# Web3.0 数字钱包防盗防骗指南 By [Cuicheck](https://paragraph.com/@ccheck) · 2022-05-04 --- 大家好,我是ACnft的check。5月1日可以说是一个很悲伤的日子了,不仅没有抢到猴子地,而且小狐狸钱包被盗了,里面的Eth直接归零了。一天内经济损失A6,真的是让人心态爆炸。 愚人节周董的Bayc被盗了,成为了很多人的谈资,真正重视起来的人寥寥无几。放眼看去,很多圈内大佬都遭遇过被盗,不少KOL一再提醒,要将防盗意识提高,但这事儿不发生在自己身上的时候,就认为与我无关。check也是其中一员,在币圈混迹的过程中,有很多不好的操作习惯,今日奉上这篇防盗防骗指南,愿天下再也没有被盗的钱包! Part1 存在风险的行为 ------------- 安全意识的缺失,不良的操作习惯,给黑客创造了很大的舞台,他们利用技术以接近0的成本从中不断获取收益。我们在进行带有风险的操作时,就像把自己的财产毫无防备的暴露在黑客面前并且进行嘲讽叫嚣。**如果你没有被盗,那么有两种可能,一是时候未到,二是黑客看不上。** 以下操作被认为是存在风险的行为,请大家对号入座: **1.明文保存、拍照或截屏保存钱包私钥;** **2.将保存私钥的文件上传云端,通过社交软件,邮箱等进行发送,将私钥告诉他人;** **3.经常在多个终端登录钱包,将大额资产长时间放置热钱包;** **4.无脑授权各种网站、第三方应用、discord、token等;** **5.经常使用不安全的WiFi登录钱包,进行操作;** **6.不做终端系统维护,尤其是windows和chrome;** **7.运行各种非官方途径获取的第三方应用、脚本,访问未知来源的网站;** **8.使用他人提供的Apple ID,Google ID等;** **9.频繁在各种场所登记钱包,用还有资产的钱包各种撸空投。** check认为,以上操作都是我们的主动行为,这是我们首先应该注意的,也是最能避免的,如果很不幸你有多个对上号了,那么你可能快要加入我们被盗的行列了。 Part2 骗子的行为 ----------- 黑客也分为多个派别,我们的主动风险行为容易被技术派利用。而更危险的是我们的**FOMO心理,被社工派所利用**。这一派黑客通过诱导,让我们被动的做出一些行为,更加轻易的盗取资产。 以下行为是骗子的惯用操作: **1.在Discord中冒充项目方BOT、MOD行骗;** 骗子冒充官方BOT,潜伏在各个项目的服务器中,等待时机,一旦项目方有动作,比如presale,公售,whitelist mint,就会根据内容进行私信。还有一些冒充MOD,私信raffle信息,或者是要求协助解决问题。此类骗局迷惑性极强,有和官方相同的名字,头像,模仿官方announcement的格式,发送钓鱼链接,或者是骗取用户钱包私钥,可以说是极易让人上当。 **2.Twitter中冒充官推,@用户,发送私信,回复转发;** 前段时间的Moonbird月鸟项目和最近的Otherdeed猴地项目都出现了一批高仿官推。他们同Discord中的一样,拥有和官方相同的头像和名称,极度相似的twitter ID,相同的主页装饰。趁着项目热度,他们不断@相关标签用户,Moonbird的一个仿官推,在一天时间靠不断@用户获取了400k的粉丝。他们在介绍中放置几乎和官方网站一样的钓鱼网址(**比如替换大写的 i 和小写的 L,替换小写的b和d,替换大写的 o 和 数字0**之类的),赌的就是很多人不仔细看直接点击进入,很多人因此被骗。 **3.冒充官方service通过社交软件,邮件发送木马文件或者网站;** check收到过邮件称我的小狐狸钱包存在私钥泄露风险,请登录网站进行检测,或者加他们的联系方式协助进行处理。收到过OKEX的异地登录提醒,更新提醒,请登录检查之类的。还有很多群里面的主动加好友的,称有项目进行合作,并主动发送项目文件。此类邮件往往包含有钓鱼网站,发送的文件中很可能含有木马病毒,用来窃取钱包私钥或者是账号密码。 **4.