事情经过是这样：

2021年12月15日，我从token pocket的一个钱包账户转账0.1eth到metamask的钱包账户。

token pocket提示转账成功，metamask的【活动】页也显示收到了0.1个eth，但metamask账户余额为0。

我怀疑是metamask显示有延迟，遂去浏览器确认交易交易状态，

发现确实转账成功了，但是几乎同时发生了另外一笔交易，0.1个eth被转出到一个未知地址。

内心无比疑惑？？？

我并没有没有授权，短短6s，钱就被转走了，是谁转走的？怎么转走的？

问了朋友们，一致认为可能是我的助记被泄露了，让我赶紧换密码。

我还是难以置信，印象中，并没有乱发助记词呀。

然后，开始排查原因。

如果是助记词泄露，那么这个助记词包含的其它资产，也应该丢光才对。

我去到bsc浏览器上查看，发现，果真，12天前bsc上的bnb就被盗了，fuck！

除了愤怒，更多的是困惑，这些骗子是怎么知道我的私钥或者助记词的？

这让人很没有安全感啊，以后谁还敢用？

冷静下来，我开始回忆2021年 12月2日当天，做了什么？

我去查了12月2号的chrome浏览记录。

发现那段时间在上一个dapp开发教程—-https://app.buildspace.so/

我fork了在该课程的github项目，然后把自己的代码传了上去。

当时觉得自己的metamask钱包没啥钱，只是在测试网上面开发，就放松了警惕。

（其实钱包里有0.1个bnb，我当时忘记了）

一犯懒，就把私钥写到配置文件里了，并commit了。

也就是说，我把私钥传上传到了github的公开项目。

极大概率，就是github的仓库暴露了我的私钥。

按照时间线，再捋一下整个经过

• 2021年12月2日 17:42:00 我将私钥传到github的公开仓库。

• 2021年12月2号 17:48:36，骗子扫描到我的私钥，立马就发起了两笔转账，把我的bnb转了精光。

  自此，我的钱包应该就被监控了.然后骗子开始轮询我的地址，只要有资金进来，就转出去。

• 2021年12月15日 11:59:43 , 我从token pocket的一个钱包账户转账0.1eth到metamask的钱包账户。

• 2021年12月15日 11:59:48 , 骗子将这0.1个eth转走！花了21%的gas费用！

  花别人的钱可真是大方啊！tmd！

1. 对做DAPP开发的同学：不管是在测试网还主网，钱包的私钥是同一个，千万要小心，不要偷懒，不要随意放置private key。

2. 钱包要分类管理：

   1. 做开发测试时的钱包，一分钱都不放，不要便宜骗子。

   2. 撸空投—放少量的钱。

   3. 热钱包—token pocket。

   4. 冷钱包—放大头，不动的资产。

3. 当账户连接过骗子网站后，可能已经变成僵尸了，即，不管转什么资产进去，都会直接被转走。

4. 骗子拿到了私钥，就等于什么信息都知道了，因为公钥是可以由私钥推导出来的。

5. 钱包要做隔离！每个链一个钱包。不要图省事。

   多个链用一个账户，私钥丢了，下面绑定的所有资产都丢了，包括NFT，虚拟货币。

6. 被盗了，基本上就是僵尸账号了，名下的NFT都转不出去，因为交易要gas，而作为gas的平台币会被骗子转走，一分都不剩。即使你再充，骗子也会立刻给你转走。

骗子的地址公布一下

• 骗子1的bsc地址：

https://bscscan.com/address/0x28d44160f081f46e9c813b9ad7a1ec8a600a95d6

• 骗子2的bsc地址：

https://bscscan.com/address/0x7bcb4ac2e2b28b0bd45f5aeb7d35f6d6471d8d5a

• 骗子3的bsc地址：

https://etherscan.io/address/0x1483b09ce664883ffda0edd49354a0281082ee47