自从「以太铭文」（ethscriptions）诞生已经快两个月了，市场上依然还有很多人没有进入参与到其中来。本文来聊一聊，从以太铭文发展史，以及笔者参与的项目，再最后参与的实战应用，具体应该如何操作。

就像早期的 brc20 一样，以太铭文目前也是处于早期阶段，甚至交易市场还没有一个对公众开放的，大多数早期交易都是通过微信群或者其他社交软件完成的场外 OTC 交易。

比如推特上各种 OTC 微信群：

以太铭文发展史

以太铭文发展到今天，实际上不到 2 个月的时间，最早是由推特上的这个外国老哥创造出的。

推特：@dumbnamenumbers

我回顾了一下，尝试着搜索 【ethscriptions】 关键词在他的推特里搜，第一次出现的时间是在 2023 年 6 月 17 日（但真正的时间应该比这个还要早，只不过推文被他删除掉了）：

当时他给出了自己的钱包地址，并且结合【以太铭文的官方网站】做了展示：

往下划一划，可以看到他近期打的一些内容，比如铭文以 .tree 结尾的“种树”项目，比如-59,-67的坐标项目（这些项目在后面我会一一介绍）。

第一个被创造出来的ethscriptions - eths

一般一个新的技术市场诞生，往往共识度最高且价值最高的就是被首先创造出来的。比如加密货币市场的 BTC ，比如 BTC 铭文生态的龙头 ordi 。那以太铭文也不例外，第一个被创造出来的铭文（eths）则是长下面这个样子的：

所以可以看到，以太铭文的样子类似 brc20 ，也是一串本文，最终如果成功打到了某一条铭文，则会被显示在官网上。

通过 NFT SniperSniper 网站，我们可以看到，当时 eths 被部署的时间是：

2023-06-18 05:46:11

我记得 eths 当时参与的时候，没用多久就被迅速打完了。同时，前一阵场外情绪非常高涨，OTC 的价格最高也达到了 270 u 一张。

具体的铭文内容，我会在后面的技术原理章节，详细介绍。

随 eths 被创造出来之后，又有几个铭文依次被创造（部署），比如下图的这几个，基本都是在同一天出来的：

以太铭文 “域名 市场”

上述提到的代币类型的风格文本之后，以太铭文的一阵风挂向了 eth 的域名，比如有人看好 .eths 结尾的域名，也有人看好 .eth 的文本域名，具体长什么样子呢，比如下面这样：

有意思的是，域名市场从传统 web2 到现在的 web3 ，一直都是短的数字价值最高，要么就是好记，要么就是有品牌效应。

所以，这个市场上就会有抢注的生意存在，比如前一阵刷推，看到 @静香小姐 发了一个推文，这种场景也经常在网站域名上看到，个人或者品牌产生的价值影响力：

随着 .eth 、 .eths 的发展过后，市场是有一个有意思项目方 @MetaForest 跳出来做了一个新玩法，就是你来打我的 .tree 域名结尾的内容，我就给你在我的网站上种树，编号从 1 开始比如 ，1.tree，以此类推，每多一个铭文，就会在他们官网上显示一个🌲的表情。

.tree的铭文长这样：

以太铭文 “NFT 市场”

除了这种文本类型的铭文通过该技术诞生，还有一种像素风格的 NFT 也被以太铭文的技术应用上了。

比如像创始人主页显示的一样，他可以把图片直接写进以太坊的链上，最终被官网识别到，这样就完成了图片的永久上链（如下图，他创造的笑脸图片）：

当然，这种只是他自己上传的，并不算真正的 NFT 项目合集。

前一阵，真正第一个出来的 CC0 项目（就是放弃所有权利，允许他们无条件地使用你的作品），且符合 NFT 风格的项目是下面这只小猫，一共一万只。

官网：

官方合集：

当初小猫咪的 mint 成本，大概在 1~2 u 左右，目前场外地板价差不多在 5u 左右。

目前一个多月，以太铭文上发展史差不多都有讲到了，当然，最火热的可能还是代币类的铭文，毕竟简单、粗暴，直接。

像前两天，推特把图标改了，蓝鸟变成了 X，这股 meme 风，先从 BTC 铭文市场上吹过，接下来也蔓延到了以太铭文的市场上：

以太铭文 “土地 市场”

元宇宙土地的概念，自从web3出来一直有被炒作，铭文世界也不例外。

第一个创作出以太铭文土地是国外的这名开发者，推特：@0xHirsch

官网：

坐标的规则是，0,0是最中心，以此向外延。长得内容如下：

技术原理讲解

这部分，我会尽可能的用人话去讲解，让技术小白也可以尽可能的理解，放心食用，不要看到技术两个字就有为难情绪。区块链世界多多少少都离不开技术的知识。

铭文内容铸造原理

我们就用 eths 这个铭文举例，我们可以根据官网上拥有这个 eths 的钱包，查看一下他当初创造这条铭文的格式是怎样的？

如下图，我们通过钱包去 etherscan 上搜一下，可以看到，40天前，第一条通过给自己转账到自己转账有一条交易记录（这条就是当时这个钱包铸造以太铭文 eths 发生的交易记录）:

点击去看一下这条交易记录，可以看到，这笔交易发生的内容，他做了什么事儿呢？

可以看到，from，to都是同一个地址，都是这个钱包自己的地址，也就是说他给自己转了一笔金额为0的转账操作，但和普通转账不同的是，在 input data 中，是刻有内容的：

现在这个 inputdata 显示的是计算机中 16 进制的格式，我们把这个 input 内容，选成 UTF-8 的时候，就会展示成下面能看懂的样子：

data:,{"p":"erc-20","op":"mint","tick":"eths","id":"7612","amt":"1000"}

可以看到，这笔铭文实际上被铸造的真正文本格式，就是长上面这样子。

来分别说一说文本内容的含义。

首先

data:,
前面这个 「data:,」 的内容，是官方定义的关键文本，不能被修改，一旦修改，官方的网站就识别不出来了，注意，冒号，逗号，均为英文。

早期也因为有很多人内容没写对，导致浪费了不少 gas 。

其次，后面花括号的内容：

{"p":"erc-20","op":"mint","tick":"eths","id":"7612","amt":"1000"}

p对应的是 erc-20 ,表示了当前这个铭文是属于什么类型的
op对应的是mint，表示了当前这个操作是mint，也就是铸造
tick对应的是eths，表示了当前这个铭文的名字叫什么，也就是eths
id对应的是 7612 ，表示了当前这个铭文的编号是 7612 
amt对应 1000，表示当前这张铭文最大的数量是 1000 个。

需要注意的是， 7612 这个 id 不能重复，一旦有人比你提前打了这张铭文，则以太铭文的官网则不会显示出来。

总结一下，以太铭文的技术上，其实就是以太铭文官方网址，通过检索区块链上每笔交易记录里的 input data 数据，如果你符合它的规则，那么，就可以被检索到，说明铸造铭文成功。而铸造这个动作，就是自己给自己转账，转账的同时，要把铭文的内容写入到 input data 中。

铭文内容部署原理

既然有铸造（mint）部分，那一个 以太铭文 不能被凭空直接 mint ，所以，需要先有一个部署的前置动作，还是以 eths 举例。

还是使用 NFT sniper 来看下部署 eths 的那条记录：

跳到以太铭文官网：

同理，我们去 etherscan 看下这条交易的 input data 内容是什么？

只需要把上面官网地址最后的这串 hash值复制下来，0x4636542d00d8075360d0303eb224c4ffb638169c23d6308aace55249b0bed2e4，去 etherscan 上搜一下，就是当时部署 eths 的那条交易记录了：

data:,{"p":"erc-20","op":"deploy","tick":"eths","max":"21000000","lim":"1000"}

来，有了上面的铸造时的解释，这里只讲不同的地方。

{"p":"erc-20","op":"deploy","tick":"eths","max":"21000000","lim":"1000"}

op:操作变成了 deploy，说明是部署的动作

max ，21000000 个数量，这里是为了限制铸造时的 id，21000000/1000，所以，铸造 id 最大为 21000 个，也就是 21000 张铭文。

lim ，每次铸造铭文，最大的数量只能是 1000 ，也对应上了为什么铸造时，"amt":"1000"要这么写

这里的 max ，需要大家算一下，max/lim ，这两个值做除法，得出的是最大铭文的 id 数字到底是多少，比如 eths ，最大的 id 就是从 1，到 21000，先到先得，铸造完就没了。

迄今为止，大部分铭文总量，基本都是 21000 ,不排除后续的新铭文会有变动，最稳的做法还是确认下比较好。

技术原理总结

以太铭文的技术上，其实就是以太铭文官方网址，通过检索区块链上每笔交易记录里的 input data 数据，如果你符合它的规则，那么，就可以被检索到，说明铸造铭文成功。而铸造这个动作，就是自己给自己转账，转账的同时，要把铭文的内容写入到 input data 中。

需要大家算一下，max/lim ，这两个值做除法，得出的是最大铭文的 id 数字到底是多少，比如 eths ，最大的 id 就是从 1，到 21000，先到先得，铸造完就没了。

目前以太铭文这种铸造后的方式无法进行分割，也就是 1000个数量 一张，交易也只能按最低 1000 买卖，现在官方团队也在进行铭文的分割协议开发研究，一旦支持了分割，最低单位就可以自由设定数量交易了，类似 BTC 铭文市场的结构。

实战环节

好了，技术原理讲完了，接下来讲讲实战环节。

推荐方式

更新时间2023年07月31日14:41:57，出了新的市场交易，支持一键铸造，强烈推荐：

比如下面的铭文：

https://www.etch.market/tokens/info?p=erc-20&tick=pepe

只要还有剩余，只需要点击黄色按钮即可完成：

方式一

我先说目前最常用的一种方式，大家可以直接去下面的开源网站，通过网站来进行铭文铸造。

https://ethscriber.xyz/

进入到官网后，4个步骤：

1. 第一步，链接钱包

2. 第二步，把你要打的内容，放到2的文本框里

3. 第三步，点击3的查重铭文

4. 第四步，铸造铭文

下面以打坐标举例：

当我填写： 1,1 的时候，点击查重，它会提示，已经被打过了，并且告诉当前是谁铸造了这个铭文。

接下来，我改个别的数字，比如： 40,-100 （注意铭文的逗号，都是英文的），像下面这样，就是没有被打过的坐标，available，可用：

点击 ethscribe 即可，小狐狸弹出，可以看到转账记录是从自己赚到自己：

点到 hex （这里就是小狐狸做转账记录时 inputdata 的 16 进制数据）我们看下：

0x646174613a2c34302c2d313030，这段内容是不是和下面打铭文网站一致？

其实打铭文网站帮我们做的事情就是，将坐标 data:,40,-100 这段文本转成了 16 进制，写到小狐狸给自己转账的 inputdata 框中。

最终 confirm 即可完成铸造：

然后就可以去下面的官方铭文网站，链接钱包，打开主页，即可看到自己的铭文了：

https://ethscriptions.com/

方式二

现在以太铭文的协议文本规范基本上定下来了，方式二可以当做防身用的技能，毕竟不止铭文可以这么用，任何你了解的土狗mint玩法，都可以通过16进制去mint。

在方式一的网站没出来之前，最传统的方式，其实是我们通过手动方式去 dune 上查重，查重后，在通过文本转 16 进制的方式，自己把 16 进制写到小狐狸钱包的 inputdata 中，最终完成铭文的铸造。

也不排除，后续如果有不是 data:, 开头的铭文出现，那么就得用方式二来铸造了。

大概路径如下，进入dune(查询起来很慢，因为数据越来越大)：

https://dune.com/queries/2644693

通过下面的搜索框进行搜索，如果没有搜到，说明没有被铸造过，文本改你想构造的id：

data:,{"p":"erc-20","op":"mint","tick":"eths","id":"7612","amt":"1000"}

接下来，谷歌随便搜一个【文本转16进制在线网址】，比如下面这个网站，把文本转成 16 进制：

https://www.bejson.com/convert/ox2str/

复制 16 进制到小狐狸，发起自己给自己转账的操作，写 0 就行了，然后把 16 进制直接复制到 inputdata 框中：

发起确认交易，最后查看操作同 方式一 一样即可。

eths交易网站:

下图是我早上在群里看到的，觉得总结的很好，直接拿过来分享下，不知道原作者是谁，在这里感谢下他的整理。

1、Ethscriptions官网: https://ethscriptions.com/

优点: 挂单的gas算是比较低的

缺点: 整体体验较差，项目方的合集官方并没有给方便的 入口

2、ETCH: https://www.etch.market/

优点: UI漂亮，界面简洁，拆分功能待上线

缺点: 需要验证的项目才能交易，撤单需要gas费

3、Ethsmarket: htps://www.ethsmarket.xyz

优点: 拆分功能已上线，但是经历了信任危机，目前使用的人较少

缺点: 只有eths给了合集，其他项目没有合集

4、Ethinscribe: https://ethinscribe.com/

优点:功能较丰富，拆分方案最简单，未经验证

缺点: 很多细节需要优化，索引优化中

5、Ordex: https://ordex.ai/inscriptions

优点:多链市场

缺点:以太铭文方面的功能较少

6、Eth-Scriptions: https://eth-scriptions.com/

缺点:目前只有NFT在挂单

7、Ethscribe: https://ethscribe.art/market

优点:多种格式的铭刻功能已上线

缺点:交易功能还未上线

可见，现在经历过 btc 铭文的市场洗礼，现在以太铭文交易所都在争夺市场，就看哪家先跑出来了。

结语

好啦，以上就是以太铭文整个发展史和实战操作了，希望对没有入局的新人有所帮助。

以太铭文的价值绝不止现在这么简单，毕竟铭文铸造的 gas 费用只需要一个转账的操作。相比以太合约层的 erc20 协议，便宜了不少。

同时，图片永久上链，包括 .eth 这类域名的索引未来也非常有价值，谁愿意每年都花上几百元去一直续自己的 eth 域名呢。。。

近期也经常能看到 ok、火币 两家交易所对以太铭文的持续关注，希望后续的市场可以慢慢崛起。

以太铭文也算是低成本，高赔率，何乐而不为呢？（各种防身，各种冲😂）

最后，我最近打算做个以太铭文的监控，打算用飞书群作为通知机器人。如果你也对这个市场感兴趣，欢迎关注我后续的推文。到时候做完了，应该会从推特上邀请一批人来尝试。

最后，我的推特是 @dami16z ，欢迎关注交流~

本笔记写于 2023年02月14日 ，在 TBP 社区内，参与🦑鱿鱼游戏所学所记录，仅供参考。

一、ip、账号相关

每个账号独立 ip 去做。vpn不适合去养账号，因为 vpn 线路是共享的，很有可能别人登录节点的时候，已经被封过号了，那么意味着 ip 被污染。无法确定 vpn 是否干净，看运气。推荐静态的住宅 ip。