空投钓鱼代币;** check加了很多Airdrop的电报群,里面每天会分享上许多空投信息,而在这些信息中,就隐藏着一些空投钓鱼代币的链接。这些代币都有合约地址,而且一般都比较值钱,但是会限制交易。骗子会编写免费空投信息诱惑你,骗你进行钱包授权,从而达到盗取钱包的目的。 **5.发送假Token;** 链游和土狗的火爆带来了各种各样的代币,很多都是没有听说过的,还有很多高仿币。这些高仿币同真币仅仅只是合约地址不同,如果不仔细核对,在购买环节很难发现问题。可能更难想象到的是,买卖假USDT已经成为了产业,同买卖假币几乎相同。 **6.私信财富密码;** 如果你加入几个土狗群,你就会发现每天都有人cx各种百倍、千倍、万倍币,而这是传销还不能算骗人,最多就是找人接盘。但是私信你的,往往就是骗局了,他们可能以财富密码的由头,发送给你钓鱼链接,钓鱼token等等,用来获取你的钱包信息。 **7.Discord服务器被攻击;** 可以说几乎每一个火爆的项目,Discord服务器都会被黑客攻击。被攻击的Discord会发布假的announcement,raffle信息,骗成员访问钓鱼网站,mint假的NFT。 **8.冒充分叉网站;** 前段时间,空投界出现了不少的分叉网站,有opensea、sand等。通过简单的填写地址,就能获取代币空投,然后拉人头够一定数量就能提取代币。这些网站明眼人一眼就能看出来问题,其中代币的合约地址是假的,甚至于几个网站的模板都一样,话说骗子也太懒了。 **9.冒充品牌方发布NFT;** 我们ACnft社区的自动监控工具,自从上线以来经常会报告类似Coca-Cola,Louis Vuitton,Apple,NIKE之类的打着大品牌方发放NFT的项目被mint多次。点开他们的opensea链接,都可以看到一个10e-20e不等的floor price,而他们的mint价格一般都是0.12e,而且mint5个还可以获得一个空投,而这些项目和信息,都是项目方自导自演的。 还有很多骗子的手段,我们没有列举。币圈可以说是遍布精英和高智商玩家,本以为在此行骗需要更高的手段和技术,其实并非如此。能混币圈的人必然是认知程度要高一些,但是本身的性格和逐利的心态没有改变,再加上很多人和check一样的似懂非懂,造成了更容易上当的事实。**黑客一定更懂技术,骗子一定更懂人性。** Part3 防守动作 ---------- 如果老铁能看到这里,相信已经有了很多防守的想法,check再把他们总结一下,然后给大家一些工具和经验。 **1.不要明文保存私钥和助记词,不要进行截屏拍照保存,不要将私钥上传网络,可以将助记词放到离线存储(比如U盘、移动硬盘、不联网的pad等**),然后一定要进行手写备份,放到安全的地方,以备不时之需(**这里你可以想一想如何写遗嘱**)。如果必须进行线上传输,一定要进行各种加密; **2.大资产放到冷钱包,活跃钱包配备专用设备**(最好是mac系统,或者是纯净windows系统)**,钱包中只留有日常所需的币,对钱包进行备份,并将备份保存在离线、安全的地方;** **3.不使用第三方提供的钱包工具,应用,网站,不与任何人共享你的私钥;** **4.不要进行无脑授权,必须授权时必须阅读授权信息,及时取消授权,并且定期检查;** 取消授权的工具: [https://bscscan.com/tokenapprovalchecker](https://bscscan.com/tokenapprovalchecker) [https://tac.dappstar.io/#/](https://tac.dappstar.io/#/) [https://approved.zone/](https://approved.zone/) [https://etherscan.io/tokenapprovalchecker](https://etherscan.io/tokenapprovalchecker) [https://revoke.cash/](https://revoke.cash/) [https://debank.com/](https://debank.com/) **5.