# 如何让metamask钱包不被盗？

By [heixia](https://paragraph.com/@heixia) · 2023-02-17

---

1、有条件的话，尽量用苹果MAC电脑，因为苹果生态的封闭性，下载软件必须在appstore，而病毒软件是很难上架appstore的，而windows电脑下载软件就很容易，一不小心就可能下载到病毒。

案例一：

![钱包被盗案例一](https://storage.googleapis.com/papyrus_images/3751fc47bc68caf766181fbb840057a1ecc69a4626d68c4842fb97f705f7c60a.png)

钱包被盗案例一

案例说明：推特一个中文博主，钱包被清空，原因是骗子伪装成链游“项目方”，让博主测试他们的去中心化链上3A游戏大作，然后这个所谓的游戏大作.exe，直接读取metamask的存储路径，把加密的私钥数据盗走，并且使用弱密码碰撞，或被盗的其他账户密码碰撞，最终资产被盗。

案例链接：[https://twitter.com/BoxMrChen/status/1566053823281410050](https://twitter.com/BoxMrChen/status/1566053823281410050)

案例二：

![案例二](https://storage.googleapis.com/papyrus_images/cc57a4c3786aca824e6a6315a3455d892f4d0bc395c598ca5b142e359729e3ee.png)

案例二

和案例一原因一致，也是下载测试了骗子所谓的“区块链游戏程序”，私钥数据被盗，钱包清空。

案例链接：[https://twitter.com/Phyrex\_Ni/status/1567807898407018496](https://twitter.com/Phyrex_Ni/status/1567807898407018496)

案例三：

![案例三](https://storage.googleapis.com/papyrus_images/cb767f8e0fa81df2b7c9cfd44315c610e5e7b391b55c5d7a16369e8085a2a7b8.png)

案例三

30万youtube博主，电丸科技AK博主，因为商务合作下载骗子的“视频剪辑”软件，导致账户被盗，之后账号被用于虚拟货币诈骗直播。

案例链接：[https://www.youtube.com/watch?v=CB7m8-VMKzw](https://www.youtube.com/watch?v=CB7m8-VMKzw)

案例4：

![案例四](https://storage.googleapis.com/papyrus_images/8bfbc7bd01a3ef74abce639b993db72ffc379de64762666245b424fad88cba7c.png)

案例四

推特博主NFT\_GOD在谷歌搜索OBS直播软件，在谷歌广告推荐下载的，几个小时后，钱包里的资产全部清零。

案例链接：[https://twitter.com/NFT\_GOD/status/1614442000958324739](https://twitter.com/NFT_GOD/status/1614442000958324739)

案例五：

![案例5](https://storage.googleapis.com/papyrus_images/78490ac44507105ab5fc63e4224a289b4099273ed5834aa82de78fb7ea181985.png)

案例5

因为在电脑上下载了“腾讯手游”（大概率是非官方网页下载的），导致13个钱包15万美金的资产被清空。

案例链接： [https://twitter.com/zoujw/status/1615997179734392835](https://twitter.com/zoujw/status/1615997179734392835)

2、根据以上被盗案例，全都是用的windows系统电脑，所以如果用win电脑的话，**有钱包的电脑尽量不要下载任何其他软件**，因为木马病毒可以伪装成各种类型的软件，甚至伪装成PDF文档。

3、**钱包私钥被盗后，数据依然是加密的**，黑客骗子并不能直接获取钱包私钥。所以**钱包访问密码**，**要额外设置**，不要用其他账户的常用密码，最好16位大小写字母+数字+符号，这样即使被盗，黑客想硬破解密码，基本也要上百年。

4、学习密码学知识，了解各种加密方法和破解方法，知道黑客如何盗取，从各种路径上防范。比如上面5个案例中，4个加密货币被盗案例都是名为redline木马病毒。

5、深入了解了redline木马病毒，和密码学知识，就会知道，黑客也没那么神，并不是敲几下键盘就能控制你电脑，都是通过各种社会技巧，欺骗别人下载他们的病毒，并主动运行他们的病毒，他们才能只能获取你的数据，而且是被加密的数据，黑客无法通过加密数据直接知道助记词或私钥，还需要访问密码，如果没访问密码还是一场空，这时他们需要测试你的其他社交软件账户的密码，看是否能访问钱包，绝大多少人都是一样的密码，如果还不行，就要用“密码词典”不断测试了，密码词典就是曾经数据库泄露的各种密码，因为人类设置密码就那些些规律，出生日期手机号啥的。其实说白了就是“试”“碰撞”，如果你的密码恰好比较简单，被试出来了，那就悲剧了，私钥被访问，资产清零。所以为了避免被黑客“试出来”密码，密码首先就是要长，要包含数字，大小写，和符号，这样可以最大化密码的可能性。数字10种可能，小写字母26种可能，大写字母26种可能，符号34种可能，如果长度是16位，随机一点，那可能的密码可能就是96的16次方，有6万万亿种可能，这要是试出来的话，那得是猴年马月了。

![](https://storage.googleapis.com/papyrus_images/0d45e044b8368c8b7240d2588f754d8dec0074f69759a1afd49ee4bd70a46e9c.png)

不过最好还是不要下载病毒软件，更不要轻视黑客，木马病毒能做到事很多很多。

![](https://storage.googleapis.com/papyrus_images/52a6152899f872c18b4ee3c1174d4cecdf77cfa00241dafe12291458c0feca68.png)

最后：上述案例都来自社交媒体公开信息，希望本文的能警醒网友们的安全意识，总结一下，1、有条件尽量使用苹果mac电脑。

2、如果是win系统，有钱包的电脑尽量不下载任何软件。

3、钱包访问密码尽量长，建议16位长，包含数字，字母大小写，和符号。

希望大家养成安全习惯，避免悲剧再次发生。

另外要感谢下：

慢雾安全团队 推特账号@SlowMist\_Team

Cos(余弦) 推特账号：@evilcos

23pds 推特账号：@IM\_23pds

很多安全认知都来源他们的分享。

---

*Originally published on [heixia](https://paragraph.com/@heixia/metamask)*