老师的笔记tips：

1. 请选择高质量静态住宅ipv4 、移动代理ipv4，IP地址不要选择冷门的IP，比如俄罗斯 乌克兰 土耳其 印度。

2. 不要使用任何动态IP，若你使用动态ip，每次短时间登录时ip变化地点太大，就会被推特列为可疑操作，因为显示IP是：短时间内你的账号登录在多个国家 。这样会导致账号被官方进行风控或封号处理。

3. 每条 IP 登录的推特或 DC 账号不要超过2个。

4. 账号登录成功之后，3天之内尽量避免切换其它IP重新登录，避免账号因为异地登陆而被官方风控。

二、指纹浏览器

推荐1 - 比特指纹浏览器：https://www.bitbrowser.cn/?code=c48148 推荐2 - adspower跨境指纹浏览器：https://www.adspower.com/ （我个人用的是付费的，50个账号大概一年 1600RMB+，支持 selenium 脚本自动化编程）

静态ip的购买地址（船友推荐）：https://iproyal.cn/?r=134497 ip类型的选择，一般选择 socket5 协议。

登录默认选择 token ，比如登录【推特、dc、谷歌】。token 的概念，大家可以理解为一种登录时用到的凭证，有了这个凭证，且凭证在有效期内，就可以不用手动进行账号密码进行登录。大家可以理解为程序形式的一种快捷认证方式。

三、推特养号的关注点

推特的风控比 dc 要严格。不论是老号还是新号，都可以养号，至于养哪个类型，取决于项目方的设定，比如有些项目方会设置推特注册大于 3 个月。

如果在指纹浏览器里被风控了，可以把环境删掉。ip可以在试一下，如果还不行，说明 ip 也有问题，环境 + ip 一起换掉。 推特新号，先去设置个性签名，背景之类的，切记不要上来就关注人。

改完资料后，可以正常的点赞，评论，转推。每天不要关注的人太多，别一天关注成百人，一天发 5 ~ 10 条推文。每天按照这个操作去做，80%稳了。

手机号和邮箱双绑定，邮箱能登陆的上，手机号或者接码平台能收到的账号要相对好一些。比如单绑手机号和单绑邮箱的账号没啥太大的区别。

ps：大风控出现时，即使养的再好，也可能会被封掉。

手机号第一次验证的时候，可以选择删掉。因为接码平台重启手机验证会很贵，所以定期删除推特绑定的手机号，下次风控了，在重新绑定即可。过一段时间，再次删掉，在绑定新的手机号。

保证1个账号在1个指纹里，尽量不要点击登出，如果登出了，token会被刷新，相当于长期稳定的环境发生了变化，有可能会触发风控。

【如果账号被风控，一定要把环境删除，不要在用这个环境了。】

四、DC账号养号相关

dc 判断是注册账号的时间长短。账号权重高低和注册时间长短有关。不需要每天去登录，关注，聊天。不要频繁的用自己的号去发私信，官方对频繁发私信的账号有风控。如果 dc 的环境被封，可能要重装系统才能重置环境。

（我之前主账号dc被封过，但是后面是通过给官方发申诉，可以申诉回来的）

脚本控制的 dc ，注意每组账号进服务器的频率，单账号间隔建议随机 30s 以上。 尽量使用双绑的dc账号（手机号+邮箱）验证绑定。

dc也尽量用 token 登录，如果 dc 的 token 被泄露了，可以在设置中重置 token，一定要把之前的 token 重置，让它失效，否则有风险。

dc可以用邮箱解除风控。

五、成本相关

养号都是为了撸毛，算好成本。如果成本大于收入，则被反撸，不赚钱它干啥~:Topkek:

六、抽奖相关

不要短时间同时大批量关注官方的推特，dc 。 比如进 dc 或者关注，可以按照账号分组进行。

哈喽，大家好，我是大咪，目前玩 NFT 大概有快 10 个月了，第一次遇到了区块链的黑暗时刻，好在，由于提前有钱包资产隔离的概念，这次损失非常少，但这次的经历，确实让我学到了很多。

作为一个开发者，没想到，也会被区块链的钓鱼手法骗到，从去年入圈开始，就一直非常注重区块链的钱包安全问题，基本上把余弦大大和慢雾团队相关的开源文章都看了一遍，但这次，依然还是中招了。

强烈推荐慢雾团队出品的《区块链黑暗森林自救手册》

这次，恰好是中招了【人性安全-来自“官方”的钓鱼】！

希望本次复盘能对一些没有经历过的朋友有所帮助，有所启发，下面正式开始。

本篇内容会从开始被骗的逐一过程写起，每个步骤，我都写了后续复盘的心得，心得也就是后来觉得不对劲，补充上去的区块链知识点或者一些需要注意的地方，这样也便于阅读。

下面跟随笔者的步伐，来看一看钱包是怎么被骗的。。。

事情发生在 2023年01月25日 。早上爬起来，日常刷刷 dc 的信息，结果刷到 dudu 的 dc 时，发现一则公告，如下（打码一下，保护下 MOD）：

公告大意如下：因为是新年，所以要给 dudu 的 holder 们空投新年日历。但是，是先到先得，一共就 100 个名额。

注意，这里由于早上起来头脑还在懵逼的状态，黑客利用了“限额，先到先得”的心理，发出了这样的公告，让人没有空余的时间去思考。

因为看到时间是凌晨 4:00 多发的，我起床看到这条消息是 6:30 多，心想着，2个小时，快点去领应该还能领到，这时丝毫没有意识到这个是黑客的假链接。

复盘心得：

有了这次经历，下次发公告的时候，一定要注意，先看看域名眼熟不眼熟，如果是不眼熟的官方域名，需要注意，当然大部分第一次经历的，可能还是不会意识到这点。

进站过程

黑客的网址是：https://dudulunar.com/ （大家有NFT和金钱资产的钱包，就不要轻易尝试访问了）

长这样：

看到背景是 dudu ，也没有多想，全站就一个红色的 claim 按钮，和 dc 发的公告又很贴近，于是也没有多想，点！

弹出的钱包界面也很熟悉，是平时 mint 的常用组件：

到这步为止，一切正常。

复盘心得：

基于对临时活动的前提下，或者发现新活动的网站域名长得像官方域名的情况下，可以优先留个心眼，在浏览器上，先按下 F12 （打开浏览器开发者模式），然后查看如下图操作，点【sources】，找到类似 index 这样的 html 页面，如果在开头有这【mirrored .... by HTTrack Website】的字眼，就要注意了，因为这是一款复制已有的网站免费开源软件https://www.httrack.com/，经常被黑客用于复制钓鱼网站来使用，下图所示：

如果是有上图这样的，大概率是钓鱼网站了，也不用做什么后续操作了，直接关闭就好了。不要着急操作，不要 FOMO ，不要贪图小便宜的心理，静待官方后续公告就好了。

回到我后续的操作流程。奇怪的是，点击红色按钮之后，反应并没有那么迅速，于是又点了一遍，过了一阵，小狐狸弹出来一个 opensea 的提示框让签名，大概是下面这样的：

因为是 os 的协议签名，直接让我放松了警惕，想都没想，也没细看，直接拉到最底下，点了 sign ，就签名了。

复盘心得：这步就已经很离谱了，切记，不要相信任何第三方网站的“官方”签名，正是因为有 opensea 做了信任背书，我才会选择信任签名，因为这个操作，metamask是不会给你提示危险签名的，它就是由黑客的网站用技术手段调用到了 opensea 上挂单的动作，触发了小狐狸钱包签名的动作。以后除了 opensea 上触发的签名，其他网站发出的签名动作，一定要三思而后行！

签名和授权是两个概念，签名更像是你在做认证，让程序知道是你，对于结果而言，只有是或者不是。而授权则是你将权限授权给谁，你授权给 opensea，那么 opensea 就能操作你的钱包 NFT 资产。签名不需要花钱，授权一般是和合约交互，所以需要上链，要花 gas 费用。

除此之外，可以看下 opensea 上专门写了一篇关于 seaport 前面请求长什么样子：：https://support.opensea.io/hc/zh-cn/articles/4449355421075-%E9%94%AE%E5%85%A5%E7%9A%84%E7%AD%BE%E5%90%8D%E8%AF%B7%E6%B1%82%E6%98%AF%E4%BB%80%E4%B9%88%E6%A0%B7%E7%9A%84-

这里，强烈推荐，陈剑大佬2022年写过的一篇文章，很早之前就有这样的套路了，奈何我没有看到：

https://jason.mirror.xyz/9z9cPEU6mLHf0vvvimEFXAcc1J7GCzbomft09XhNIWU

实际上背后的原理，就是利用了跨站，调用 opensea 的挂单方法，导致黑客可以 0 元直接转移你的资产。

签名完成后，突然崩出来一个让我授权 NFT 的操作，类似下图，只不过，当时显示的NFT是 【megami】，而不是【pop fighter】：

我此时意识到情况不对了，快速选择了拒绝。

然后接下来，更离谱的弹出来一个资产转移的链上动作，此时才清醒过来，这是上了钓鱼网站了，可以看到即使我点了，小狐狸依然没有提示危险，因为这是一个正常的和链上合约交互的动作：

点击红框的地址蓝字，我们直接复制下来，去 etherscan 上看看（https://etherscan.io/address/0xd13b093eafa3878de27183388fea7d0d2b0abf9e），左上角已经提示了，是有风险的，钓鱼黑客合约地址：

我们进合约看看，可以看到这个方法，就是一个很简单的支付方法，里面啥也没有，意味着，黑客网站通过链接你的钱包，读取了你的钱包所有资产，对这个合约的方法【SecurityUpdate】发起了请求，由于它是 payable 修饰的，相当于是可以直接接受资产：

用人话说，你的资产，全部进了这么一个简单的钓鱼合约，由前端页面发起支付，转账到它的合约地址里，然后他留了一个提现的方法，只能是部署这个合约的人操作。

我们用慢雾团队出的 mistrack 可以追踪一下：https://dashboard.misttrack.io/address/ETH/0xd13b093EAfA3878De27183388Fea7D0D2B0AbF9E

迄今为止，一共收到过 840+ ETH（太尼玛赚钱了。。。）

跳到中国时区，我们看看链上的作案时间，如下图，凌晨居多一些：

还有一个地址转账的图形，我就不放了，大家有兴趣可以自己去网站看看。

回到 NFT 正题，如果你看完了陈剑大佬那篇文章（https://jason.mirror.xyz/9z9cPEU6mLHf0vvvimEFXAcc1J7GCzbomft09XhNIWU），你应该知道，我最后的结果还是被盗走了一个 MEGAMI。因为当时手里只有 MEGAMI 在挂着单，其余只要没有授权挂单过的 NFT ，都平安无事。

来看看链上的数据吧：

上 etherscan，搜自己的钱包，然后点击到 721 这块看转移记录：

能看到详情：

由钓鱼网站钱包地址（https://etherscan.io/address/0x69420e2b4ef22d935a4e2c194bbf3a2f02f27be1）：

但凡是 match orders 方法，基本上都是和我中了一样的套路，不论是哪个网站进去的，最终都是利用了 os 订单匹配的原则，比如下面这笔，损失惨重，不仅被顺走了 NFT ，还有 WETH 也被

顺走了：

对于黑客盗取 NFT 来说，他们的资金归集采用的是不同的钱包地址，比如上面这笔交易，和我被盗的交易就不是一个钱包。

总结一句话：钓鱼网站诱导你完成了对 OpenSea 挂单，并且发起了撮合(matchOrders)的签名上链操作。

注意：这里有个不能意料的风险，就是黑客通过网站让你签名，而你不知道签名是否离线保存了，中招了，还是新换个钱包吧，以防万一。

幸运的是，我这个钱包里，只有一个处于正在挂单的，其余的 NFT 都还安好，而 dudu 这次处理最终处理结果是愿意赔偿，因为是由公告发起的，而不是聊天频道。这波还是很欣慰的，格局拉起来了~

这里也要说下对于项目方的 discord 建议，黑客手段频繁发生，很多都是社工手法，而突破点往往都是 dc 管理员的身上， dc 作为社群沉淀入口的，一定要控制好权限问题，必要时，可以缩权来达到防范作用，因为拥有大权限的人越少，黑客入侵的概率相对也要低。

安全措施防护

1. 一个误区

自欺欺人的操作，以为从小狐狸钱包断开网站的链接，就安全了，大错特错。

其实，你仔细看看小狐狸的提示，我们平时链接网站，仅仅是他们能读取到你的地址以及资产而已。这步本身就和链上交互没有太大的相关性，如果拿到了你的私钥或者签名，就算不链接你的钱包，也可以直接操作你的资产。

2. 推荐一个钱包插件

官网：https://www.pocketuniverse.app/

chrome：https://chrome.google.com/webstore/detail/pocket-universe/gacgndbocaddlemdiaadajmlggabdeod?hl=zh-CN

