# 加密钱包被盗56万美元 做到这6点有可能降低被盗风险 By [初晓链](https://paragraph.com/@mengjiang) · 2023-11-15 --- 作者:初晓链 推特:@LolaJiang2 牛市到熊市,除了接受现货价值缩水三分之二,甚至跌掉90%的市场现状外,更难受的是钱包被盗。 2023下半年,随着熊市越深入,黑客越活跃,越来越多钱包被盗,不少人一夜归零。 据我的社群不完全统计,9月6日,一群友被盗21wu;10月23日,一群友被盗23wu;10月25日,一群友被盗2ku;11月7日,一群又被盗16ku;11月14日,一群友被盗11wu;其他我没看到,没有公开损失的,就数不胜数了。 粗略计算这5个朋友损失就超过56万美元。 这些只是我的几个社群玩家里几个钱包的遭遇,其他社群,其他玩家,甚至其他项目,时不时就被黑客攻击,动辄损失上亿美元。 上周孙割旗下的Poloniex项目被黑1.26亿美元,孙割想提供了5%的白帽赏金,让黑客主动归还,没有得到黑客回复。 ![2023年链上累计被黑73.4亿美元](https://storage.googleapis.com/papyrus_images/f2a00513cf8c724caf1f232a6bedd7af6a96c51958c75977f4e6d30d412126fc.png) 2023年链上累计被黑73.4亿美元 区块链的去中心化技术特点,让玩家不受中心化的约束和规则,同时也带来双刃剑的另一面; 只要拿到钱包助记词,或找到漏洞,就可以轻松拿走钱包资产,没有客服中心,没办法拦截或追回。 普通玩家拿现货,盯合约,做交互,赚波段,一点点累计的余额,一朝钱包被盗直接归零。 几个玩家都是链上钱包被盗,钱包下载后也使用了一段时间,但就在某天余额被莫名转走了,钱包归零。 这些钱包没有做交互,没有额外授权,钱包也是在官网下载的,但不知道哪个环节助记词泄露了。 搜索黑客的钱包地址,还持续有从其他钱包的大额转入,但毫无办法,不知道钱包背后主人是谁,不知道黑客钱包私钥和助记词,也没办法做任何操作。 链上资产被盗,BJ也不一定被受理,得到的回复是虚拟资产,自负盈亏,不予协助。钱包被盗只好默默承受巨大痛苦和损失,毫无挽回余地。 ![链上钱包可追踪但匿名](https://storage.googleapis.com/papyrus_images/1c082b6b817e351104b6eb35b0ed5017d547669c5be007278b3d18c5028cae92.png) 链上钱包可追踪但匿名 数字钱包使用有门槛,只能尽可能防患于未然,做好充分准备,尽量在每个环节做好防护。 **①从官网钱包下载** 市场上有几百种钱包,一些项目也有专门的操作钱包,根据钱包使用需求,选择本地保存密钥,代码开源的钱包。 初晓链做交互和项目互动时,主要是metamask,或使用项目方推荐的钱包插件交互;存放加密资产使用bitpie。 目前比较少在群里和社交媒体上看到使用这2个钱包被盗的情况,metamask开发团队是国外,bitpie应该是国内团队开发的。 其他OKX、Coinbase、Trust等钱包有交易所背景,也比较少听到负面消息,使用的人也比较多。 一般通过官网下载,官网不要通过搜索获取;不要点击别人主动分享给你的官网或下载链接。 ![数量众多的web3钱包](https://storage.googleapis.com/papyrus_images/890a34ea21ba9ebd453e37d323c632516ff760b51f21797072e8079bfda9dfe0.jpg) 数量众多的web3钱包 **②物理记录助记词** 助记词一定不要通过复制黏贴在记事本,或截图保存在相册/电脑/收藏夹,每一次复制或截图保存都增加了助记词泄露风险。 