缘起昨晚有个 NFT 项目开放白名单 mint，一会之后朋友就说钱包被盗了。再然后被盗钱包的人越来越多，项目方也随即关闭了 twiiter 和 DC，这是一次有组织有预谋的诈骗行为。 一般而言，链上操作的老韭菜都会知道，一定要保存好自己的密钥或者助记词，这样能防范钱包被盗的情况。进阶一点知道不能乱点不明来历的网站，不要随便授权一些链接，这块的诈骗会在大项目之后特别多，比如年中的 moonbird 和猴地发售之后，也发生过多起 NFT holder 被盗的情况。 简单预防的手段就是 Mac 电脑 + 硬件钱包，对于来历不明的网站，使用空币钱包去链接，也可以租一个服务器，丢服务器去查看，一旦有问题，重装服务器系统即可。 那这次事件是如何发生的呢？在打开项目的网站后，也没有做过任何链上的确认动作，钱就被项目方从口袋里给掏空了。这其实是 Metamask 的签名在搞鬼。技术分析ETH RPC上面的 ETH RPC 是用户和以太坊网络交互的入口，节点执行的是 JSON-RPC 协议，简单理解就是统一规范发送网络请求，这一块东西是很底层的了，大致就是下面这个样子。对很多 dev 来说都不友好...

缘起昨晚有个 NFT 项目开放白名单 mint，一会之后朋友就说钱包被盗了。再然后被盗钱包的人越来越多，项目方也随即关闭了 twiiter 和 DC，这是一次有组织有预谋的诈骗行为。 一般而言，链上操作的老韭菜都会知道，一定要保存好自己的密钥或者助记词，这样能防范钱包被盗的情况。进阶一点知道不能乱点不明来历的网站，不要随便授权一些链接，这块的诈骗会在大项目之后特别多，比如年中的 moonbird 和猴地发售之后，也发生过多起 NFT holder 被盗的情况。 简单预防的手段就是 Mac 电脑 + 硬件钱包，对于来历不明的网站，使用空币钱包去链接，也可以租一个服务器，丢服务器去查看，一旦有问题，重装服务器系统即可。 那这次事件是如何发生的呢？在打开项目的网站后，也没有做过任何链上的确认动作，钱就被项目方从口袋里给掏空了。这其实是 Metamask 的签名在搞鬼。技术分析ETH RPC上面的 ETH RPC 是用户和以太坊网络交互的入口，节点执行的是 JSON-RPC 协议，简单理解就是统一规范发送网络请求，这一块东西是很底层的了，大致就是下面这个样子。对很多 dev 来说都不友好...