签名前，会先额外提示资产相关风险：

3. 定期取消授权

取消 NFT 授权，目前有两种常用的方式，一个是通过 etherscan ，一个是通过 revoke。

网址：https://etherscan.io/tokenapprovalchecker

网址：https://revoke.cash/

4. 资产隔离

资产重要的钱包可以采用硬件钱包，可以将自己的钱包分为几层钱包组，比如重要蓝筹 nft ，用硬件钱包隔离，平时不常操作。

中等高频交易的 nft 单独采用 metamask 。

冲土狗的小额资金，也可以单独新建钱包来使用。

0元购陷阱的相关文章推荐

陈剑大佬：

https://jason.mirror.xyz/9z9cPEU6mLHf0vvvimEFXAcc1J7GCzbomft09XhNIWU

PANews：https://www.panewslab.com/zh/sqarticledetails/uzkkjx4i.html

慢雾团队：https://www.panewslab.com/zh/articledetails/e5oufrll.html

余弦老板：https://twitter.com/evilcos/status/1590289321046990849

好了，以上就是本次被盗的全部复盘，作为一个开发者都没有意识到自己一步步落入黑客的手中，直到看到 setApprove 才意识到自己危险了。更何况，没有编程基础同学的意识。。区块链的安全依然是有门槛的，大家一定要不断学习，不断进步，才能存活下来。

希望这篇内容可以对大家有所帮助，也欢迎随时来推特 @dami 与我交流。

嘿，大家好，我是大咪，之前一直关注编程领域。现在入区块链的世界半年，不断关注了NFT、撸空投等领域，偶尔写一写自己的心得体会。目前是 @TBP 的船员，欢迎更多的小伙伴来交流探讨。

同时，也欢迎关注推特：@dami

距离上次写游戏苑那篇文章，已经过去有一段时间，当时评论区留言反馈比较多的是，大家希望可以写一写如何通过技术手段，提前获取到自己白名单的 merkle proof ？

当然，如果你是已经编程领域的老手，对于爬虫，网络请求都已经非常了解，那本篇可以忽略，本篇文章的面向人群，是非技术领域的 NFT 玩家，本篇尝试用通俗易懂的语言来把原理给大家讲清楚，并且通过举例近期的 NFT 实战项目告诉大家方法。

那么，今天就来用最近我参与过的 NFT 项目，一一来举例。

上篇文章回顾详见，游戏苑文章：https://mirror.xyz/yidakoumi.eth/0Lnbf4ZhFJHM3zlO--JFQr3HTktqKeHsIJlz6ln0_H8

浏览器 & 网络请求

在正式开始之前，我需要先来科普一下，浏览器和网络请求的一些知识，这些知识不用担心看不懂，我尽量以通俗易懂的图去讲解。

正常情况下，当我们访问一个网站，我们都需要用到浏览器，比如，当我们访问百度，它背后到底发生了什么，我们就能看到百度的主页了？

下图是一个正常我们访问网页的流程：

我们通过访问浏览器，让浏览器发送一个网络请求到对应的服务器，最终服务器在把数据给我们返回，当然，我这里省略了很多细节，比如浏览器对页面的一些渲染之类的。

对于非技术小白来说，只需要明白上面的流程，我们在网页上看到的一些数据展示，都是通过远程服务器给我们返回的，服务器，大家可以理解为一台性能很好的电脑即可。

那，当我们在 MINT NFT 的时候，和项目方做的前端网页究竟发生了怎么样的流程？他们又是怎么获取到我们的 merkle proof 的，我来按照项目来给大家举例。

举例的顺序，是按照从容易到困难，从常见到极端。

NFT实战举例获取 merkle proof

获取 Merkle Proof 一般是在开始前获取，我们可以提前登录到项目的 MINT 网站，然后分析网络请求。以下例子仅限于项目把合约开源了，如果是合约没有进行开源，那就没有意义了。

比如当时的 dudulab ，合约没开源，都是从前端 mint 的，当时网址还被冲击崩掉了几分钟。

后端服务器接口返回 Proof

先来讲第一种情况，就是和上面网络请求原理一样，由项目方的后端服务器算出你的 merkle proof，通过网络请求将数据给你返回。

Friday Beers

这里第一个案例，讲的是 Friday Beers ，10月底，一个永远的痛，当时在推特非常火热，但是如果你当时没来记得跑，那么最终一定是亏了不少。

让我们来看看，当时他们的网站是什么形式去获取白名单的 merkle proof 的？

1、下图是当时他们的官网，我们可以在页面上右键，点击 inspect ，如果你是中文，这个单词是检查

2、然后可以看到浏览器下图会弹出来一个铺满代码的新的窗口，点击到 Network，即网络

3、然后我们可以通过最简单的方式，直接 Ctrl + F ，搜索关键词【proof】，可以看到下面的图：

在文章上面的时候，我们介绍了网络请求，而下面你看到的这些一行行数据，每一行就是一个网络请求。

4、当你单击地址后，可以看到这个网络请求的网址是什么：

同时，如果 Request Method 写的是 GET ，说明我们是可以通过浏览器直接访问这个网址的。

5、复制 Request URL 的地址到浏览器打开：

我们可以看到，这便 Friday Beers 项目方，通过服务器后端给我们返回的 Merkle Proof。

6、为了好看一些，我们可以把浏览器这个内容全部复制到 json.cn 的网址中，让它自动格式化下，下面的 proof 的内容，便是你当时的 merkle proof 了，如果想通过合约 mint ，只需要观察白名单的 mint 函数是否需要 proof 进行传入：

当然，这里教大家一个小技巧如何确认，一般使用 merkle tree 作为白名单的项目方，都会在合约的记录中，有一个 Set Merkle Root 的动作，搜到了，一般就是说明当前合约白单使用的是 Merkle Tree，

打开 etherscan ，可以 Ctrl + F 搜索下：

Machina

有的时候，由于开发人员对命名规则的不同，你不一定能上来直接搜到 proof 相关的网络请求，那怎么去观察查找呢，这里以本周 Machina 项目为例。

1、依然是浏览器打开【右键-检查】，弹出下面的窗口，点击到 Fetch/XHR ，这个菜单的选项意思是，动态数据的网络请求，都会被过滤出来，然后按顺序从上到下，看看有没有【wl】或者【你的钱包地址】的相关关键词，如果有，一般这个网络请求，就是从服务端获取到的 proof 请求：

2、找到后，点击到 Response ，顺便点击下左下角的花括号，可以很好地格式化当前的网络请求响应数据，然后你可以找到 proofs 的内容，便是你的 Merkle proof：

游戏苑

有些时候，还有一种情况，获取 proof 的网络请求，会在网站开启 MINT 的时候，才会触发后端获取 proof 的真正网络请求。

比如当时的游戏苑，如果你通过上面的两种方式去查找 proof ，会发现压根找不到请求。而游戏苑就是这种场景，点击 MINT 后，才会触发后端获取 proof 的真正网络请求。

但大家可以从上图看到，实际上 MINT 的时候，按钮是置灰的，我们从前端页面是点击不了的。那么，该如何做？

还是同样的操作，我们可以利用【右键-检查】，先去点击左下方的箭头，然后在点击到项目网站的 MINT 按钮：

单击后，可以看到下面的代码变亮了：

然后可以发现，源代码中，有个 disable 的英文，我们双击一下这行代码：

删掉后，回车，你会发现，上面的 MINT 按钮变得可以点击了：

后面的操作就正常了，和上面介绍的两个项目中一样，点击后，触发真实的网络请求，得到自己的 proof 即可。

PS：这招是 @TBP 前端大佬 @梁哥 教我的，收获颇多，感谢，这里不得不在吹一波 TBP ，氛围是真的好。。各种氛围，懂的都懂~

前端代码算出 proof

海盗

我印象里，海盗这个项目当时 MINT 合约是没开源的，记得当时 @梁哥 直接撸了一个在线生成 proof 和 16进制的小工具打算给群友使用。

虽然海盗当时 mint 没开源，但是海盗这个生成 proof 的案例，确是一个很好的案例。

因为海盗当时的 Merkle root 原地址，是写到前端 js 代码里的，下面来教大家，如果项目从后端接口中没有返回 proof，那么前端如何查找到自己的 proof。

1、首先，如果你知道自己是白，那么，同样的操作，按照下图，点到 NetWork（网络），点击到 JS 菜单（目的是过滤出 js 相关文件），然后 Ctrl + F 直接搜素自己的白单钱包地址，

然后最关键的一步，靠耐力和经验，通过 js 的文件名，猜测哪个文件是最有可能包含真实信息的，当时我看有个叫 mintxx.js ，意思就是在 mint 时候，和浏览器发生交互的 js 文件：

2、直接单击，同样点击到Response，然后左下方的代码格式化：

3、格式化好后的代码很整齐，但由于浏览器不便于查找，你可以全选，复制：

4、开发人员一般都有 vscode 编辑器，对于非技术人员，你可以直接新建一个 word 或者 txt 文档，直接粘贴进来。

然后全局搜索自己的钱包地址：

可以看到，var sc = 后面的这一堆地址，就是要生成 Merkle tree 的源头钱包地址，对 merkle tree 原理不熟悉的同学，回顾我这篇游戏苑文章：https://mirror.xyz/yidakoumi.eth/0Lnbf4ZhFJHM3zlO--JFQr3HTktqKeHsIJlz6ln0_H8

有了全部的白名单钱包源地址和你自己的地址后，我们可以通过下面这个网站，直接生成自己的 merkle proof：

https://lab.miguelmota.com/merkletreejs/example/

用法如下，把你拿到的所有钱包地址，全部复制到 input 框里，然后选到 Keccak-256，点击计算即可：

下面找到自己的钱包地址，便可以获取到对应的 proof 了：

最难搞的一种情况

tsukimi

如果是合约中，需要带签名的这种，对于技术小白来说就直接放弃吧，花钱使用现成的工具，或者直接求助于有代码功底的朋友。

什么样子的合约 mint 是签名类的，就像下图的 tsukimi 一样，在合约中找到对应的 mint 方法，一般都有个下面的名称：

我们也可以找到一笔成功的链上数据去看下：

如果是有编程经验的人，需要了解 web 逆向相关的知识，与其说是逆向，不如说是断点调试的功底，只要会用浏览器 debug ，打好断点，一步步找到对应的加签方法，最终还是能跑出结果的。

结语

好了，以上就是本文的全部内容了，希望你看完后能有所收获。

关于合约 MINT 的详情，看第一篇内容比较好，我当时在测试网上部署了游戏苑的合约，有需求的小伙伴可以联系我哈！

PS：欢迎更多有才能的小伙伴共同加入 @TBP 一起在 NFT 世界航行，共创社区~

嘿，大家好，我是大咪，之前一直关注编程领域。现在入区块链的世界半年，不断关注了NFT、撸空投等领域，偶尔写一写自己的心得体会。目前是 @TBP 船员。

欢迎关注推特：@dami

游戏苑是10月近期一个比较热的项目，总量 8888 ，官方锁仓 4444 ，白单超发，每个钱包白单可以 mint 2个，每个 0.07777。

 其项目背景和团队都非常强（mint后，大咪又听了下官方 mod 的 AMA ，说是目前接触的项目方中， web2 资源实力已经是位列前茅的了）

• Founder - @Rock，是日本第二大的广告公司-博报堂的前CCO/副社长，目前是跨国广告公司Zero Unity的CEO，专攻digital service/brand marketing，Web2/Web3资源与经验丰富。

• 艺术家 - 主设计神护熊平，他的3D视频在Youtube播放量高达一千万。其余艺术指导/创意总监，在日本设计圈内也是小有名气的人物。

在9月底的时候，就有看到很多 alpha 社区在 call 了，同时，游戏苑和各大社区的合作白明显有超发的趋势。

在白单超发的情况下，必然当天是异常火爆的，所以，提前做好抢购工作的常见手段有 4 种。

1. 普通用户，通过官网页面点击 mint （火爆项目往往前端都会经常性出问题）

2. 熟悉 etherscan 用法的用户，通过 etherscan 直接绕过前端进行 mint

3. 花钱的用户，比如有其他一些 mint 工具，可以直接通过工具和合约进行交互 mint

4. 有自己的 mint bot 的科学家，通过代码层面的机器人直接进行 mint

但，以上四种，对于游戏苑来说，绕不开的都有一点，就是在进行合约 mint 的时候，关于如何拿到 merkcle proof，也就是现在热门项目所用到的 merkle tree （默克尔树白名单验证）。

可能看到上面的话述，对于普通玩家已经有点迷了，不要慌，@大咪会尽量用通俗易懂的话述解释清楚。

Merkle tree（默克尔树）讲解

首先，大家要知道，merkle tree （默克尔树）是个什么？

对于不懂代码普通玩家来说，它的概念你可以理解为计算机中的一种数据结构（数据结构可以理解为计算机存储数据用的"容器"），目前在 NFT 领域，经常被用于合约相关的白名单验证。

既然 merkle tree 中带了“树”字，大多数也是从现实生活场景中映射到计算机世界中的，生活中，我们都见过大树对吧，长这样：

它，有根，也有枝干。

而计算机世界中的 merkle tree 却是现实世界树的倒过来，根在最上面，"枝干"（枝干在计算机世界中，被称为，叶子节点）在下面。

我在网上找了一个比较清晰的结构图，大家可以看下：

 在 NFT 白单验证的过程中，我们把链上数据（钱包地址）作为 merkle tree 的叶子节点（也就是大树的枝干），由每个"枝干"（leaf node），再去生成最终的"树根"（merkle root）。

是不是和现实世界恰好相反？现实世界中的树，是先有根，再有枝干和叶子，而 merkle tree 则是先有"叶子"，再有了根。

那，代码中，生成了"树根"的作用是什么呢？

为了验证！

当有了根的数值（类似这样的数值：dd8a848bc98dec5ec445dc38baa207ee2094c9c8cd7f3fb889e0f8bd7eb6ba64）以后，便可以验证你的"叶子"（钱包地址）究竟是不是长在我这棵大树上。

项目方在录入合约的时候，只需要把 merkle tree 的根节点数值录入到合约中即可。（比较节省gas，节省gas就是节省金钱啊，同时，用起来也很方便）

当然，这个验证是需要算法去支撑的，具体细节，普通玩家不需要知道，但你需要知道的是，我们去找这棵"拥有白名单的树"去验证时，不是直接通过提交我们的钱包地址去向它验证。

而是需要通过这棵树，通过使用你的钱包进行一些算法处理，最终会给你颁发一个证明（merkle proof），只有把这个证明提交了，并且证明是对的，才能验证你确实是这棵大树的叶子！

