http和https相比差一个认证证书，没有s的需要更加谨慎；**

**4.访问之前仔细查看核对域名，警惕比如替换大写的 i 和小写的 L，替换小写的b和d，替换大写的 o 和 数字0之类的操作；**

**5.遇到想冲的NFT，可以从opensea上看一下数据，不会耽误太多时间，就可以筛掉99%的骗子项目；比如下图**

![直接碰瓷金狗官方NFT的盗图项目](https://storage.googleapis.com/papyrus_images/5cb4921164a1c4c5e00f3a496fc92552cd3277eeb94f1133dc1c3e427cd4e252.png)

直接碰瓷金狗官方NFT的盗图项目

**碰瓷金狗社区的项目，自称JINGOU PASS，没有交易量，地板价很低，owner很少，items也很少，这是很明显的骗子项目，很容易判别。（大家可以去举报一下！！！！）**

写在最后：
-----

很多时候人们都是后知后觉，做亡羊补牢之事，但是我们要做吃一堑长一智，要做亡羊补牢，未为晚也，最好还做到别人吃一堑，我长一智！

文章总体来说比较入门，没有涉及任何技术层面的讨论，主要是给新玩家以及小白玩家提供一些防骗的小知识。目前的行情还是熊市，大家依旧可以不断地去静下心来学习，去投资自己，大家都在等待牛市的到来~

### 金狗社区介绍：

金狗团队主研bot打图狗交易及链上数据分析，目前已经有一定的沉淀，并且社区的整体质量还在不断提高中，建立金狗的初衷如下：

1、做一个真诚、开放的web3.0交流与分享社群；

2、利用强大的技术背景，让小伙伴能够更加轻松、安全的在web3的世界里得到自己想要的NFT ；

3、做好信息与人的链接，让个体与个体之间1 加 1大于2，圈子最大的价值是认知提升及赋能，金狗本身技术实力过硬，未来会尽力邀请更优秀的投研人士及科学家，提高大家从信息到工具到操作的效率；

4、努力做好社区基础建设，给大家**提供强大的工具、丰富且有实力的白名单合作、提供更多有价值的web3市场信息**。

**愿：大家能够更好的在web3的世界里不断地提升自己，也能够在金狗社区得到自己想要的未来，新的一年里希望能够和大家一起进步，共同成长！**

![欢迎订阅我们的mirror，也欢迎加入JINGOU社区和我们一起玩耍，在web3共同打造我们的一方天地！](https://storage.googleapis.com/papyrus_images/d296cd8ba5cde2e4347ba636bbc0bd5d21b3fe487775f047e0b04ad4979d392a.jpg)

欢迎订阅我们的mirror，也欢迎加入JINGOU社区和我们一起玩耍，在web3共同打造我们的一方天地！

[Subscribe](null)

[https://discord.gg/7nkP3ZwY42](https://discord.gg/7nkP3ZwY42)

研报编辑： [@afazhu](https://twitter.com/afazhu) 2023.02.08 **参考部分业内信息仅为科普防骗使用，不作为商业应用。**

---

*Originally published on [阿法狗](https://paragraph.com/@afagou/web3)*