# 区块链、crypto、web3、加密资产安全常识(下) By [littleflyingpiggy](https://paragraph.com/@littleflyingpiggy-2) · 2022-10-10 --- 如果觉得我的内容对你有帮助,欢迎关注我的[推特账号](https://twitter.com/flying_piggy1)和小红书[账号](https://www.xiaohongshu.com/user/profile/5dcdf00f000000000100410b?xhsshare=CopyLink&appuid=5dcdf00f000000000100410b&apptime=1672565199):飞猪聊web3,获取更多web3的安全知识、基本技能和实用资讯 如果需要更具体、系统、有针对性的教程指导,如果需要更具体、系统、有针对性的教程指导,欢迎大家私聊咨询哦 ![](https://storage.googleapis.com/papyrus_images/0bdc98b42f6e3d4c0558691d4d2a50f1c6c4f7a506892a035fd83e393f8649fb.png) 去中心化钱包作为管理个人链上资产的工具,在我们探索web3.0的世界中扮演着一个非常重要的角色,如果缺乏钱包安全常识,在很多时候就容易踩中各种陷阱,造成资产损失,所以今天这个部分也是我们整个课程体系中非常重要的一个环节。毕竟大家也不想辛辛苦苦在链上赚了一些资产,然后不小心误操作,一朝回到解放前吧?蔡叔曾经告诫过我们要警惕系统性风险,我认为大家从开始的时候就注意学习和提高自己的资产安全意识和操作技巧,就是避免系统性风险的非常好的方式。 在钱包安全方面,我主要会跟大家从钱包下载、助记词私钥保存、资产隔离、钱包使用这五个方面给大家介绍应该掌握的钱包安全使用规范。 **(1)钱包下载** 钱包下载方面我们需要注意的问题就是一点,一定要找到真正的官网去进行下载,至于如何找到真正的官网在上面网站搜索的内容里已经介绍过了,大家在找到imtoken和metamask官网之后,可以自行尝试去找到币安和okx的官网 **(2)助记词私钥保存** 助记词私钥保存方面我们有两个注意点,分别是助记词和私钥的生成和导入、助记词和私钥的备份和保管 **助记词和私钥生成和导入** 我们要记得先关闭设备上的网络链接,在断网的情况下显示助记词和私钥并做好备份和进行导入,以防在联网的情况下电脑上安装了恶意的浏览器插件窥探到我们的助记词或者私钥。 **助记词和私钥的备份和保管** 我们在记录助记词和私钥的时候,一定要注意不要截屏、拍照或者复制传输,因为在设备联网的情况下,任何一个环节都有可能造成助记词或者私钥的泄露,进而造成财产损失。 理想的情况下,我们应该是断网手工誊抄,核对无误后一式两份;但是鉴于私钥有64位之多,手工抄写万一有错误也会造成资产损失,那我们可以采用分段、乱序、随机替换的方式来进行复制和粘贴,只要最后我们记得正确的规律就行,但是这个规律自己一定要记好,不然就该轮到我们自己头疼了。 在助记词和私钥备份之后,我们还需要考虑的一个问题就是保管,如果你的这份资产有不少,那么保管主要考虑的问题就是要避免单点风险,我们抄好的这两份助记词,用不透光防水袋包裹好。一份放你自己身边认为很安全的地方,最好不要被外人轻易找到。另一份,放在你可以非常信任和安全的地方,比如银行保险柜。这样做,目的是容灾备份,万一有一天你家里地震或火灾,来不及取出助记词,你至少还有一个地方可以找回。 **(3)资产隔离** 所谓的资产隔离就是根据目的创建不同的钱包来盛放不同的数字货币资产。每个想要了解web3世界的小伙伴都建议至少配置2-3个钱包 **两个钱包的配置方式:金库钱包+交互钱包** 金库钱包只用来存放大额资产和价值nft,或者用来把资产和nft进行转出的操作 交互钱包用来进行交互项目、mint新兴nft、购买资产等操作,如果购买了价值nft,要在购买之后立刻转移到专门存放资产的钱包里,不要留在交互钱包中,以免自己无意识批准了某些钓鱼合约造成资产损失。 **三个钱包的配置方式:金库钱包+交易钱包+交互钱包** 金库钱包只用来存放大额资产和价值nft,或者把资产和nft进行转出的操作 交易钱包用来在二级市场购买出售nft,或者在可靠的dex上进行swap操作,只把当前要交易的nft或者token转移到这个钱包里 交互钱包用来进行交互项目、mint新兴nft等风险较高、安全性不确定的操作。 这样进行资产隔离,能够避免单点发生问题不至于损失全部资产,可以很好的规避系统性风险。 