证明（merkle proof）一般长什么样子呢？下面这样：

 ['0x366a19a6fa5c41fece60ed70665f1e97b21aa5d108286ef978f780b5e7779515','0x1b0871129921055bb61db5d27746bdcd91dcab8e251ec320198cca437923b2d4','0x327a589bb53c374fcc7f74b2a15fc8077b6b49529cfa2cc07cc8930649b0fbae','0x22c16b8dc5815c2a81123ad48911147a8b4ffe783adbc0a9275de3d785b2fd64']

对于普通玩家来说，基础知识了解到这里就够了。

 如果是开发人员，上面这些内容远远不能满足你的好奇心。

想了解更多细节，推荐两篇文章，写的非常好：

一篇是A总的教程：

https://mirror.xyz/ninjak.eth/kPBE6QzZeplo72UvGeJOcCEpZZMu9qVMmEu4KDZHzsM

一篇是这个老哥的：

https://mirror.xyz/qiwihui.eth/HRifb9gziR1UvVmRcMjDfDvQ9mq7o7FA6BNuCJMFT00

两篇文章看完，也就懂了 merkle tree 的代码层面用法了。

所以，回归到正题，我们要向合约进行白名单验证，我们需要什么？看完上面的知识，请大声告诉我！

是不是 merkle proof？（也就是叶子节点对应的证明）

接下来，让我们重回当天游戏苑 mint 的场景。

Whitelist mint时发生的问题

先知道一点，游戏苑这次 whitelist 的中奖有两种情况。

一种是通过 premint 抽奖中奖的用户，还有一种是通过社区合作，直接走的 DTC （地址直接进合约录入）

继续看下当时的 mint 网站。 

前端网站

 找不到当时的 mint 的截图，假设现在已经开启，按照当时的场景，其实上面的 MINT 按钮是黑色可以点亮的。

于是，问题出现了，有一部分人（包括我自己在内，premint抽奖中的白单）无法通过网页直接 mint ，随后打开浏览器开发者工具（谷歌浏览器，点击F12），找到了调用后端接口获取 merkle proof 的接口：

https://backend.yu-gi-yn.com/merkle-proof.json?&address=0x

正是这个接口，当时没有成功返回 merkle proof 导致前端页面无法正常 mint 。

前面的知识点讲过，我们把自己的钱包地址提交给 merkle tree，由它来帮我们生成一段 merkle proof，结果现在返回的是空，必然和合约进行交互的时候，就会有问题了。

这事儿一出来，当时 dc 社区中出现了不少 fud 的声音，也有一帮科学家很机智，开始抓紧时间找原因。

过了一段时间，有个大佬说，是因为游戏苑当时后端接口，对于钱包地址没有做大小写匹配导致返回查询不到 merkle proof。

premint当时提交的钱包地址，是类似下面这样，大小写混合组成的钱包地址：

0xb825f7406f485914D2d28098D8e22F22A36AEe81

而如果你当时的地址在白名单中，只需要把钱包的大写字母，全部转为小写，然后在拼接到这个地址上：

https://backend.yu-gi-yn.com/merkle-proof.json?&address=0x

就能正常返回结果了。（没有保留当时的截图）

后来仔细一想，猜测其实是因为后端人员对地址做了缓存，才导致了这样的结果。。。后来很多人也反馈，发现走 DTC 的用户都可以正常从页面上进行 mint 。而 premint 的部分用户却不行，就是这个原因。

但，现在说啥也不重要了，重要的是，假如当时的你，通过该地址全部转成小写，并且成功拿到了 merkle proof，接下来要怎么做？

善用 etherscan，走合约直接 mint

这就到了我上面提到的 4 种方法的第二种，一般情况，etherscan是不会轻易挂掉的。但也不是没有意外情况，概率很低。

学会使用 etherscan ，对于普通玩家来说，也是至关重要的一环，如果你会了这种方式，即使前端页面挂掉了，你也可以正常的去 mint 。

为了复现当时的场景，我们先来打开当时以太坊主网 etherscan mint 时的交易记录，首先打开 opensea，复制合约地址：

https://opensea.io/assets/ethereum/0x477f885f6333317f5b2810ecc8afadc7d5b69dd2/8192

打开 etherscan 上直接搜索地址：

https://etherscan.io/address/0x477f885f6333317f5b2810ecc8afadc7d5b69dd2

 查看历史交易记录， method 一般带有 mint 相关单词，意味着是 mint 的方法：

https://etherscan.io/txs?a=0x477f885f6333317f5b2810ecc8afadc7d5b69dd2&p=190

随便点进去看一笔，拉到 input data处，点击 Decode input data：

点击这个之后，可以把它变成我们看得懂的东西，第一个是数量，可以看到data为2，意味着是mint了2个，后面 merkleProof 则是字节32的数组，可以看到它的内容，就是上面我提到的知识点里的类似内容：

查看了当时正常 mint 成功的交易记录后，我们如何通过 etherscan 进行 mint ？

回到合约初始页，点击 contract - write contract：

先正常链接钱包，然后找到刚才交易成功数据中，method 为【saleStageMint】对应的框框：

点开后，长这样：

1、payableAmount(ether)

一个个说，首先是交易金额，单位是eth，这个是指不涵盖 gas ，单纯的 mint 价格，如果你不知道写多少，可以回到别人成功的交易记录，能看到 value 值，1个就是 0.0777，2个就是0.1554

https://etherscan.io/txs?a=0x477f885f6333317f5b2810ecc8afadc7d5b69dd2&p=190

2、quantity(uint256)

要mint的数量，1个就写1，2个就写2，好项目直接拉满。

3、merkle proof（byte32[]）

这个就是写前面基础知识介绍到的，如果你通过游戏苑后端接口获取到了 merkle proof，类似这种代码：

['0x366a19a6fa5c41fece60ed70665f1e97b21aa5d108286ef978f780b5e7779515','0x1b0871129921055bb61db5d27746bdcd91dcab8e251ec320198cca437923b2d4','0x327a589bb53c374fcc7f74b2a15fc8077b6b49529cfa2cc07cc8930649b0fbae','0x22c16b8dc5815c2a81123ad48911147a8b4ffe783adbc0a9275de3d785b2fd64']

那么就可以直接写到这里了，但是，需要注意怎么写，格式要按照下面这样写：

 不能有单引号，双引号，空格，逗号用英文的！

[0x8d56a688f6bc1c30427c4ab6b0958819e000b43c8c0ab543bf28a8a32f89b0db,0xc6caa9cb444c2879af3f1f60d999a24acd75ec11217e40a9f123c1d3ebb4b825,....(这里不是省略号，一直顺着复制到最后)]

最终填的数据：

但注意，如果有空格出现，你就会看到上面这样的报错，仔细检查，否则不让你点 write。

正确的去掉空格后，点击 write 可以成功唤起小狐狸，后续流程就正常的调节 gas ，正常确定就好了：

测试网模拟合约mint

为了更好的练手，我在 goerli 测试网上部署了游戏苑的合约，当然，我把价格改的非常低了，0**.**003 就可以直接 mint 一个。

合约地址如下：

https://goerli.etherscan.io/address/0x835f3d61463e0e4bf5be2adbbfdb7cc6dc6b5cbd

goerli测试网领测试币地址（可以自己先去挖点，再去 mint ）：

https://goerli-faucet.pk910.de/

当然，如果你也想连连手，可以在本条推特下留言，留下你的测试钱包，我给你添加完白名单后，会发你对应的 merkle proof，这样你就可以愉快地玩耍了。

像下面都是我自己测试着玩的，你可以跟着这些成功的按照上面的流程进行学习：

结语

好了，以上就是本文的全部内容了，希望你看完后能有所收获。

最后，也非常感谢@🦈哥的投喂，正因为走了 DTC ，所以这波游戏苑还是 mint 到了，跟着🦈哥吃肉肉，也欢迎更多有才能的小伙伴共同加入 @TBP 一起在 NFT 世界航行

嘿，大家好，我是大咪，之前一直关注编程领域。现在入区块链的世界半年，不断关注了NFT、撸空投等领域，偶尔写一写自己的心得体会。

欢迎关注推特：@dami

昨天闲来无聊，爬取了下我关注的 290 个推特人群，其中包含了一些区块链的大V，也包含了一些区块链相关的项目方账号。 今日 来分享分享下，我所爬取成功的数据结果，感兴趣和我一起看下去吧。

爬取思路

首先，我关注的推特群体里分为了以下几类： NFT 相关的大/小V NFT 相关的项目方 B 圈相关的大/小V B 圈相关的投资机构 而这几类人群，是这半年入圈以来纯手工筛选和参与过的，质量和垂直度有一定保障，胜过"机选"。

有了我这部分关注的高质量信息博主列表，如何拓展思路，获得更多其他高质量信息且关注人数多的博主？

• 采用交叉验证

• 爬取他们主动关注的博主列表

• 统计每个人关注其他博主的次数

• 如 A 关注 B ，B记为1次 如 C 关注 B ，B则记为2次

上面通过的思路，将 290 个人的关注列表，每个博主落地生成一个 json 文件，里面存的信息就是他们所关注的另外一批博主。 文件跑完，通过上述统计，可以得到一张下面的表格：

数据分享

被大v相关之间关注最多的

• No.1 V神 107次

• No.2 神鱼 100次

• No.3 匿名博士 88次

就分享前3了，就不一一列举了，感兴趣的话大家可以自取啦，分享到 googlesheet 啦：

https://docs.google.com/spreadsheets/d/1mU3tcHtVnx9g1eGczTdO9_W1AuFKTxktHSBmwBSkrqE/edit?usp=sharing

嘿，大家好，我是大咪，之前一直关注编程领域。现在偶尔也会关注撸毛交互等项目。

欢迎关注推特：@dami2333

今天看到了 .bit 融资的消息，推塔上看到不少教程，前面的还好，后面dc认证身份的步骤，一直是被误导的，于是想着顺手写一篇教程，分享下自己交互的心得和坑。

不怕一万，就怕万一，以防错误类似 ENS 的机会，花掉小钱”博个未来”，交互成本约 $5 一个 .bit 协议。

先来看下，.bit 是个啥？

.bit是一种基于区块链的开源去中心化身份协议，致力于为个人用户和DAO提供无需许可且不可撤销的去中心化身份，在全球范围内树立身份主权意识。

融资信息：

Web3 身份协议.bit （原 DAS）宣布完成 1300 万美元 A 轮融资，由 CMB International、HashKey Capital,、QingSong Fund、GSR Ventures、GGV Capital、SNZ 领投。

交互教程

交互分为两部分，一个是注册 .bit ，另一个是dc认证身份

注册.bit

首先，打开网站：

app.did.id

发挥你的想象：

注册：

懒得去弄 CKB 了，直接以太坊交互：

等几分钟，注册后：

点击管理：

点击 Add New ，key 选择 discord，

discord复制你的discordid，写到上面的空行里：

添加完毕后，别忘记点击 save：

dc认证

官方的dc邀请链接：

https://discord.gg/9eCwFfbv82

然后点击下面的验证账户：

输入命令：

!verify xxxx.bit

注意，verify后面有个空格，你可以直接复制我上面的命令，把bit改为你自己的即可。

至此，完。so easy~

最近一直在折腾 Solidity 合约的学习，虽然现在普通的合约代码能看懂了，但是一直好奇如何把合约部署到链上。

最开始学习的方式是通过官方 Remix 的网站进行部署，单文件还好说，多文件开源起来非常麻烦。

后来得知了两个部署框架，一个是以 Python 为主语言的开发框架 Brownie ，还有一个是以 Js 为主语言的开发框架 Truffle ，还有是 Js 的一个 Hardhat，还没有尝试用过。

Truffle 和 Brownie 在流程体验上，可以说学会了一个，另一个也大概就明白什么意思了，但得益于 Truffle 初始化工程项目后，生成的配置文件 truffle-config.js 比 Brownie 默认的配置文件友好许多。

如下，起码会有很多默认的注释掉的配置，让新手看起来就通俗易懂：

所以，分享下今天一天的踩坑经验，就来讲讲如何把一个合约通过 Truffle 从零部署到测试网上，同时使用代码自动验证开源，不需要手动去 etherscan 去复制代码，贴代码进行验证发布并开源。

正文

一、初始化工程

这里的安装依赖，假设你已经安装好了 nodejs 。

1、通过 nodejs 安装 truffle 框架：

// 1. 安装 truffle
npm install -g truffle

2、新建项目，切到项目目录下，执行 truffle init：

 // 2. 使用 init 命令对项目进行初始化 
truffle init

我这里新建了一个目录，叫 my-first-truffle，执行完命令后，目录如下：

但一般当我们编译 solidity 文件和引入依赖后，往往项目会变成这样：

解释：

--build: 存放编译后文件的目录
--contracts: solidity合约代码的目录
--migrations: 用 js 语言写的部署用的文件
--node_modules: js的项目依赖
--test: 用 js 语言写的单元测试目录
  --package.json: 依赖的配置文件
  --truffle-config.js: truffle框架的配置文件 以上就是一个新工程初始化后的样子。

别忘记，回到命令行，对 npm 进行工程初始化，我这里用的 cnpm ，cnpm init，然后疯狂回车，一路默认即可：

二、编写用例合约

我这里编写一个自己的 token 用例，这里继承了 ERC20 ，为的就是让合约文件本身有 import 的操作，这样便可以验证在后面的 truffle 自动部署并且验证开源到 etherscan 上。

代码注释写的很清楚了，有基础的自然看的懂，代码不是本文的重点，部署流程才是。

新建一个合约文件 DaMiToken.sol ，新建一个部署合约的 js 文件 2_deploy_mitoken.js ：

需要注意的是，在 migrations 目录下的部署文件名是有规则的，前缀以数字下划线命名 1_ 、2_ ...，这样每次 truffle 部署就可以根据数字去维护合约是否重复部署过（具体可以看 Migrations.sol 合约文件是如何实现的），如果之前部署过，下次在执行部署命令就不会重复执行了。

