前两天有个朋友私信我,说他在一个”去中心化交易所”上交互了一笔,结果钱包里的几千U全被转走了。聊了半天才发现,他授权的时候没仔细看,签了一个恶意合约。这种事情在币圈真的太常见了,几乎每个月都能听到。今天就给新手朋友们系统聊聊,你的数字资产到底该怎么安全保管。
上图:各类资产存储方式的使用比例
一、大资金一定要用硬件钱包
如果你手里的资产超过一万块人民币,那就别嫌麻烦,买个硬件钱包吧。Ledger、Trezor、OneKey,这些都是经过市场验证的产品。硬件钱包的原理很简单:私钥永远不联网,交易在硬件内部签名,然后才把签名结果发给电脑或手机。就算你的电脑中毒了,黑客也拿不走你的钱。
很多新手觉得麻烦,”我就放在交易所不行吗?”行是行,但要搞清楚一个道理:交易所里的钱不是你的,是交易所欠你的债。FTX暴雷的时候,多少人的钱一夜之间归零?自己做钱包虽然麻烦点,但钱在你自己的私钥里,谁也动不了。
买硬件钱包的时候注意:只在官方渠道买。千万别去闲鱼、拼多多买二手或者所谓”全新未拆封”的,有被植入恶意固件的风险。到手之后先重置一次,自己生成助记词,不要用设备自带的。
二、助记词就是你的命根子
这句话说一百遍都不为过:助记词丢了,神仙都救不了你。保存助记词的正确做法是什么样的?
第一,手写在纸上,多写几份,分别放在不同的安全地方(比如家里的保险箱、爸妈家、银行保险柜)。第二,不要截图存在手机里,不要存在微信收藏或者备忘录里,不要拍照片存在iCloud或者网盘。第三,可以考虑用钢片刻字保存,防水防火防霉,淘宝上有专门的助记词钢片钱包卖。
我自己是用了三份备份:一份在家保险柜,一份在办公室,一份在银行保险箱。虽然有点折腾,但万一出事,这几百块的投入能救你几十万的资产。
三、日常操作要注意这些细节
平时做交互、转账的时候,有几个坑特别容易踩:
授权问题:不要随便点”Approve”或者”授权”。每次授权前,看清楚这个合约是干啥的,授权额度是多少。很多黑客就是利用你不看合约内容这一点,让你授权了无限额度,然后把你钱包掏空。
钓鱼网站:币圈的钓鱼网站太多了,有的做得跟真的项目方网站一模一样。怎么防?收藏夹里存好真正的网址,每次访问之前核对一下域名。差一个字母都不行。
空投诈骗:突然有个看起来不错的NFT掉到你钱包里?别高兴太早,别去它的网站交互。很多钓鱼手法就是先给你发个空投,引你去它的网站连接钱包,然后偷你的授权。
合约交互:如果要频繁交互(比如刷空投),建议专门用一个”热钱包”,只放够用的Gas费和小资金。大资金放在冷钱包里不动。这样就算热钱包出了问题,损失也可控。
说到底,安全两个字没那么复杂:多一份小心,少一份损失。币圈赚钱不容易,别因为粗心把辛苦赚来的钱搞没了。
四、防止社交媒体诈骗
币圈的骗子特别喜欢在社交媒体上活动。常见的套路有几种:冒充项目方官方账号,在推特评论区回复说”我们的空投正在进行,点击链接领取”;在Telegram群里冒充管理员私信你,说”你的钱包需要验证”;还有在Discord里发假的验证链接。这些骗子话术一套一套的,看起来挺真。
怎么防范?第一,官方人员不会主动私信你,除非你去找他们。第二,任何需要你输入助记词或者私钥的网站,100%是骗子。第三,安装一个钱包安全插件,比如Wallet Guard或者Pocket Universe,它们能在你签署恶意交易的时候弹出警告。这几个工具我自己都在用,确实拦截过几次钓鱼网站的签名请求。
五、定期检查和清退授权
很多人授权完一个协议就忘了,过了一年半载钱包里多了几十个授权记录。这些旧授权就像给你家留了后门,万一那个协议被黑客攻击了,你的钱包也跟着遭殃。建议每个月用Revoke.cash或者Etherscan的Token Approvals检查一下授权列表,把不再使用的授权全部取消。几分钟的事情,能省心很多。