可能有的小伙伴不是非常理解为什么交易还要单独创建一个钱包,这是因为不论是我们要进行NFT出售还是某些token的兑换操作,本质上都是把获取我们NFT或者token的权限赋予了某个要进行交互的合约;所以我们在上架NFT售卖的时候会有一步approve collection批准权限的操作,而这个权限是针对该NFT整个系列的; ![](https://storage.googleapis.com/papyrus_images/79533dd62fe4724be8e9c91ec49ff25685815239552e4b4e275f359856d4ab46.png) 在DEX上进行token兑换的时候,也要先有一步允许调用该token的操作,这个操作是针对该种token的。 ![](https://storage.googleapis.com/papyrus_images/fabf838a40dfa03dbe5bd407ea21e5f2c36dbfc3a3ab5d6bc014763b93687ecf.png) 如果我们批准权限的这个合约被黑客攻击了,或者我们的这个权限因为我们操作不当被黑客恶意调用了,如果我们钱包里存在同一系列的NFT或者同一种类的token,那么都会面临损失。 所以我们要来进行交易的钱包最好只用来进行在可靠的网站上进行交易,这样可以减少钱包里各种授权的的权限被恶意调用的机会。 如果一个钱包在助记词和私钥没有泄露的情况下,钱包里只储存资产,不进行任何操作,不给授权,不交互,那么哪怕黑客也是没办法攻击到这个钱包的。 **(4)钱包使用** 在钱包使用方面,我们需要注意的安全点有点多,但是核心技巧就一个:认真检查每一次钱包弹出的操作信息,确认是否是自己想要执行的操作,确认无误之后再操作;如果是看不懂的方法名或者信息,就终止操作,多方验证无误之后再进行。 比如下面是一个伪装成freemint网站的钓鱼网站,点击页面上的freemint按钮,在钱包中弹出的不是mint的操作而是发送ETH的操作,这肯定就是有问题的,我们要及时停止操作。 ![](https://storage.googleapis.com/papyrus_images/b3157058c1ae59c70c84de98dee7d1005d4e8cb7ccc79474124f54f767e48eff.png) 下面我介绍几种比较重要的钱包安全使用方面的操作技巧 **A不要随便点击任何不明链接和附件** 哪怕是在你信任的discord群组里,哪怕是你信任的人发送的,因为你不能保证对方的账户是否被黑。前一段时间,bayc的discord都被黑过,发布了虚假的链接造成了价值nft的损失,还有一位知名OG因为在电脑上打开过一个钓鱼邮件的附件,结果导致钱包中的nft和币全部损失。一定要时刻记住两大原则:保持怀疑、持续验证 ![](https://storage.googleapis.com/papyrus_images/98985c8429a7d69b48ea2cf3145838b652b34b34aab5793604f32c8783d78325.png) **B不要盲签,如果要签名,一定要注意核对签名信息无误** 在现实生活中很多场合我们需要进行签名,签名的作用就是通过字迹来证明这是经过我们本人确权的,是有法律效应的。在钱包应用里,数字签名和现实中的签名类似,也是要证明你签署的信息或者交易确实是你本人发起的,如果我们对于一项操作进行了签名就代表我们确认了这个操作是我们发起的,所以我们要进行签名操作的时候一定要注意核对我们签名的对象是谁?以及签名的操作是什么。 比如下图左侧就是我们登陆opensea的一个签名操作,签名的来源是opensea的官网,签名的目的是为了接收opensea的服务条款。 如果我们进行的操作是登陆opensea,但是弹出签名的来源是其他陌生的网站,那就必须立刻停下来检查,很有可能是进入了错误的网站。 而下图右侧这种看不出你签名到底是进行了什么操作的签名就叫盲签,这里我是在X2Y2上进行一个上架的操作,因为我知道这是在干什么所以签名没关系,但是大家如果是陌生的网址进行盲签就一定要格外小心,还是那句话,如果你看不懂自己在操作什么那就直接终止操作就行了,错过总比做错强。 ![](https://storage.googleapis.com/papyrus_images/cf89c443c0e4b1c32489bb74d8c847accfc2c1ebe85e6ee2c4d9616acc048b85.png) **C不要轻易授权** 在链上进行的很多操作,本质上都是让我们的钱包对某个合约进行授权,授权之后,合约就有了一定权限,可以对我们钱包种的某些资产进行一定的操作,比如当我们在一些dex(去中心化交易所)上进行swap(兑换)操作时,第一次需要授权dex的swap合约,允许合约调用我们要兑换的代币。同理还有我们如果要在opensea上销售nft的话,也需要把调用nft的权限给opensea。 比如下图的左边就是当我们要在os上架一款nft的时候,需要把操作该nft的权限给opensea的Proxy合约地址(尾号是4101的这个合约),这一步授权是通过调用set approval for all这个function进行的。