合约代码如下 ：

import "@openzeppelin/contracts/token/ERC20/ERC20.sol";
import "@openzeppelin/contracts/access/Ownable.sol";
import "@openzeppelin/contracts/utils/math/SafeMath.sol";
//SPDX-License-Identifier: MIT
pragma solidity 0.8.11;

contract DaMiToken is ERC20, Ownable {

    using SafeMath for uint256;

    //项目方地址
    address public projectAddress;
    //手续费千分比 txFeeRatio/1000
    uint256 public txFeeRatio;
    //销毁千分比 burnRatio/1000
    uint256 public burnRatio;

    /**
     * - 阅读 openzeppelin 中的 ERC20 源码，在标准 ERC20 基础上，开发以下功能的 ERC20 合约：
     * - 支持项目方增发的功能
     * - 支持销毁的功能
     * - 支持交易收取手续费至项目方配置的地址
     */
    constructor(
        string memory name_,
        string memory symbol_
    ) ERC20(name_, symbol_) {
    }

    //增发代币功能,空投
    function mint(address _account ,uint256 _amount) public onlyOwner {
        //新增多少的数量，进行相加
        _mint(_account, _amount);
    }

    //销毁代币
    function burn(uint256 _amount) public {
        require(balanceOf(msg.sender) >= _amount,"burn amount exceeds  balances");
        _burn(msg.sender, _amount);
    }

    //交易收取手续费至项目方配置的地址
    function transfer(address _to, uint256 _amount) public virtual override returns (bool) {
        //交易数量
        uint256 txFee = _amount.mul(txFeeRatio).div(1000);
        //燃烧掉的数量
        uint256 burnAmount = _amount.mul(burnRatio).div(1000);
        uint256 amount = _amount.sub(txFee).sub(burnAmount);
        //给项目方设置的地址转交易费
        _transfer(msg.sender,projectAddress ,txFee);
        _transfer(msg.sender, _to,amount);
        if (burnAmount > 0) {
            _burn(msg.sender, burnAmount);
        }
        return true;
    }

    //设置地址和交易费比例
    function setProjectAddress(address _projectWallet, uint256 _txFeeRatio,uint256 _burnRatio)
        external
        onlyOwner
    {
        projectAddress = _projectWallet;
        txFeeRatio = _txFeeRatio;
        burnRatio = _burnRatio;
    }
}

部署 js 文件代码：

const DaMiToken = artifacts.require("DaMiToken");

//通过合约部署设置构造函数的 name 和 symbol
module.exports = function (deployer) {
  deployer.deploy(DaMiToken,"DaMiToken","DaMi-Token");
};

三、修改 truffle 配置文件

点开 truffle-config.js 文件，可以看到默认生成了很多配置，非常友好：

在配置文件中，默认的测试网使用的是 ropsten 网络，但我这里习惯用 rinkeby 测试网，因为最早学习就是接触的 rinkeby ，所以 ETH 也是在这个网上比较多。

接下来，我们以 rinkeby 为例，按照默认的文件，仿照修改一下配置文件：

除了上图的配置外，这里提几点需要注意的，以及配置的含义：

第一步，引入依赖 HDWalletProvider

//安装依赖 @truffle/hdwallet-provider
 cnpm install @truffle/hdwallet-provider

这个是通过钱包和链上节点的交互配置，第一个需要传入你部署合约的钱包私钥 privatekey。我们可以通过环境变量对私钥设置，以防上传代码的时候泄露出去。

//环境变量私钥
var privateKey = process.env.privateKey;

export privateKey="你的钱包私钥"

第二步，需要传入你 infura 的节点 id。 infura 是一个区块链节点的服务商，其实 metamask 背后的默认 rpc 网络节点，也是它家提供的。 官网： https://infura.io/

自行注册，然后进入后台，点击右上角的 create project ：

把这个 url 和 project id 复制到我们的配置文件中：

切忌，这里的 url 不要用 https 的，因为 rinkeby 会不定时出现以下错误： Error: PollingBlockTracker - encountered an error while attempting to update latest

github给的解决方案：https://github.com/trufflesuite/truffle/issues/3357

同理，我们这里的 infuraid 也可以采用和私钥的配置形式，进行 export 到系统的环境变量中去。这里不重复赘述了。

到此，完整的配置文件：

const HDWalletProvider = require('@truffle/hdwallet-provider');
//环境变量私钥
var privateKey = process.env.privateKey;
//环境变量 infuraid
var infuraId = process.env.infuraId;

module.exports = {

  networks: {
    rinkeby: {
      // 钱包的节点提供服务
      provider: () => new HDWalletProvider(privateKey, "wss://rinkeby.infura.io/ws/v3/" + infuraId),
      gas: 10000000,    //部署接受的最大消耗 gas 
      gasPrice: 15000000000, //gas的价格
      network_id: 4,   //rinkeby的网络id
      timeoutBlocks: 40000, //读取区块链的数据超时时间
    },
  },
};

除了以上测试网的配置，还可以把优化的配置打开，编译器的版本设置对，根据自己合约的语法设定，设置成下面的默认就好，enabled 从 false 改成 true：

这里的 runs ，值越大，编译出来的文件越大，部署的成本越高，但执行效率相对好一些。越小则相反。默认值即可。

完整的配置文件：

const HDWalletProvider = require('@truffle/hdwallet-provider');
//环境变量私钥
var privateKey = process.env.privateKey;
//环境变量 infuraid
var infuraId = process.env.infuraId;

module.exports = {

  networks: {
    rinkeby: {
      // 钱包的节点提供服务
      provider: () => new HDWalletProvider(privateKey, "wss://rinkeby.infura.io/ws/v3/" + infuraId),
      gas: 10000000,    //部署接受的最大消耗 gas 
      gasPrice: 15000000000, //gas的价格
      network_id: 4,   //rinkeby的网络id
      timeoutBlocks: 40000, //读取区块链的数据超时时间
    },
  },
  mocha: {
    // timeout: 100000
  },

  compilers: {
    solc: {
      version: "0.8.11",      // Fetch exact version from solc-bin (default: truffle's version)
      // docker: true,        // Use "0.5.1" you've installed locally with docker (default: false)
      settings: {          // See the solidity docs for advice about optimization and evmVersion
        optimizer: {
          enabled: true,
          runs: 200        //值越大，编译出来的文件越大，部署的成本越高，但执行效率相对好一些。越小则相反。默认值即可
        },
        evmVersion: "london"
      }
    }
  },
};

好，到这里，我们就可以尝试部署合约了，过程中肯定会遇到问题，来逐一解决。

四、truffle 部署合约

回到命令行中，我们只需要输入以下命令，指定 truffle 部署网络，便可以开始部署：

truffle migrate --network rinkeby

可以看到，缺少依赖了，npm安装一下，然后继续安装：

这里就不一个个截图了，最终安装的依赖如下：

//涉及到 web3 的
npm install web3-provider-engine
npm install ethereumjs-abi
//这个是我自己引用的 openzeppelin 依赖 
npm install @openzeppelin/contracts

当依赖问题解决，再次执行 truffle migrate 后：

这里提示一下，如果你的部署合约名称没变，但是合约代码有变化，还执行 truffle migrate 后，不会对合约重新部署：

此时，如果需要重新部署，需要通过一下命令进行部署：

truffle migrate --network rinkeby --reset

成功：

我们通过 etherscan 查看下部署的合约：

合约成功部署成功了，但此时的代码是未开源的，点击 contract ，可以看到如下，都是 16 进制码：

五、truffle 开源的两种方式

1、solidity contract flattener 开源

安装好这个插件，我们可以选中已经部署的合约源文件，点击下面的生成文件：

它会自动帮你把合约的 import 文件自动压缩到一个 solidity 文件中：

然后我们可以复制右侧的所有文件，到 etherscan 上进行验证开源。

点击下图的验证并发布：

按照大家自己的合约进行配置

选择：

把刚才生成的多文件压缩成一个文件的源码粘贴

过来：

点击验证并发布：

以上便是用 vscode 插件的全部开源验证流程。别忘了，优化的点一定要和 truffle 配置文件中的对应，否则有可能验证不通过。

2、truffle-plugin-verify 开源

上面的流程很繁琐，每次还需要手动上传，而且最终生成的开源代码在 etherscan 上是以单文件显示的，阅读并不友好。

既然用了 truffle ，就有自动化的方式来进行验证开源，且生成的文件还是多文件的。接下来，展示！用到的插件官网 github： https://github.com/rkalis/truffle-plugin-verify

先安装好这个插件 truffle-plugin-verify ：

npm install truffle-plugin-verify@latest

安装完成后，继续修改我们的 truffle 配置文件：

这个插件的原理，是用了 etherscan 的 api 进行了自动化部署并且验证，所以加上如上图所示后，你需要知道 2 件事。

第一点，关于 proxy ，是否要配置，这里决定着你访问 etherscan.io 这个网站是否走代理，国内的网络，必然是需要配置的，不配置本地代理访问，最终会报错： Failed to connect to Etherscan API at url https://api-rinkeby.etherscan.io/api

配置完代理后，由于源码依赖于 tunnel ，所以还需要补个依赖，要不还是访问不了：

第二点，关于 etherscan 的 api key 申请，可以自行去官网申请： https://etherscan.io/myapikey

依然是通过环境变量的方式，把 key 导入。

最终 truffle 配置文件如下：

const HDWalletProvider = require('@truffle/hdwallet-provider');
//环境变量私钥
var privateKey = process.env.privateKey;
//环境变量 infuraid
var infuraId = process.env.infuraId;
//环境变量 etherscan 的 apikey 
var etherscanApiKey = process.env.etherscanApiKey;
module.exports = {

  networks: {
    rinkeby: {
      // 钱包的节点提供服务
      provider: () => new HDWalletProvider(privateKey, "wss://rinkeby.infura.io/ws/v3/" + infuraId),
      gas: 10000000,    //部署接受的最大消耗 gas 
      gasPrice: 15000000000, //gas的价格
      network_id: 4,   //rinkeby的网络id
      timeoutBlocks: 40000, //读取区块链的数据超时时间
    },
  },
  mocha: {
    // timeout: 100000
  },

  compilers: {
    solc: {
      version: "0.8.11",      // Fetch exact version from solc-bin (default: truffle's version)
      // docker: true,        // Use "0.5.1" you've installed locally with docker (default: false)
      settings: {          // See the solidity docs for advice about optimization and evmVersion
        optimizer: {
          enabled: true,
          runs: 200        //值越大，编译出来的文件越大，部署的成本越高，但执行效率相对好一些。越小则相反。默认值即可
        },
        evmVersion: "london"
      }
    }
  },
  
  plugins: ['truffle-plugin-verify'],

  verify: {
    proxy: {
      host: '127.0.0.1',
      port: '41091'
    }
  },

  api_keys: {
    etherscan: etherscanApiKey
  }
};

以上，配置完成后，回到命令行，执行以下命令：

//DaMiToken是合约名称，--debug可以看到具体错误信息
truffle run verify  DaMiToken --network rinkeby --debug

执行完毕后，可以看到成功：

打开 etherscan 的地址：

可以成功看到，合约已经被整整齐齐的分成了多个文件，并且成功开源！

至此，教程完毕。

好，以上就是完整的分享了....希望大家可以有所收获，有问题也欢迎随时交流探讨！ 💎 |币圈萌新|NFT学习中|成为科学家的路上|💎

我的Twitter：

@dami

大家好啊，我是大咪，现在是北京时间的2022年05月07日11:03:25，最近在参与 youtuber 【nft黑魔法】老师的 discord 课程作业。

这周的作业是以读合约的视角，分析近期大热项目 PXN 的合约，除了代码方面的分析，我还加上了 etherscan 上的一些链上数据作为分析，区块链有意思的点就是在于链上追溯数据，一切都是公开透明的交易。

目前我也还是在学习阶段，希望本篇复盘可以对你在学习的路上有所帮助，若有问题，还望多多交流。

PS：PXN已经发售完毕，本次合约是分析的主网合约。

我的推特：https://twitter.com/dami2333

黑魔法老师推特：https://twitter.com/MrsZaaa

NFT黑魔法频道：https://www.youtube.com/c/NFT黑魔法

黑魔法discord：https://discord.gg/CTfK9fH3aQ

首先，先来根据 opensea 上的官方项目，找到主网上的合约地址：

随便点进一个挂单的 NFT ，点击 detail ：

合约地址如下： https://etherscan.io/address/0x160c404b2b49cbc3240055ceaee026df1e8497a0

进入区块链浏览器后，点击 contract - write ，便可以看到合约的代码函数了：

这里分享一个在社群中学到的知识，通过修改 etherscan.io -> eterscan.deth.net ，可以直接把网址变为 vscode 的在线浏览模式，便于代码阅读。

https://etherscan.deth.net/address/0x160c404b2b49cbc3240055ceaee026df1e8497a0#writeContract

截图如下：

正文

前置环境准备就绪，接下来按照以下几个结构进行分析。

合约初印象

继承了 ERC-721A 的合约，同时，继承了 Ownable 合约：

ERC-721A 由 Azuki 团队创建，与 ERC-721 相比，它在同时铸造多个 NFT 时可节省很多 gas fee。

而 Ownable 合约的核心作用，是为项目限制了某些函数只能合约部署者（项目方自己）进行调用，比如下面的提现函数 withdrawFunds()，后面跟了一个修改器 onlyOwner ：

如果好奇具体是如何实现的，可以移步 github 自行查看： https://github.com/OpenZeppelin/openzeppelin-contracts/blob/master/contracts/access/Ownable.sol

初印象结论：通过这两个继承合约可以看出来，一些设置类的函数被限制仅由项目方可调用，这点没问题，而 721A 可以为大家节省多个 NFT 同时 mint 时产生的 gas。