重视系统安全,定期进行系统杀毒维护(尤其是windows用户),尽量不在公共WiFi下进行钱包操作;** **6.保护好自己的各种ID,邮箱账号密码,以及一切相关账号密码,交易所设置2FA等各种验证,使用大小写加数字加字符的强密码;** **7.非必要时不打开Discord DM,在需要用到DM认证完成后,马上关闭;** **8.将确定正确的网站加入书签,不要随便访问搜索的或者别人推送的网站;** **9.不要相信任何人陌生人有关财富密码的推荐,不碰任何保证收益的投资;** **10.看到明显的捡钱项目,要多留心,99.99%的都是骗子,天上绝对不会掉馅饼的!** Part4 如何鉴别真假网站和应用 ----------------- 其实这一部分应该算作Part3里面的,考虑过后还是拿出来单独写一写。我们可以不懂智能合约安全,也不用去了解过多的后台技术,因为大部分的智能合约都需要通过前端和用户进行交互,只要我们能分辨前端的真假,我们就可以进行有效防范。 域名的层级是从右往左,比如我们的工具:[https://www.acnft.xyz/](https://www.acnft.xyz/) .xyz是顶级域名,acnft是二级域名,www是三级域名,依次类推。 **1.一般币圈的项目,很少用到com、net、cn等传统顶级域名,(自称sand项目分叉网站的域名为:**[**https://the-sandboxs.com**](https://the-sandboxs.com) **);** **2.一般官网只到二级域名,也就是可以直接访问acnft.xyz,如果一个域名中含有四级五级域名,那它就十分可疑,建议删掉三级以后域名,访问官网进行跳转;** **3.Http和https相比差一个认证证书,没有s的需要更加谨慎;** **4.访问之前仔细查看核对域名,警惕比如替换大写的 i 和小写的 L,替换小写的b和d,替换大写的 o 和 数字0之类的操作;** **5.遇到想冲的图狗,可以从opensea上看一下数据,不会耽误太多时间,就可以筛掉99%的骗子项目;比如下图** ![](https://storage.googleapis.com/papyrus_images/8e4516d3449c6f1ba6edea344fd9ae0cd2d198277ae71ba56ec77594430612e4.png) **自称GUCCI OFFICIAL,没有交易量,地板价很高,owner很少,items很多,这是很明显的骗子项目,很容易判别。** 写在最后 ---- 很多时候人们都是后知后觉,做亡羊补牢之事,但是我们要做吃一堑长一智,要做亡羊补牢,未为晚也,最好还做到别人吃一堑,我长一智! 文章总体来说比较入门,没有涉及任何技术层面的讨论,最后再给大家分享一些更加硬核的有关安全的内容,如果有兴趣的同学可以阅读学习。 **1.微信搜索公众号:今天有更懂这个直接一点了么** **2.B站搜索:崔棉大师** 希望以后没有被盗的钱包! PS: 我的Twitter:@qukuaicn ACNFT介绍: AC团队前身主研MEV交易及链上数据分析,目前已经有一定的沉淀,并且监控的数据还在不断扩充中,建立AC的初衷如下: 1、做一个真诚、开放的web3.0交流与分享社群; 2、基于大家的技能,互相交流并沉淀含金量高的、稀缺的、差异化的内容和信息是AC最核心的价值 ; 3、做好信息与人的链接,让个体与个体之间1 加 1大于2,圈子最大的价值是认知提升及赋能,AC本身由数位科学家共同发起,未来会尽力邀请更优秀的投研人士及科学家,提高大家从信息到工具到操作的效率; 4、往DAO方向前进,努力成为AC DAO。 ACNFT网址: [https://www.acnft.xyz/](https://www.acnft.xyz/) ACNFT的DC: [https://discord.gg/gGNb3cxs](https://discord.gg/gGNb3cxs) --- *Originally published on [Cuicheck](https://paragraph.com/@ccheck/web3-0)*