# Web3冲浪,如何避免偷家?你不得不知的钱包安全知识 By [加密里奇](https://paragraph.com/@cryptorichie168) · 2023-06-03 --- **大家好,我是加密里奇, 猪脚饭爱好者** **欢迎关注**[**我的推特**](https://x.com/cryptolfggo)**,主页经常更新各种撸毛教程,喜欢的话欢迎关注、点赞和转发,你们的鼓励是我写教程的动力,一起学习,共同进步!** 数字钱包是存储和管理、使用数字货币的工具,是Web3冲浪的入口,不管是链上交易还是撸空投,钱包安全始终是排的第一位的。相信很多撸友都被盗过钱包,当然我也不例外。作为一名2016年就入圈的老韭菜,我自以为链上行为已经够谨慎了,但还是被盗钱包了,可见钱包安全是多么的重要。自从被盗钱包后,我一直耿耿于怀,虽然被盗的资金不多,但却警醒了我,到底要怎么样才能最大程度保护钱包安全呢?于是我花了1周时间,整理了这篇关于钱包安全的文章,希望能帮到撸友们。撸友们有什么钱包安全事故以及经验也可以在推文底下补充,大家相互借鉴,保护好自己的钱袋子。 ### 一、常见的钱包安全问题 **1.助记词或私钥丢失** 部分用户使用钱包时,习惯截图保存助记词在手机,或者复制保存在手机备忘录,一旦手机损坏或者丢失,意味着钱包也随之丢失; 有一定安全意识用户,会将助记词手写一份,但没有保存好,当手机损坏或者别的原因导致手机钱包需要重新导入助记词时没有助记词,却发现找不到助记词了。 **2.助记词或私钥泄露** 用户将秘钥/助记词通过截屏、拍照或者拷贝粘贴,然后同步保存在云端,例如通过邮件、QQ、微信、网盘、笔记等进行传输或存储,攻击者会通过攻击这些云端平台账号,从而盗取私钥/助记词。或者用户不小心在群聊或者别的社交渠道,泄露了助记词,相当于看到你助记词的所有人都可以动用你钱包里的资金。 **3.假冒客服骗取私钥** 别有用心的人会伪装成客服在社群里活跃,并经常热心解答社群成员的问题。当有用户出现转账或者提取收益求助时,假冒客服会主动私聊联系用户协助其处理,通过耐心的解答,发送伪装成去中心化网桥的工单系统,让用户输入助记词解决其交易异常,一旦它拿到私钥后会立即盗取资产,并拉黑用户。 **4.钱包升级邮件** 攻击者收集到你的邮箱地址,然后以官方的名义给你发送升级链接到你的邮箱,有的用户就以为是APP 需要升级就点进去了,下载后使用与官方无异,但是会收集用户信息,一旦你输入私钥助记词等,你的钱包就被盗用了。 **5.二维码盗币** 攻击者将预先准备好的恶意二维码发送给用户,然后诱导用户使用钱包扫描二维码进行转账,用户输入指定金额后确认转账交易(实际运行的是用户approve授权资金给攻击者的过程),随后用户钱包内资金丢失(攻击者调用TransferFrom转走用户资金)。 **6.恶意软件** 攻击者将木马病毒植入exe或者apk文件中,当你下载了并安装软件后,攻击者就能轻松获取你的设备信息,包括钱包助记词、私钥。 **7.空投盗币** 攻击者伪造成交易平台或者DeFi/NFT项目,通过媒体社群发起可明显薅羊毛的空投活动,攻击者诱导用户使用钱包扫描二维码或者签署交易领取空投,实际上空投交易中写好了恶意授权,随后可以轻松转账用户资金。 **8.钓鱼链接** 攻击者通过克隆一个知名区块链项目,通过精心设计成同原始真实项目一模一样的假项目钓鱼网站,对于精心设计的这个钓鱼网站,普通用户无法辨别真假,通过各种渠道发布这些信息,以假乱真,这样即可轻易引诱用户访问钓鱼网站并引导他们输入帐户密码或密钥,盗取用户钱包中数字资产。 ### 二、如何保证自己的钱包安全 **1.安全储存助记词、私钥** 1)采用手抄等物理方法保存,并在不同地方保存备份 2)确保手抄的准确性,多次校验 3)不要截屏、拍照、拷贝、粘贴,避免将数据同步到云端 4)不要使用邮件传输或存储私钥 5)不要将私钥导入未知的第三方网站 6)不要在被偷看,监控状态下显示私钥,输入密码等 7)不要将私钥发送给任何人 8)不要使用QQ、微信等社交网络传递,避免泄露 9)不要明文存储在电脑,防止木马攻击 10)大额资产建议用硬件钱包或分散在靠谱的交易所 **2.资金转存安全** 1)转账时反复确认转移地址和所在链是否正确 2)分批次转移资金,小额资金转移确认收到后,再正常转移资金 3)地址转账时可能出现字符错误,建议使用二维码转账 4)大额资产与常用资产分类, 大额资产存入硬件钱包,小额常用资产存入在线钱包 **3.安全意识很重要** 1)不要点击来源不明的网站,一定要对官网进行反复验证 2)浏览器及时更新,使用人数较多的钱包插件,极少使用的插件可能会读取数据 3)手机电脑安全更新,及时进行数据备份,不要进行越狱及root破解 4)在官方渠道下载正版软体,手机做好备份预案 5)明确交易签名内容,避免资金被莫名授权和转移 6)选择大的邮箱厂商Gmail、outlook等,陌生邮件不要点击,不要轻易打开可疑的链接和附件 7)你的熟人可能被攻击 比如TG让你发资金或者链接 8)切勿相信一切以索取私钥为理由的空投代币行为 9)如果钱包私钥曾泄露需要立即停止使用该钱包 10)使用独一无二的账户密码,使用密码管理器软件比如1password、lastpass 11)尽可能不要连接公共Wi-Fi 12)避免让别人知道你的生物纹(指纹,眼纹,声纹,脸纹等等) 13)养成经常清授权的习惯,特别是不小心点了恶意授权资金还没被盗,一点要及时清理授权,常用的清授权网站是:[https://revoke.cash/zh](https://revoke.cash/zh) 14)电脑安装钱包安全插件,可以参考我这条推特 [https://x.com/cryptolfggo/status/1764311321427017767?s=46&t=1c54PCqTG\_rvYz5jEaRNgw](https://x.com/cryptolfggo/status/1764311321427017767?s=46&t=1c54PCqTG_rvYz5jEaRNgw) 以上就是我对钱包安全知识的整理,知识来源于网络,如有雷同,纯属巧合。大家有什么钱包安全的知识或者被盗经历可以在推特下面一起探讨交流。 [https://x.com/cryptolfggo](https://x.com/cryptolfggo) --- *Originally published on [加密里奇](https://paragraph.com/@cryptorichie168/web3)*