通过 etherscan ，点击 Write Contract 可以清晰的查找 mint 的函数，涉及了 4 个：

Mint 函数分析

从名字上不难看出，4 个 mint 函数对应着 4 类不同参与人群，按照正常业务顺序一个个来解读一下。

devMint : 开发者 mint 函数 

mintDutchAuction：荷兰拍卖 mint 函数 

mintWL：白名单 mint 函数 

teamMint：团队成员 mint 函数

正常的业务流程，一般先是荷拍 mint ，之后进入白名单 mint。至于开发者和团队 mint 的时间，不确定，后面看源码去分析。

1. mintDutchAuction() 分析

先说根据这个函数，看出来的业务相关的信息。

合约的业务逻辑： 荷拍的 PNX 总发行数量为 4000 个，正式荷拍开始时间为北京时间 2022-05-05 11:00:00（CST），对应 UTC 的时间为 2022-05-05 03:00:00（凌晨），我们国家比世界标准要快 8 个小时。

荷拍，起始价格 2 ETH 起拍，每 15 分钟价格降低 0.05 ETH，意味着，1小时价格降低 0.2 ETH ，荷拍最低的价格为 0.1 ETH。

通过荷拍结束的过程，对白名单的定价也有影响，如果荷拍的最终价格定在了小于 0.7 ETH 以内，那么白单的价格则为【当前荷拍价格 / 2】，举个例子，比如最终荷拍的价格定在了 0.6 ETH ，那么白单则为 0.3 ETH ，而白单默认的价格设定的为 0.35 ETH。

再来从代码层面解读一下： 这个函数中，加上了修改器 callerIsUser ，限制了合约调用者只能为钱包地址进行调用，而不能通过合约地址调用。

modifier callerIsUser() {
  require(tx.origin == msg.sender, "The caller is another contract");
  _;
}

这里有个 tx.origin 和 msg.sender 知识点，可以通过一张图看明白上述代码的作用：

原文地址：https://davidkathoh.medium.com/tx-origin-vs-msg-sender-93db7f234cb9

校验的业务逻辑：

1. 荷拍的状态是否激活，true 为激活，后续代码才能继续运行。【状态校验】

2. 调用者的签名，通过项目前端网页调用后端动态生成了荷拍签名，再去和智能合约对当前调用者的地址加签后进行验证，这样可以防止"合约机器人"调用。【合约调用者校验】

3. 当前 mint 数量 + 已经 mint 的数量是否小于等于荷拍的数量（4000个），防止超发【数量校验】

4. 荷拍时间是否大于等于开启时间【时间校验】

5. 当前区块链时间戳是否大于白名单开启时间，如果大于了白名单的开启时间，说明荷拍的时间已经结束，禁止后续代码的运行。【时间校验】

6. 调用合约传入的 mint 数量，荷拍 mint 的最大数量小于等于 2，防止个人超出 mint 数量【数量校验】

7. 当前调用者已经 mint 的数量 + 调用合约的 mint 数量小于等于2，防止个人超出 mint 数量【数量校验】

8. 合约调用者的钱包剩余金额是否大于等于你需要 mint 的个数 * 当前荷拍的价格【金额校验】

以上校验逻辑都通过，可以荷拍 mint 。

真正第一个荷拍出价 mint 成功的交易，是下面这笔：

可以看下他的出价时间 May-05-2022 03:03:24 AM，mint数量2个，荷拍交易价格 4 ETH ，他给的 max priority 非常高，以致于成了第一个 mint 成功的人：

最后一个荷拍 mint 者，是这笔交易：

详情，10 分钟荷拍 4000 个 PXN 全部售罄，可以看最后这笔 gas fee，总共才 $55 ：

开始的 gas war 和 结束的 gas fee，有着天壤之别啊。。。差了好多钱。。

源码不帖了，自行去上面的去看就好。

2. mintWL() 分析

依然是先说根据这个函数，看出来的业务相关的信息。

白单的总发行数量为 6000，开始时间为荷拍开始时间的 24h 之后，也就是 正式荷拍开始时间为北京时间 2022-05-06 11:00:00（CST），对应 UTC 的时间为 2022-05-06 03:00:00（凌晨），持续时间为 24 小时，即白单 mint 结束时间为 UTC 的时间为 2022-05-07 03:00:00 （凌晨）。

白单的起始价格默认 0.35 ETH，而上面提到了，如果最终荷拍最低价 mint 小于了 0.7 ETH ，则会按照【当前荷拍最低价 / 2 】算出白单价格。

再来从代码层面解读一下： 校验逻辑：

1. 荷拍最终价格需要大于0，否则意味着荷拍还没有结束，不能进行白单mint【价格校验】

2. 调用者的签名，通过项目前端网页调用后端动态生成了签名，再去和智能合约对当前调用者的地址加签后进行验证，这样可以防止"合约机器人"调用。【合约调用者校验】

3. 已经 Mint 的白单数量 + 当前该交易 mint 的数量，必须小于 6000【防止超发 mint】

4. 当前调用者是否已经白单 mint 过一次了，一个白单地址只能 mint 一次【防止超发 mint】

5. 当前区块链时间戳大于白单开启时间，小于白单结束时间【时间校验】

6. 合约调用者的钱包剩余金额是否大于等于你需要当前白单的价格【金额校验】

以上校验都过了，调用者可以开始mint。

第一个白单 mint 成功的交易为：

UTC时间为 2022-05-05 03:00:13 ，gas fee大约 0.8 ETH 左右。

最后一笔白单交易为：

时间：May-07-2022 02:02:33 AM +UTC。 可以看到，这里有三笔交易失败的：

我们把交易txid复制到tendly，可以看一下失败的详情：

地址： https://dashboard.tenderly.co/tx/mainnet/0x71bca7dcb99cffde7c6cbe364aab0411a61dbeb364a5fe585f519a524839a690

提示，仅能在白单时间 mint ，显然是超了时间了，他这笔 mint 的时间为：May-07-2022 08:15:56 AM +UTC，白单结束时间为：2022-05-07 03:00:00 ，都超了 5 小时了，才想起来，亏死了。

3. teamMint()分析

这部分 mint ，是给项目的团队贡献者的 mint 奖励，项目方维护了一个 _teamList 的列表，根据这个列表，对团队成员所贡献的不同，可以 mint 的数量也不同。

而团队 mint 的开始时间也和白名单开始时间一样，但对于结束时间没有限制，意味着团队成员只要在白单开启时间后，想什么时候 mint 都可以。mint的价格和白单价格一致，都为 0.35 ETH。

校验逻辑：

1. 当前区块链时间戳大于白单开启时间【时间校验】

2. 团队成员地址对应的 mint 数量校验【超发mint校验】

3. 当前钱包的价格大于 mint 的数量 * 价格 校验【金额】

4. 当前 mint 的数量不能大于总发行量 10000 （4000荷拍 + 6000白单）【超发校验】

以上校验都通过后，可以正常 mint 。

看到的第一笔 team mint 交易为：

Mint 了 4 个，时间：May-06-2022 03:00:13 AM +UTC。

4. devMint()分析

最后，这个函数是合约部署者的 mint ，以上所有人 mint 完之后，合约部署者可以在白单开始后的 24h以后 mint ，即 2022-05-07 03:00:00 以后的所有时间。

但合约部署者有意思的是，总发行数量 10000 ，减去当前 mint 的总数量，只要当调用了这个函数，剩下的所有 NFT ，都会打给这个开发者的地址去。目前链上还没有看到有调用这个函数，可能是因为团队成员还没有 mint 完。

刚才在分析 mintwl 的时候，有列出最后一笔交易，tokenid 是 9868 个，剩余 130+ 个 NFT。

代码校验逻辑：

1. 当前区块链时间戳大于等于白单开启时间后过了24小时【时间校验】

2. 团队成员地址对应的 mint 数量校验【超发mint校验】

3. 当前钱包的价格大于 mint 的数量 * 价格 校验【金额】

4. 当前 mint 的数量不能大于总发行量 10000 （4000荷拍 + 6000白单）【超发校验】

以上校验都通过后，可以正常 mint ，这里 mint 的逻辑是，按 10 个为一组，批量 mint ，最终如果还剩下个位数，在将剩余的个位数 NFT 发送至合约部署者钱包。

安全疑问

对于重入攻击方面的安全方面，可以看到，这次 PXN 没有对提现函数进行 nonReentrant 的修改器装饰，根本原因是因为他们把发送的地址写死了吗？

反观 Azuki 的提现函数，确实有加 nonReentrant 防止：

后面也许等我的知识完善起来，就能明白了....

结语

智能合约和正常 web2 世界里的代码不同，一旦部署，无法修改。 而安全方面的漏洞大多出现在 mint 函数中，要么是校验漏洞，要么是业务的逻辑漏洞。

而对于校验规则，可以形成一套 SOP ，就像 PXN 项目中的一样，上次分析气球人的合约也是类似的模板：

1. 荷拍最终价格需要大于0，否则意味着荷拍还没有结束，不能进行白单mint【价格校验】

2. 调用者的签名，通过项目前端网页调用后端动态生成了签名，再去和智能合约对当前调用者的地址加签后进行验证，这样可以防止"合约机器人"调用。【合约调用者校验】

3. 已经 Mint 的白单数量 + 当前该交易 mint 的数量，必须小于 6000【防止超发 mint】

4. 当前调用者是否已经白单 mint 过一次了，一个白单地址只能 mint 一次【防止超发 mint】

5. 当前区块链时间戳大于白单开启时间，小于白单结束时间【时间校验】

6. 合约调用者的钱包剩余金额是否大于等于你需要当前白单的价格【金额校验】

如果没有荷拍环节，就去掉荷拍部分的校验。

区块链有意思的地方在于公开，透明，代码只要是好项目，大部分都是会开源的，我们可以从优秀的项目中学习如何去写代码，如何闭坑，而对于智能合约而言，越简单，越清晰的逻辑反而越好。能避免复杂逻辑，就尽量避免吧。

还记得4月发生的事件吗，Akutar NFT 因为写错1个单词，导致 3400万 美金锁死在合约里，再也无法提现，不止是项目方哭😭，参与者也哭😭。

好，以上就是完整的分享了....希望大家可以有所收获，有问题也欢迎随时交流探讨！ 💎 |币圈萌新|NFT学习中|成为科学家的路上|💎

我的Twitter：

https://twitter.com/dami2333

本学习笔记源于以下网址，对于想快速学习 solidity 语言的朋友，推荐看看：

https://cryptozombies.io/zh/

以下内容，有部分是直接从网站上整理的个人认为关键的地方，而加粗的文字，均为笔者的思考，可以选择性阅读~

PS:笔记的目的，主要是为了便于后续的学习回顾查找，还有可以加深一遍自己的理解。

lesson 1 笔记

版本指令

所有的 Solidity 源码都必须在开头处标明 Solidity 编译器的版本. 以避免将来新的编译器可能不兼容你的代码。

代码示例：

pragma solidity ^0.8.0;

上述代码限定了当前的 solidity 编译器的版本必须为指定的 0.8.0，不能使用其它版本的编译器，比如像 Java ，1.8 语法是能兼容 1.6 的，但 1.6 的 jdk 却用不了 Java8 的语法。

合约

Solidity 的代码都包裹在合约里面. 一份合约就是以太应币应用的基本模块， 所有的变量和函数都属于一份合约, 它是你所有应用的起点。

代码实例：

pragma solidity ^0.8.0;
contract HelloWorld {
}

关键字 contract ，类似于 Java 的 Class 类，但是这里理解成类的概念，还不是很好，因为在 solidity 里，还有一个关键字，叫 【struct】，这个关键字给我的感觉更像是和类对应的。但 Java 里没有 Class 的类语法，你也没有办法往下写代码的对吧。。

状态变量

状态变量是被永久地保存在合约中。也就是说它们被写入以太币区块链中. 想象成写入一个数据库。

无符号整数: uint

uint 无符号数据类型， 指其值不能是负数，对于有符号的整数存在名为 int 的数据类型。

注: Solidity中， uint 实际上是 uint256代名词， 一个256位的无符号整数。你也可以定义位数少的uints — uint8， uint16， uint32， 等…… 但一般来讲你愿意使用简单的 uint， 除非在某些特殊情况下。

代码示例：

contract Example {
  // 这个无符号整数将会永久的被保存在区块链中
  uint myUnsignedInteger = 100;
}

这个写法有点类似 C 语言，但把关键字 uint 精简了， uint 默认是 256 位的，后续会有详细的笔记介绍，如何选择 uint 后面的指定单位。

数学运算

• 加法: x + y

• 减法: x - y,

• 乘法: x * y

• 除法: x / y

• 取模 / 求余: x % y (例如, 13 % 5 余 3, 因为13除以5，余3)

Solidity 还支持 乘方操作 (如：x 的 y次方） // 例如： 5 ** 2 = 25

代码示例：

uint x = 5 ** 2; // equal to 5^2 = 25

solidity基础的计算语法倒是和主流的高级语言类似，尤其是 Python。举个例子，比如我想截取一个数字，如3438141312的后3位，也就是312，用计算语法怎么写出来，而不是用字符串的形式。

代码示例：

uint x = 3438141312 % 1000; // equal to 312

Python也是一样的：

结构体

Solidity 提供了 结构体，结构体允许你生成一个更复杂的数据类型，它有多个属性。

注：我们刚刚引进了一个新类型, string。 字符串用于保存任意长度的 UTF-8 编码数据。 如： string greeting = "Hello world!"。

代码示例：

contract HelloWorld {
  struct Person {
    uint age;
    string name;
  }
}

上面提到过的，struct，从抽象层次来理解，这个关键字才更像是 Java 的类的概念。也就是对象。因为你的属性都放在了 struct 里，而不是合约 HelloWorld 里。除此之外，引入新的关键词 string ，注意，是小写。

数组

如果你想建立一个集合，可以用【数组】这样的数据类型. Solidity 支持两种数组: 【静态数组】 和【动态数组】:

// 固定长度为2的静态数组:
uint[2] fixedArray;
// 固定长度为5的string类型的静态数组:
string[5] stringArray;
// 动态数组，长度不固定，可以动态添加元素:
uint[] dynamicArray;
// 这是动态数组，我们可以不断添加元素
Person[] people; 

记住：状态变量被永久保存在区块链中。所以在你的合约中创建动态数组来保存成结构的数据是非常有意义的。（这个是课程的，觉得非常有用，加粗了）

数组的使用：

// 创建一个新的Person:
Person satoshi = Person(172, "Satoshi");

