# 区块链知识5:如何保护自己钱包资产的安全? By [FAB公链讲解员小K](https://paragraph.com/@fab-k) · 2023-07-21 --- 我们前面给大家解释了什么是钱包,以及使用过程中的一些问题,还是有朋友让再详细的讲一下我们应该如何保护自己的钱包安全,资产安全。其实这种资料网上一搜会有一大堆,但是很多仅仅只是说了概念,都是笼统的讲述一下钱包安全的问题。没有具体的一些建议,看完之后对我们保护钱包安全没有什么太大的帮助作用。 今天,我们给大家详细的梳理一下钱包使用过程中的各种问题,重要的是,我们在网上资料的基础上,给出大家具体的建议,并解释清楚为什么需要这样做,帮助大家妥善的保护自己的钱包。这些建议同样适用于亿币钱包。 可能造成钱包不安全的因素 ------------ 1、私钥丢失:部分用户使用钱包时,会习惯性将私钥复制或截图保存,如果手机丢失或者损坏,助记词可能永远丢失。这里要强调的是,不要单纯的复制粘贴私钥,你手机里所有的软件都会调用你的剪切板,并且默认开启调用剪切板的权限,不论安卓还是苹果,如果下载了什么恶意的软件,私钥(助记词)就全暴露了。很多朋友可能对此不屑一顾,但这很重要,切记! 因此,大家可以在应用管理中,取消软件访问剪切板的权限。 2、骗取私钥:攻击者潜伏在社群中,发送一些虚假的智能合约、虚假的网址、虚假的信息等,骗取用户的私钥后盗走资产。也因为去中心化,资产丢失没有人可以帮你找回。亿币之前就出现过这种情况,已经及时的清理出去了。 此外,他们也可能复制这个区块链项目,通过精心设计成同原始真实项目一模一样的假项目钓鱼网站,对于精心设计的这个钓鱼网站,普通用户无法辨别真假,通过各种渠道发布这些信息,以假乱真,这样即可轻易引诱用户访问钓鱼网站并引导他们输入帐户密码或密钥,盗取用户钱包中数字资产。 还有就是利用各种热点,诱导用户授权钱包、下载不必要的软件,比如NFT预售、合约升级、项目更换网站、中签等为由,发送钓鱼链接,其实是精心模仿的官方网站、预售平台,app下载链接等,用户稍不留意就会掉入攻击陷阱。 因此,我们建议大家,做任何一个项目,一定要优先关注官方的社交媒体、关注官方的公告信息、仔细检查官方的网址和智能合约,切记。 3、恶意软件:黑客以某些加密货币资源的名义,将应用程序添加到Google Play商店,或者通过网络钓鱼的方式,欺骗用户下载该应用程序,该应用程序实则为一个恶意软件,当下载、启动该应用程序后,攻击者即可控制受害者电话或者手机,然后允许攻击者窃取帐户凭据,私钥等更多信息,导致钱包被盗。 此外,黑客等潜伏在各个社区,掌握了一定信息后定向攻击这个项目,发送伪造的官方app升级链接,下载后使用与官方无异,但是也会收集用户信息,私钥助记词等。就像我们上面说的,你手机里所有的软件都有权限调用你的剪切板。 4、空投骗取钱包授权:这个攻击主要是指TP钱包、imtoken等钱包。攻击者伪造成交易平台或者DeFi/NFT项目,攻击者通过媒体社群发起可明显薅羊毛的空投活动,攻击者诱导用户使用钱包扫描二维码或者签署交易领取空投, 随后受害者账户大量资金被转走。(攻击者在空投交易中写授权,使得受害者将资金授权给攻击者预先写好的地址)。 还有一个,骗子将预先准备好的恶意二维码发送给用户或者发到社群当中,诱导用户使用钱包扫描二维码进行转账,用户输入指定金额后确认转账交易(实际运行的是用户approve授权给别人钱包权限的过程),随后用户钱包大量USDT丢失(攻击者调用TransferFrom转走用户USDT) 也有一点也很重要,可能很多人也不重视。有很多朋友将秘钥/助记词通过截屏、拍照或者复制粘贴的方式,同步到了云端,例如通过邮件、QQ、微信、网盘、笔记等进行传输或存储,黑客有可能无差别攻击这些云端平台账号,从而盗取私钥/助记词。 如何保护自己的钱包安全? ------------ 1、私钥安全存储方法: * 私钥尽量手抄,并且要有多个备份。或者,大家在复制助记词(私钥)的时候,不要复制全面,分多个单词复制,比如我只复制前10个单词,后面2个单词我写下来,放在其他地方保管。 * 确保助记词的准确性,多次校验。每一个单词都要反复确认,错一个单词、一个字母都不行。 * 不要截屏、拍照、复制、粘贴,都会将数据同步到云端。或者参考我上面讲的,只复制其中一点。 * 不要使用邮件传输或存储私钥。更不要通过微信、支付宝、QQ、推特等等将私钥发送给任何人,信息根本不安全。这些都是不允许的。我就亲眼见过有人将助记词发送到微信的文件传输助手里,说是永久保存。这就是纯属将自己的资产拱手送给别人。 * 不要将私钥导入未知的第三方网站,尤其是一些虚假的网站,做的和官网一模一样,但却是在后台盗取你的助记词,盗走你的资产。 * 不要在被偷看,监控状态下显示私钥,输入密码等。 * 不要存储在电脑上,电脑可能有木马等软件。 * 大额资产建议用硬件钱包。如果你的资产量比较大,或者你就是担心不安全,建议可以买一个硬件冷钱包,可能是个U盘、卡片,例如,Ledger Nano S、Trezor One、elite Wallet等等,可以根据需要购买,大家在网上查看一下每个冷钱包的作用和优势,再确定。 2、资金转存方式: * 转账时确认转移地址和所在链是否正确,一定要仔细辨认是哪一条链上的地址,比如你是ERC20的U,可是你转到BSC链上去了,不仅到不了账,而且你的资产就丢失了,切记! * 分批次转移资金,小额资金转移确认收到后,再正常转移资金 * 很小的概率下,可能复制的转账地址会出现字符错误,这个时候就使用二维码转账; * 大额资产与常用资产分开, 大额资产存入硬件钱包,小额常用资产存入在线钱包。一定要做资产分离,你要是觉得这个资产是大额的,那就和你经常使用的钱包彻底分开,不要放同一个篮子里,但这个时候,你就要确保大额资产的钱包助记词(私钥)的安全了 3、安全意识: * 不要点击来源不明的网站,一定要对官网进行反复验证,并通过官方的社交媒体,公告等进行确认; * 浏览器及时更新,使用可信任的钱包插件,例如metamask钱包插件; * 手机电脑安全更新,及时进行数据备份,手机不要进行越狱及root破解,这都不安全; * 在官方渠道下载正版软件,或者在谷歌商店、苹果商店下载; * 选择大的邮箱厂商Gmail、outlook、QQ邮箱、新浪邮箱、网易邮箱等等,陌生邮件不要点击,不要轻易打开可疑的链接和附件; * 你的熟人可能被攻击,比如TG让你发资金或者链接; * 切勿相信一切以索取私钥为理由的空投代币行为。也就是我们之前文章说的钱包授权问题。不要随便将钱包授权给任何一个项目方,尤其是使用TP、imtoken的用户。而且一定要明确交易签名内容,避免资金被莫名授权和转移,这一点我们上一篇文章详细讲过; * 如果钱包私钥曾泄露需要立即停止使用该钱包; * 使用独一无二的账户密码,使用密码管理器软件比如1password、lastpass; * 尽可能不要连接公共Wi-Fi,本就不安全,他可能读取用户正在使用的软件的所有信息,甚至直接读取手机里的各种信息; * 避免让别人知道你的钱包密码等。 FAB公链大生态 ======== FAB公链已经有多个生态正式开始运行,包括各种链游、商城等等,再加上我们之前介绍的基于FAB打造的各种生态,未来也会有更多基于FAB公链开发的生态上线,我们社区也将继续给大家分享讲解,助力大家在区块链web3.0的时代,打造属于自己的商业版图。 1、去中心化钱包+去中心化交易所([exchangily.com](http://exchangily.com/) 所有交易手续费100%分红给亿币交易所代币EXG的持有人) 2、去中心化数字货币支付工具— Pay.cool支付,基于区块链的Web3.0时代的支付宝。 3、去中心化电商([madearn.com](http://madearn.com/)) 4、NFT交易平台([collectiongala.com](http://collectiongala.com/)) 5、去中心化溯源系统ID Dock(身份验证系统) 6、DeFi生态应用([Biswap.com](http://biswap.com/)) 7、链游平台([gamearm.com](http://gamearm.com/)) 8、去中心化供应链DSCmap 如果您觉得好,请推荐给您身边的朋友并关注,谢谢您的支持! 也欢迎大家关注或收藏咱们频道,未来也将呈现更多的知识、教程。 --- *Originally published on [FAB公链讲解员小K](https://paragraph.com/@fab-k/5)*