右边是数据里可以看到具体授权的内容是传入了一个被授权的地址(尾号是4101的这个)。 当我们进行完这一步操作之后,尾号是4101的这个合约就有权把我们对应的NFT collection转移到另外的地址上。 ![](https://storage.googleapis.com/papyrus_images/a6312ca91156a3796eafc8b073312afc911fcecfc5ccf0c3b3b6a9ce65e890b7.png) 因为授权操作是如此的重要,所以当我们要进行授权的时候一定要非常的谨慎,看清楚要授权的内容和授权对象才可以操作,而且也不要用存有大额资产的钱包随便授权,不确定的项目不要授权;授权代币的时候要注意进行数量限制,不要批准无限数量的授权。 ![](https://storage.googleapis.com/papyrus_images/03db7251b2e17b3cf8ed990973ed935775ce7b520042a7ef4d2b20679cf0d2fc.png) **D重视系统的安全更新,有安全更新就立刻行动。** 不论是电脑的操作系统,还是chrome浏览器,如果有更新的话一定要立刻更新。前一段时间chrome疑似存在重大安全漏洞,进行了一个紧急升级,各个应用和各路大佬都第一时间提醒大家升级,所以注意及时更新操作系统的升级信息,第一时间升级也是提高安全性的一种方法。 **E使用单独的浏览器身份安装浏览器扩展钱包。** 俗话说木桶的盛水容量是由最短的那块板决定的,因为钱包的安全是如此重要,大家对于钱包的安全往往非常重视,但是大家不要忘记,浏览器扩展钱包归根到底还是安装在浏览器上,浏览器上安装的其他插件的安全与否一样会影响到拓展钱包的安全。而很多浏览器插件的安全却往往被人忽视。 鱼池的创始人神鱼大佬曾经说过:浏览器插件权限太大,而开发者往往又没有那么重视安全,每同时装一个浏览器插件,约等于主动请一个木马7\*24围观你的链上操作,如果插件再存在漏洞,那么就约等于把冷热钱包签名的数据给别人。 所以大家如果要使用插件钱包,最好一个插件钱包使用一个新的浏览器用户,不安装其他插件钱包和其他插件。这样可以最大限度的降低风险。比如下面我就是把cosmos公链的keplr钱包和metamask钱包用两个浏览器进行了隔离,大家也可以把不同的metamask钱包装在不同的浏览器里 ![](https://storage.googleapis.com/papyrus_images/e3d4d98edf725d95afe050384e162e78df6d37295adbb3a58d4c296654ccbfc8.png) **F不要点击钱包中不明代币和不明NFT** 钱包地址中经常会收到大量不知名的代币或者NFT,乍一看好像还很有价值,很多人会以为这是空投,想要进行卖出的操作,但这往往就是骗局,大家以为的上架或者卖出的授权操作其实恰恰是把权限给了骗子控制的地址。所以如果我们发现了钱包中不明代币或者NFT,千万不要轻易进行任何操作,因为很有可能你不知不觉就进行了给别人授权调用你钱包中币的操作,那样别人就可以轻易转走你的NFT或者token。 一般来说,有价值的空投都是有门槛的,而且需要你提前进行了一定的操作,比如ENS空投,莫名奇妙就收到的东西,基本都是坑。 **G谨慎对待陌生电话和陌生短信** 前一段时间有一种新型骗局就是打着gj要清退大陆用户的旗号,伪装成公检法或者平台工作人员,要求用户赶紧把资产转移,并提供了新的平台地址或者进行全程联网操作。利用了现阶段zc监管的压力,让用户造成恐慌的心理,从而乖乖进入圈套。这种类型的骗局每隔一段时间都会有花样翻新的说法但是仍然会有为数不少的人中招,大家需要对此提高警惕。 当然随着web3领域的发展,财富效应的加成,会有越来越多骗术和诈骗手法出现,我们需要不断学习,保持谨慎,才能在这个暗黑森林里成为自己的保护者。 如果觉得我的内容对你有帮助,欢迎关注我的[推特账号](https://twitter.com/flying_piggy1)和小红书[账号](https://www.xiaohongshu.com/user/profile/5dcdf00f000000000100410b?xhsshare=CopyLink&appuid=5dcdf00f000000000100410b&apptime=1672565199):飞猪聊web3,获取更多web3的安全知识、基本技能和实用资讯 --- *Originally published on [littleflyingpiggy](https://paragraph.com/@littleflyingpiggy-2/crypto-web3-2)*