// 将新创建的satoshi添加进people数组:
people.push(satoshi);

和 Java 不同的是，创建数组可以直接在[]里定义有限长度的数组，动态的就不要写具体的数字长度了，而结构体也是可以被作为数组类型去创建的，可以理解为 Java 里的 List（用的是 List ，而没用数组表示，更容易被大家直观接受）。而关键词也不一样，用的 push（这个是我的个人思考） 公共数组 你可以定义 public 数组, Solidity 会自动创建 getter 方法. 语法如下: Person[] public people; 其它的合约可以从这个数组读取数据（但不能写入数据），所以这在合约中是一个有用的保存公共数据的模式。（这个是课程的，觉得非常有用，加粗了） 定义函数 这是一个名为 eatHamburgers 的函数，它接受两个参数：一个 string类型的 和 一个 uint类型的。现在函数内部还是空的。 代码示例： function eatHamburgers(string _name, uint _amount) { } 定义函数的语法和 Python 如出一辙，都是使用 function 作为关键字来标识，入参的变量名字，代码规范是带上下划线，以区分全局变量。 函数访问权限关键词 Solidity 定义的函数的属性默认为公共。 这就意味着任何一方 (或其它合约) 都可以调用你合约里的函数。显然，不是什么时候都需要这样，而且这样的合约易于受到攻击。 所以将自己的函数定义为私有是一个好的编程习惯，只有当你需要外部世界调用它时才将它设置为公共。 代码示例： uint[] numbers; //设置为私有的函数 function _addToArray(uint _number) private { numbers.push(_number); } 这意味着只有我们合约中的其它函数才能够调用这个函数，给 numbers 数组添加新成员。 可以看到，在函数名字后面使用关键字 private 即可。和函数的参数类似，私有函数的名字用(_)起始。 返回值 代码示例： string greeting = "What's up dog"; // Solidity 里，函数的定义里可包含返回值的数据类型(如本例中 string)。 function sayHello() public returns (string) { return greeting; } 说实话，solidity这种设计风格看起来就很奇怪….返回值的关键字放在权限后面可以理解…但返回的写法还要多个小括号，看着和需要传参似的….而且用的是 returns ，复数的形式…不能李姐啊！！！总之，多写，多看，多记，可能习惯了将就好了….这个真没有 Java 或者 Python 看着舒服…. 函数的修饰符 如果你的函数没有改变任何值或者写任何东西。 这种情况下我们可以把函数定义为 view, 意味着它只能读取数据不能更改数据: 代码示例： function sayHello() public view returns (string) { Solidity 还支持 pure 函数, 表明这个函数甚至都不访问应用里的数据，例如： 代码示例： function _multiply(uint a, uint b) private pure returns (uint) { return a * b; } 这个函数甚至都不读取应用里的状态 — 它的返回值完全取决于它的输入参数，在这种情况下我们把函数定义为 pure. 注：可能很难记住何时把函数标记为 pure/view。 幸运的是， Solidity 编辑器会给出提示，提醒你使用这些修饰符。 Solidity 里的函数是有状态的，你可以理解为你的代码有没有对数据进行操作。因为在以太坊上进行交互，每次写数据的操作，都需要花费真金白银…所以有了状态设计…像一些读操作的函数，就可以节省下金钱啊！！！ solidity的代码，所有的数据大小，读写操作，都会和真金白银挂钩，所以，写 solidity 才是真正考验思维逻辑的语言….毕竟不同写法，可能节省的金钱真的天壤之别！ 至于 view 、pure 的具体用法，后面的笔记里，还会有更详细的补充….在第一课的笔记里就先作为了解吧。 类型转换 有时你需要变换数据类型。例如: uint8 a = 5; uint b = 6; // 将会抛出错误，因为 a * b 返回 uint, 而不是 uint8: uint8 c = a * b; // 我们需要将 b 转换为 uint8: uint8 c = a * uint8(b); 上面, a * b 返回类型是 uint, 但是当我们尝试用 uint8 类型接收时, 就会造成潜在的错误。如果把它的数据类型转换为 uint8, 就可以了，编译器也不会出错。 类型转化没啥可说的，基本上就是高级语言的强制转化的写法。 事件 事件 是合约和区块链通讯的一种机制。你的前端应用“监听”某些事件，并做出反应。 代码示例： // 这里建立事件 event IntegersAdded(uint x, uint y, uint result); function add(uint _x, uint _y) public { uint result = _x + _y; //触发事件，通知app IntegersAdded(_x, _y, result); return result; } 你的 app 前端可以监听这个事件。JavaScript 实现如下: YourContract.IntegersAdded(function(error, result) { // 干些事 }) 事件这个动作，是合约和各类 web3 库实现的交互关键字。当你的合约部署到链上的时候，你通过 js 也好，python 也好，都有这样一个 web3 的类库，通过 web3 的库，可以从链上读取到你部署的合约，在用该合约进行你所创建的事件进行交互。 以客户端，服务端的架构理解的话，你可以理解为事件就是服务端主动触发的一个动作，这里的服务端可以理解为链上的合约。客户端就是你前端的代码。 以上，第一课的笔记告离段落…..

最近法哥的【财神道】社区里邀请了几个有 MOD 经验的朋友做分析，以 MOD 的角度来看，如何更好的拿白？

下面是两个提到的链接，永久有效。

有想学习 nft 的朋友，可以加入社群，法哥 dc 社群邀请链接（永久）：

https://discord.gg/n8xEw7QQY5

本次分享的原音频留存：

https://open.spotify.com/episode/6k50tjDPhaea1efOaaHsT9

笔记分享

简单记录一下法哥 dc 群里分享的邀请经验。

1. 如何看个人时间的分配？（因为有主业，有副业） 把你玩的时间分配出来，上厕所的时候，刷抖音，完全可以换成刷刷 dc ，看看信息，信息就是金钱，如果你早知道【财神道】的项目，早点做贡献，是不是白捡钱？

2. 如何像猫姐一样这么优秀？（MOD大佬 - 猫姐） 猫姐为社群做的共享，语音频道组织活动，积极主动，拉动气氛，你说能不找你当 mod 么？

3. 如何简单快速的判断项目是否值得肝白？ 1）如果 dc 人数是 Twitter 的人数 1.5 倍，就有很危险了. 2）在线人数也是参考点，如果工作室人很多，那就也很危险了.

4. 为什么要搞社区的活动？（比如打德扑，玩游戏，唱歌等等..） 玩起来是破冰，建立气氛，在这个过程中，管理层其实也是在观察大家的能力，选人的一个过程.

5. NFT 发完怎么创造后续价值？（build value，by 法哥） mint后，要继续做事，不是说去 Twitter 上吹牛逼，抽奖之类的。拿到资金后，比如可以做工具...聚集一些人踏踏实实做实事。（就和实体公司拿到投资后一样。）

6. NFT 卖出的时候，有两个费用，是什么？ 一个是 OpenSea 的上架费（只有第一次，现在便宜了，大概$70），还有一个是 gas fee.

7. 如何当 MOD ？ 和项目方共进退，经常在社群里活跃，混脸熟，帮助新人，创造价值。一旦有了 MOD 经验后，就有了履历，后续就可以有谈资格了.不建议当太多 MOD ...（因为身体的问题~）有的 MOD 有工资...MOD 有自己的小圈子，相互拿白... PS：MOD 好像有点讨厌工作室的样子....

8. 有什么是比较好的做贡献的方式去拿白？ AMA的时候，可以提供翻译的价值！不过非常辛苦，不是英语专业的，非常累，需要非常专注！或者翻译公告.

Discord 在 NFT 领域，已经成为了必不可少的社群工具。大部分项目会以 Twitter 为媒体宣传，最终沉淀用户到 discord 中，而要想获得白名单，也不得不遵循项目方的一些玩法，比如早期的聊天肝等级。

当然，你完全可以选择雇佣人去帮你做这件事，只要 ROI 跑的正，这种方式往往要比自动化脚本来的更稳妥一些，毕竟是真人行为，相对脚本，封号（封discord）风险降低很多。

但若不想花这份钱，那则么办...这样一来，就有了一个需求，聊天机器人....

当然，这里笔者写的机器人并不是那么智能，发消息的内容相关信息是需要你自行配置的。

ps：底层技术用的 python api 模拟请求。（懂 Python 的小伙伴一看就懂...）

什么项目不适合聊天？

举个例子🌰，前一阵的【阿狸NFT】白名单，社群里早期混进了很多机器人，二话不说直接开刷等级，随后规则明确，社群并不是靠肝等级作为白名单的，当遇到社群管理员不定期巡逻时，表明回复指定数字，或者禁言，机器人没办法自己分析这种语义....该机器人是做不到的。

所以，如果遇到以上情况，可以人为的隔段时间看看，手动暂停脚本即可。

脚本成果演示

下图是我自己创建的一个 discord 服务器，并且新建了一个名为 gm 的频道：

mirror的gif图片有点问题，可以移步图床链接🔗：

https://ibb.co/tLzmxtQ

代码分享

代码方面，采用的是 Google 的云服务，这样省去了我们自己电脑装环境的一些问题。

打开下面的代码网页之后，用 google 登录，然后回到本篇文章，继续往后看如何配置运行。

https://colab.research.google.com/drive/1k1MjTw0HaIhXmyHIm-KsHrKECpu9ASPy?usp=sharing

前置代码配置

在正式讲解之前，你需要自行打开上述代码文档，配置三个选项。

分别是【channel id（频道id）】，【机器人发送消息的内容】，以及最重要的 【authorization 认证】。

我们一个个来说。

1、channel id（频道id）

当我登录 discord 后，加入了一个 discord 服务器后，并且进入了某个频道：

你当前的网址 url 是这样的：

discord.com/channels/937164774674952222/937370268425400371

那么，channel id 则为 ：937370268425400371

回到我们的代码网页，把下面的配置改为自己的 channel id，这里是可以支持多个频道的，比如 gm 频道，官方中文频道：

配置多个的话，就是下面这个样子，双引号里面是频道id，多个频道用逗号隔开：

channels_id_list = ["937370268425400371","937370268425400372"]

2、机器人发送消息的内容

这里的文字可以替换成自己想让机器人说的，它会随机选择一句话来发送，所以当然是越多越好了，虽然有默认值，但是大家可以按照自己的口味改一改。

比如：

globals_message_list = ["GM","你好啊","早上好","晚上好","你个大骗子","GN","怎么可能？"]

附加项，这里还有 2 个可以自行修改的值，即每条发送消息的间隔时间，像我现在写的时间，就是在 10~30s之间，随机间隔时间去发送，比如上条信息刚发完，有可能下一条信息过了 15s ，才会发送，也可能是 10s，这个是不定的，为了更像的模拟人为嘛：

time_min = 10

time_max = 30

你要是想让他发送快点，也可以设置成最小是 5，最大是10，这样时间就会缩短了：

3、authorization 认证

这一步至关重要，请保存好您的 authorization 信息，因为有了它，任何人都可以用它对您的账号进行一些 api 层的操作，所以谨慎保管好。

当然，这个信息也会失效，我记得默认的有效期 discord 会保留 7 周（没记错的话...）。

如何获取？打开您的 discord 网页版，在用键盘的快捷键打开谷歌浏览器的【开发者工具】：

Mac的快捷键： option+command+i

Windows的快捷键：ctrl+shift+i

当然，也可以从 Chrome 这里进去：

打开后，点到 network（网络）选项页：

然后依次点击：

1、 XHR 选项卡

2、再随便点一个频道

3、随便找一个 Name，点击英文字符

点开下方的 Name 后，可以看到这样的代码：

把 authorization: 后面对应的那串英文，记录下来，放到代码对应的配置项中：

authorization_list = ["OTI4**************************************GA"]

配置好以上信息，大功告成！~

再次提醒，authorization 对应的字串非常重要，不要公开！不要公开！不要公开！

运行代码

点击代码左侧的红色运行标志，然后就可以回到你的网页去看是否发送消息啦：

成功的话，拉到网页最下面，有信息提示：

停止代码

停止代码，点终止图标即可：

如果点了没反应，可以多点2，3下，会弹出下面这个提示，点击yes：

代码停掉后，图标变回开始的图标，说明停止成功：

下面的日志，可以把鼠标移动到管理员图标上，就会变成叉子，点击即可清除：

其他的一些问题

如果你关掉你的google云服务网页，脚本没有停止的话，程序还是会执行的，具体会执行多久，我自己还没有亲自实验过，官方提示，是12个小时。所以要是怕被管理识别到，还是手动停止掉，再去关闭 google 的云服务。

再者就是发送消息的时间间隔问题，建议不要太短，比如 3s 以下，毕竟要让机器人装的像人一些....