手机里所有应用app都可能会扫描用户的粘贴板,只要一次复制就有可能被保存和上传对应数据库,助记词已经泄露。 手动抄写助记词,并妥善保存,用本子记录下来,多个本子分开存放和备份。不要随便抄在一张纸,因为下次很有可能找不到这张纸了。 嫌麻烦也方便了黑客,被盗时不知道是哪一次不小心导致的。妥善保存好钱包助记词,如果丢失或损坏,任何人都打不开钱包,里面的资产就永久锁定了,自己也悔不当初了。 ![抄写助记词](https://storage.googleapis.com/papyrus_images/6213e76f9b95d18d976a8438cc9df863dcad8b0c40baecbad9898abf08d02e01.jpg) 抄写助记词 **③避免助记词泄露** 前面提到的朋友,自认为是在官网下载的钱包,钱包也没有登录任何其他项目,手机环境也很干净,依然被盗,也有怀疑是钱包开发团队本身问题。 是不是在创建钱包时,助记词已经被记录在后台,被监控了?有大额进账时,资产就被盗了?当然这没有证据。 还有个朋友有合伙人,有女朋友,是不是钱包助记词被认为泄露,导致资产被转走了?也有可能,但也没办法证明。 或者是钱包助记词记录在手机里,或者截图保存在相册,被扫描了,都有可能。 有些恶意app故意监控用户钱包,扫描助记词,上传到数据库,并实时监控,钱包一旦有大额,就被转走了。助记词泄露,钱包不受控,资产被盗。 **④谨慎操作合约授权** 还有一些钱包登录了某些项目,进行合约交互。有些智能合约本身有风险漏洞,就是为了盗取钱包的,一旦钱包授权登录后,钱包主动权就授权给别人,别人也可以操作了。 如果是保存较多余额的钱包,不要做任何授权,只使用转入或转出功能,避免任何授权风险。 如果是专门撸空投做交互的钱包,授权某些项目时也要注意,确认是官方链接再进一步操作,如果授权一些钓鱼站点,钱包也会被盗。 不要相信社区提供的下载链接,或者项目链接,有可能登录授权后,账户就被盗了;或者助记词泄露,钱包不再安全了。 可以在revoke.cash查看授权的情况,取消可能存在的风险链接。 **⑤硬件钱包** 大额资产还可以使用硬件钱包,相对更安全。 硬件钱包离线产生助记词,助记词也要妥善保存,硬件钱包使用不需要联网,可链接蓝牙,操作后就不联网不做任何授权,相对更稳妥一些。 目前市面上常见硬件钱包如Ledger,OneKey,trezor等,也需要通过官网购买,类似U盘,不联网不交互,相对更安全。 **⑥不要相信任何TG官方交流群** 所有tg链接都可能存在风险,所有私信你的,也基本上都是骗子。 如果被拉到一些tg官方交流群,还积极回复问题,如果你被盗了,还积极处理的,大概都是骗子。 ![虚假官方交流群的钓鱼官网](https://storage.googleapis.com/papyrus_images/4f1349a8319e9b30507d531095e8f657421e5d2fff8d4978a96d112f81446b31.jpg) 虚假官方交流群的钓鱼官网 当然,如果以上这些你都做不到,那也可以选择放在头部交易所,在交易所每一次操作都需要邮箱,手机验证码,谷歌验证器等多重验证,相对安全。 唯一要堤防的风险就是交易所会不会倒闭或跑路,因为一旦网站登不上去,资产也不受自己控制,提不走了。中心化的平台,可以直接冻结用户账号和资产,而且你也无能为力。 任何方式都有一定的风险,正视风险,尽可能在每个环节降低风险操作,每次偷懒都可能要交高昂学费,动辄几千上万美元。 每次风险操作也不会有提示,一旦发生就无法挽回,造成永久损失。 加密市场充满机会,每个机会都隐藏对应风险;每一次认真对待,有可能减少一次巨大损失。 以上只是个人看法,无投资建议。我是初晓链,我在关注加密市场和web3。 --- *Originally published on [初晓链](https://paragraph.com/@mengjiang/56-6)*