# 区块链、crypto、web3、加密资产安全常识(上) By [littleflyingpiggy](https://paragraph.com/@littleflyingpiggy-2) · 2022-10-10 --- 如果觉得我的内容对你有帮助,欢迎关注我的[推特账号](https://twitter.com/flying_piggy1)和小红书[账号](https://www.xiaohongshu.com/user/profile/5dcdf00f000000000100410b?xhsshare=CopyLink&appuid=5dcdf00f000000000100410b&apptime=1672565199):飞猪聊web3,获取更多web3的安全知识、基本技能和实用资讯 如果需要更具体、系统、有针对性的教程指导,如果需要更具体、系统、有针对性的教程指导,欢迎大家私聊咨询哦 ![](https://storage.googleapis.com/papyrus_images/0bdc98b42f6e3d4c0558691d4d2a50f1c6c4f7a506892a035fd83e393f8649fb.png) 区块链的世界在某种程度上可以算是一个黑暗森林,在这里充斥着形形色色的骗局和风险,一不小心就容易翻车翻船造成资产损失,所以在今天的资产安全常识板块里,我会重点给大家讲一下想要在区块链的领域内愉快玩耍,我们应该具备何种安全意识和安全技能。 **一牢记链上活动两大原则:保持怀疑;持续验证** **保持怀疑** 所谓的保持怀疑,就是在区块链的领域内,我们一定不能过于相信别人,头脑中时时刻刻都要绷紧一根弦,不要因为某个信息是某个大V说的,某个链接是某个官网发的,某个币种是某个好友推荐的就掉以轻心……要知道,大v也可能收钱恰饭,官网也可能被黑客攻击,朋友的观点也有可能是错的。很多人的资产损失就是因为对别人过于轻信,看到大V喊单冲土狗结果是貔貅盘;看到官网发布了链接以为是mint地址,结果是官网被黑客攻击发布的钓鱼网站,损失了全部的贵重NFT;跟着朋友买小币种结果币价归零。让大家保持怀疑并不是要大家对人性丧失基本的信任,而是说要让大家对自己的资产负责任,毕竟在web3的世界里,代码即法律,如果你的资产损失了,不管是不是被别人坑蒙拐骗走,归根结底也是要不回来了的。 **持续验证** 上文说过了,我们对接收到的信息要保持谨慎的态度,既然有怀疑,就需要验证信息真伪,所以这就要求我们对接收到的信息有能力去验证我们怀疑的点。某个官网地址发布了mint链接,这个到底是真的还是骗子钓鱼的?我们在网上搜索到了一个数字货币钱包下载的地址,这个到底是真正的官网还是骗子搭建的假网站?任何一个我们怀疑的信息,我们都要经过至少2个可信渠道来验证无误后才可以将其纳入到我们的知识库中。 **二安全操作技巧** 接下来我会从网站查找、钱包安全这2个方面给大家介绍一下我们使用这些工具需要注意哪些常见的坑,今天我们先讲网站查找技巧,明天再来继续学习钱包安全使用技巧。 **(一)网站查找** 这里我们要查找的网站特指某个项目的官方网站,因为网络上各种形形色色真假难辨的钓鱼网站层出不穷,很多人就曾经有过因为在假的数字货币钱包网站下载到了假的数字货币钱包,造成了转入资产全损的惨痛经历,这里就给大家提供几种验证网站真伪的方法,大家可以结合起来使用彼此互相验证,可以更大程度上提高安全性 **(1)谷歌搜索** 通常来说,谷歌搜索的安全性和可靠性还是可以得到保证的,我们以搜索imtoken钱包为例,第一个油管广告是imtoken钱包自己的油管官方账号,第二个信息就是imtoken的官网,首页上出现的其他信息也都是imtoken官方的账号,比如googleplay下载,app store下载,领英账号等。 ![](https://storage.googleapis.com/papyrus_images/5fb1788305c915daa4867ef768bb641ea7536865981670d59cd41c0ccd1dd8cd.png) ![](https://storage.googleapis.com/papyrus_images/974799e11fb22b9824b4e0809a234495c85c37e50eba415f823146b37e6f6099.png) 与谷歌搜索对应的则是国内著名的搜索软件mou度,当我们在某度搜索imtoken的时候,我们会发现,现在排名第一位的确实是imtoken钱包的真正官网,而且它还会提示某度已经帮你隐藏了可能存在虚假、诈骗等问题的结果,但是在历史上,某度的搜索页面并不是这样的,真正的官网几乎在首页里都很难一眼看到,排名最前面的都是付费打广告的各种钓鱼山寨官网,造成了大量用户资产的损失。就像第二张搜索结果的展开图一样,只不过正、假的网站位置正好是颠倒的。 所以建议大家如果搜索涉及资产的应用和网站,还是尽量选择靠谱的搜索网站更安全。 ![](https://storage.googleapis.com/papyrus_images/48663694d8f4fefd26e9a580a8c2553ae6438ee4773dad41563ebdec9ecaec1c.png) ![](https://storage.googleapis.com/papyrus_images/a441d5fd471534e184b41f6c638aa31383710f5e270ca005f689ccc9dca31a9b.png) 当然我们说google搜索比较靠谱也是相对的,因为有时候google的广告系统也会有漏洞被恶意利用,造成钓鱼网站排名靠前的情况。前几天就出现了一例这种情况:google的广告推送系统被钓鱼网站利用,搜索X2Y2这个NFT交易网站出现在第一位的是一个钓鱼网站,造成了一些用户损失了NFT和部分数字货币资产,所以说,任何时候,我们都不能过于相信单一信息渠道,必须跟其他信息源结合起来做判断。 ![](https://storage.googleapis.com/papyrus_images/90236f7c1de92598fc12639bfe80b96cdd1320e6cbd543208f7a8cf11d009507.png) **(2)网站链接直接判断** 现在几乎所有的正规网站网址前缀都是https而非http开头的了,特别是涉及资产的网址,比如银行网址、支付宝网站和数字货币钱包网站。这是因为因为http的内容是明文传输的,明文数据会经过中间代理服务器、路由器、wifi热点、通信服务运营商等多个物理节点,如果信息在传输过程中被劫持,传输的内容就完全暴露了。劫持者还可以篡改传输的信息且不被双方察觉,所以我们需要对所传输的信息进行加密。https就是最常见的网站加密形式。 比如下图左边的是imtoken钱包的官网,右边是狐狸钱包的官网,这两个官网的地址栏前面都会有一个小锁的标志,我们把地址复制出来会发现前缀是https,这就说明该网站进行了加密处理,比没有进行过加密处理的http网站安全性进一步提高了。 ![](https://storage.googleapis.com/papyrus_images/f0999d781ef6d85b8b3138eb728cff573e4a45ef3408e71c4f00cbd36b817af7.png) 如果我们发现某个网站的网站不是以https为前缀,而是以http为前缀的,虽然不能百分之百说其是骗子,但起码会说明这个网站的主办方对用户的信息和资产安全方面的保护意识比较淡薄,哪怕是真的网站也建议最好要谨慎参与。 当然,并不是说有了https的前缀就一定是真正的官网,因为不少骗子的网站其实也使用了https加密,所以这个方法只能作为一种辅助,我们还是需要结合其他方法去进一步验证才可以得到确定性的结论。 **(3)推特搜索** Twitter(推特)是一家美国社交网络及微博客服务的公司,可以让用户更新不超过280个字符的消息,这些消息也被称作“推文(Tweet)”,每天推特上都有几亿的活跃用户。 对于项目方:推特由于其短平快的信息传播渠道和庞大的用户基数,已经成为各种项目的一个重要宣发渠道,一个项目可以没有discord账号,没有电报群组,但是一定会有一个推特账号;对于我们普通用户,推特作为币圈社交信息聚合中心,在我们探索web3的世界里扮演着一个重要的角色。 所以相比于直接搜索,我比较偏好利用推特来进行官网的查找,然后再根据一些信息来交叉验证查询到的官网到底是不是真正的官网。 我经常用到的判断信息有以下2种: 项目关注人数:明星项目,老项目推特关注人数非常多,一般都几百几千k,比如通过metamask的推特账号几千k进入metamask的官网然后下载metamask钱包就不会下到假钱包 你关注的人中有谁关注:如果关注的人多是大v或者知名人士,这个基本就是项目真正的官推,不太可能是骗子 然后把经过上面两步判断获得到的信息与我们通过谷歌搜索、谷歌应用商店搜索获取到的信息进行比较,如果一致,基本就是完全可信的 下面我会以搜寻下载最流行的metamask钱包为例来进行说明 **A在推特搜索栏中输入关键词,找出符合关键词的账号** ![](https://storage.googleapis.com/papyrus_images/631e2b980e9f6a331ffb24c1c69001affd12411b684d3a973f4ca99cb3aaf548.png) 在搜索出的选项中,除了第二个其他三个账户后面都有蓝色的认证对勾,这是说推特已经对账户进行了一次验证,但是有了认证的蓝对勾并不意味着就完全没有问题,因为也会发生账户被盗或者认证有误的情况,同时还有一些项目由于没有满足认证条件所以无法加上对勾,比如imtoken钱包就没有蓝对勾,所以还是需要我们人工再次进行判断。 \*\*B进一步判断。\*\*我们点击进入第一个真正的账户查看,根据以上的两个判断标准基本可以判断该项目就是真正的官网,但是为了保险起见我们可以再进行一步验证的操作 ![](https://storage.googleapis.com/papyrus_images/7ed73cfd4f62eec23375cc0e3b57429fd62897b192146baa99b597b6fa43a279.png) **C二次验证** 我们把从真账户推特主页中的找到的官网连接[https://metamask.io/](https://metamask.io/)和 从谷歌搜索[https://metamask.io/](https://metamask.io/)比较一下,发现是一样的 ![](https://storage.googleapis.com/papyrus_images/288153625cfe85a23b532284b4b501e9bd509818bd0a7b2bdd4a88ad42ecd03d.png) 如果我们能够熟练掌握以上三种验证方式,那么验证网站真实性的工作对我们来说将会是非常容易的一件事情。 如果觉得我的内容对你有帮助,欢迎关注我的[推特账号](https://twitter.com/flying_piggy1)和小红书[账号](https://www.xiaohongshu.com/user/profile/5dcdf00f000000000100410b?xhsshare=CopyLink&appuid=5dcdf00f000000000100410b&apptime=1672565199):飞猪聊web3,获取更多web3的安全知识、基本技能和实用资讯 --- *Originally published on [littleflyingpiggy](https://paragraph.com/@littleflyingpiggy-2/crypto-web3)*