注：若害怕脚本不稳定（网络ip方面的封号问题），可以用自己的discord小号尝试一段时间，绕开自己常用的主号测试！

好，以上就是完整的分享了....希望大家可以玩的愉快！

💎 |币圈萌新|NFT学习中|成为科学家的路上|💎

我的Twitter：https://twitter.com/jacksu15ice

本教程为系列教程，本篇是小狐狸钱包篇。后续会把系列教程的相关链接更新在文章开头。

我从去年（ 2021 年） 12 月底，决定开始学习接触区块链的世界，深知作为一个小白，想要入门时的无力感，各种名词黑话，各种看不懂，信息过于嘈杂也毫无体系感。

虽然我现在仍处于新手期，还在学习路上，但希望可以把自己踩过的坑，以及小白的痛点经验，尽可能地以通俗易懂的形式分享出来，帮助大家少走一些弯路。

关于名词的介绍，大可放心，一切用举例加以说明。

希望本篇文章可以对你有所帮助~

下面开始正文。

一、钱包是什么？

钱包两字，顾名思义，现实生活中，我们是用来装钱的。

而在区块链世界中，钱包就是保存了区块链中各种币（比特币、以太币等）的一个软件。

在正式介绍小狐狸钱包之前，我们需要先了解一下，什么是以太坊？

以太坊是一个去中心化的、具有智能合约功能的开源区块链。

以太币（ETH）是该平台的原生加密货币。

在加密货币中，以太币的市值仅次于比特币。以太坊是由程序员Vitalik Buterin（V神）在2013年创作的。

PS：关于以太坊的更多内容，大家可以去以太坊官方网站进行学习，这里不过多赘述，你只需要知道，它的技术理念是基于比特币，在比特币技术的基础上，还可以支持运行代码的一个区块链。

官网：

https://ethereum.org/en/what-is-ethereum/

正如以太坊官网介绍，如果想参与基于投资【以太坊】诞生的项目（比如现在火热的 NFT 市场，像国民表情包冷兔、阿狸），必不可少的就是以太坊钱包，而 MetaMask 就是这样的一款钱包软件。

NFT（non-fungible token，学名，非同质化代币），它是存储在区块链上的不可交换的数据单位，区块链是一种数字账簿形式。

NFT数据单位的类型可能与照片、视频和音频等数字文件有关。

因为每个代币都是唯一可识别的，所以NFT与区块链加密货币不同。

光看概念，过于抽象，举个例子🌰。

国内在 2021 年，支付宝曾经推出蚂蚁链（现在改名，叫【鲸探】了），上面掀起过一阵潮流，比如下图的我抢到的猪八戒 NFT，准确的说，在国内它的中文名字叫【数字收藏品】：

而目前海外的 NFT 市场，以感官去认知的话，可以简单理解为一群艺术家创作出来的有趣图片，当然，这里说的仅是视觉感官，而非价值意义：

好了，回归正题，在海外市场，意味着：

有了钱包，你才可以在 NFT 市场中进行交易。

二、MetaMask钱包下载

首先要下载 MetaMask 钱包，认准官方网站，你可以直接在 Google 上进行搜索：

切记，域名是以 .io 结尾的，不要去假官方网站下载，以防被骗。

这里也给出官方地址：

https://metamask.io/

在网页端，点击 download 进入到下载页面，在点击 install metamask for chrome ：

点击，添加至 Chrome ：

可以在拓展图标里，把小狐狸钱包显示出来：

当你第一次安装完插件时，会跳出第一使用 MetaMask 页面，说明安装成功：

三、注册 MetaMask

如果你是第一次使用 MetaMask 钱包，那么选择右侧，进行创建：

选择，我同意：

输入自己的密码，注意，这里的创建密码，指的是钱包的登录密码，类似我们登录QQ的账户密码：

点击创建，这里是官方介绍的一段关于助记词如何保证你钱包安全的教程，建议看一下，看完点击下一步：

助记词，非常重要！！！

助记词，非常重要！！！

助记词，非常重要！！！（重要的话说三遍）

点击此处显示密语，你就可以看到自己的助记词了。

官方建议，把它抄写在纸上，多抄几个，放在不同的地方保存，切记不要直接记在的云笔记里！

为什么说助记词非常重要？因为有了助记词，不论是谁，都能直接把你钱包直接恢复。假如你的助记词落入了他人之手，那么你钱包里的钱，就可以无条件被别人转走了。

不让记在云笔记里的原因也是如此，毕竟黑客的手段层出不穷，如果拿到你的助记词，你的钱就没了。所以，线下的物理记录，一定要保存好。

再次提醒：助记词和刚才步骤经历的账户密码不一样，如果一旦丢了，你的钱包资产就再也找不回来了。我听过有大佬血淋淋的案例，早期他买入比特币很久，采用的是线下物理记录助记词，结果时隔几年，一直没有在意当初买的数字资产，20年的时候才想起要登录钱包上去看看资产变为多少了，但之前的电子设备早已更换，新设备重新安装钱包，就要通过助记词恢复账号，结果发现自己把助记词弄丢了，千万资产一夜之间找不回来了....非常痛心，这个不是编的故事，而是真实发生过的案例...发出来就是想告诉大家，助记词非常重要！！！

四、MetaMask 常用的基础功能

当你记好助记词后，页面会进入到如下：

可以先将它关闭。

打开小狐狸的方式，最常见的还是从浏览器的扩展图标进行进入，点击狐狸头像 🦊：

我们从上往下看，一项项介绍。

1、网络

在小狐狸最上方，有一个网络显示，点击一下，可以看到，我们当前默认新创建的钱包处于以太坊的主网络中。

用户可以根据不同的应用需求，添加自己需要的网络。比如你在玩一款由币安投资的区块链游戏，那么人家游戏是币安投资的，所以基础货币流通肯定也是币安的代币，那你就需要把网络切换到【币安智能链，英文简称：BSC，Binance Smart Chain】的主网络上，使用 BNB 才可以与游戏进行一些基础交易。

你玩什么应用，就要对应到应用所需的网络中，比如 OpenSea 的 NFT 市场，对应的则是【以太坊主网】，对应代币则为 ETH 。

如何添加并且切换网络呢？

这里提供一个网站，通过 https://chainlist.org/ ，可以进行链接钱包，自动添加网络。

具体操作如下，点击 connect wallet 链接钱包：

弹框，点击下一步：

点击连接：

币安的网络可以搜索 ，bnb，点击 add to metamask：

approve，授权：

切换到 BSC (币安智能链)网络后，发现下面的代币也随之改变了，变成了 BNB：

2、添加代币

名称解释：

代币，英文名，token。

钱包的网络下，除了主网默认的代币外，还可以手动添加代币，前提是该代币也是基于此网络的。

怎么理解代币，每个区块链技术都有可能会有自己的代币，你可以理解为它们自己的货币，如果你想用人家的技术，或者玩别人平台的游戏，那么就需要用到人家发行的代币。

就像我们玩 QQ 一样，你想买 QQ 皮肤，那就需要充值 Q 币一样。你想玩王者荣耀，就需要充值王者点券一样。不同平台对应着自己的平台虚拟币。

以 【以太坊】主网举例，下图我们可以看到，默认代币 ETH 。

这里举个例子，更通俗易懂。

前一阵，区块链游戏 LOK （League of Kingdoms），一款类似于海岛奇兵的免费链游，正式发行了它的代币，名字叫 $LOKA。

但显然，我现在的钱包网络里，以太坊主网下面明显是没有该币种的。我应该如何添加它呢？

首先，点击下图的 import token（导入代币）蓝字：

进入后，可以看到下图搜索，LOKA，发现并没有搜到：

既然搜不到，只好点击【自定义代币】了：

可以看到，第一行就需要我们填写合约地址，那我们如何查找它的合约地址呢？

这里推荐一个我自己常用的网站 coinmarketcap。

顺便可以用谷歌邮箱注册一下，是一个非常好用的币圈资讯类工具网站：

https://coinmarketcap.com/invite?ref=GXK9W11L

PS：多说一句， coinmarketcap 每日有钻石💎签到的任务，足够数量的💎，可以在该平台上免费换取 NFT。白嫖的机会不要错过哦~

回归正题：

搜索栏🔍，LOKA，便可以看到代币名字出现：

进入后，找到 contracts 这一项，便是代币的合约地址了，把它复制一下：

粘贴到合约地址上，稍等2s，下面的代币符号和精度会自动填充，然后点击【add custom token】：

点击【import tokens】：

LOKA代币添加成功：

3、钱包地址

Account1下面有一串 0x..... 的符号，即为钱包地址，可以理解为现实世界的银行卡号。当要发生转账交易的时候，必须知道你的卡号才能给你转钱。钱包地址，同理。

当你创建完新钱包后，钱从哪里来？肯定是需要从有钱的资金账户里给你转进来。（可以是你自己的交易所账户，也可以是找有货币的好朋友，让他们帮你转入）

很多新手最困惑的地方也在于此，那这里我们放在后面的转账部分说。

关于钱包地址，在小狐狸钱包中，你不论切换哪个网络，它只要是一个账户下的，钱包地址都是统一的一个，比如可以看下图：

当前是以太坊为主网络，地址为 0xCC1...43A4 ：

切换到 BSC 网络，可以看到地址依然为 0xCC1...43A4 ：

大家初次使用，可以自行切换网络，把两个地址粘贴出来，做个对比，看看是否相同。

那如何改变自己的钱包地址呢，或者准确的说，作为第一个学习的钱包账号，我授权了很多第三方网站，很担心后期的资金风险，我应该如何新建账号？

我们可以点击右侧头像图片，在弹出的框中，你可以看到下图的几个选项：

点击，新创建账户，起一个你想要的名字：

创建完成后，可以看到，我的账户中多了新创建的账户：

查看地址 0x07E...10af，已经变为新的地址了：

新创建账户，可以有效的解决资产分散规范的问题，比如你一个账户作为只用来交易【以太坊主网络】的账号，另一账户只用来作为交易【BSC，币安智能链主网络】。

也可以解决隔离作用，比如像上面提到的，新手小白学习阶段，你钱包第一个账户会授权很多网站，参与空投之类的，从而造成的授权网站不安全的问题。

4、转账

名词解释：

USDT，泰达币，1：1锚定美元的一种基础数字货币。

ETH，以太币，以太坊的代币。

准确的说，转账部分不算是钱包的操作，更多的是交易所或者其他资金账户里的操作。为了便于大家实操理解，关于转账的操作，这里放上一个交易所提币的图片，供大家参考。

以 MetaMask 网络为以太坊举例，我们要先在交易所里购买 ETH ，如下图：

可以看到，图中这里是用 USTD 进行购买的 ETH ，当前时间价格，1ETH ≈ 2300 USDT。图中右边绿色2411.73的价格，是当前买入的第一个价格，如果着急购买，可以把自己的【限价委托】下面的【价格格，改为和这个一样的数字，我委托的价格是，2410.98 USDT。

PS：我用的交易所是【欧易】，英文：OKEX（前一阵改名，叫 OKX 了），目前支持大陆交易（微信，支付宝，银行卡）购买 USDT 。推荐使用不常用的银行卡进行转账交易。

官方注册网址：

https://www.ouyicn.click/join/11768704

注册的时候，首选 Google 邮箱进行注册。kyc认证可以用大陆身份证进行认证，解除每日交易的限额。

购币的操作有些敏感，很多小白会卡在这一步很久，但其实，当你迈出注册账号，并且过了 kyc 验证的那一步，转账入金的好奇心，终归不再是门槛，而是打开新世界的大门....所以具体操作，不罗列，大家可以自行研究，因为，真的不难，只要是用过手机的人....相信都可以研究出来！

当你成功购买 ETH 后，在 APP 的资产项里，进行提币操作：

点击提币：

提现网络，选择 ETH-ERC20，注意别选错了....这个是 ETH 主网对应的协议。

提现地址，填写小狐狸钱包的账户钱包地址，也就是 0x... 那串。

数量，根据你已购的 ETH 进行转账。

手续费，购买的 ETH 余额里，要留出手续费。

提示：为了确认自己的第一次操作无误，建议先小额进行 ETH 转账，无非就是多花一次 0.005 ETH 的手续费。

0.005 ETH ，大约 70 RMB，一次手续费虽然不便宜，但是多少可以规避大金额转错账的情况。

五、常见问题

1、语言在哪里设置？

打开设置-通用，语言（根据自己常用语言设定）：

2、助记词忘记了怎么办？

当你没有换设备，或者浏览器没有卸载插件的前提下，可以按照如下方式查看当前的助记词：

打开设置：

找到【安全-隐私】：

点进去，输入密码即可：

输入账户密码后，即可看到助记词，不做演示了，信息敏感，大家自行实验。

3、助记词恢复钱包，账户丢失问题

小狐狸在网页端账户有多个，助记词恢复后，发现账户丢失。

案例：先用浏览器插件创建了一个账号1，成功后把这个账户导入到了小狐狸app中，再用浏览器插件创建了账号2，发现助记词一样，这时浏览器插件有两个账户，小狐狸app只有一个账户了。

具体可以看下官方的解释：

https://metamask.zendesk.com/hc/en-us/articles/360015489271-How-to-add-missing-accounts-after-restoring-with-seed-phrase

https://metamask.zendesk.com/hc/en-us/articles/360058120992-My-Seed-Phrase-Secret-Recovery-Phrase-restored-the-wrong-account?source=search&auth_token=eyJhbGciOiJIUzI1NiJ9.eyJhY2NvdW50X2lkIjoyMzEzMDkzLCJ1c2VyX2lkIjoxMjY1MDc3NDUyMjQ5LCJ0aWNrZXRfaWQiOjI1MDQ1MCwiY2hhbm5lbF9pZCI6NjMsInR5cGUiOiJTRUFSQ0giLCJleHAiOjE2Mjk4NTQ5MTZ9.7hhPCTN2kyHS6AIN597k46WiQ0yl7LBoI9Xc6WsRuUY

大意就是，官方解释道，目前的移动端暂时不支持恢复。

如果你通过助记词在手机上恢复钱包，发现丢失了账户，那么可以手动点击，Create New Account：

最终的账户生成的新账户地址，其实是和你网页端钱包地址是一样的。

笔者猜测：

MetaMask这个账户地址，我估计是根据助记词生成的 而且是按顺序的，每个助记词，从 0 - 100 个账户，每个账户都有一套生成规则。

后来看了钱包的算法，大意是这样：

由助记词生成私钥，有一个根私钥，也就是我们新建账户后，metamask默认创建的Account1，它作为 Root 私钥，同时根据 Root 私钥生成公钥，当你新建账户时，根据该 Account1 账户，派生出第二个私钥，在根据私钥生成对应的第二个公钥，也就是 Account2 的钱包地址。

目前，通过助记词恢复账号的时候，metamask会默认只有一个根账户，其余钱包地址账户如果余额依然在链上，那么不会消失，只需要手动新创建一下账户即可，原来的老账户即可恢复。

所以，对于现在的移动端，暂时不支持恢复，然后手动点一下创建账户，相当于通过助记词用算法直接把账户地址按照顺序算出来了... 由于之前账户交易已经上链了，账户地址里的钱还会存在。

以上就是小狐狸钱包常用的功能了，后续交易的具体操作，会更新在其它系列文章里。

感谢观看，希望可以对你有所帮助。

💎 |币圈萌新|NFT学习中|成为科学家的路上|💎

我的Twitter：@dami