之前在 数千pols打完即被盗,钱包安全使用再普及, 中简单了提及了钱包安全使用问题,但是并不是很全。
这一期找到不知道之前在哪里复制粘贴的钱包安全指南来分享,已经找不到出处了。
web3三天两头就会爆出钱包资产被盗的事情,也不过就两周而已,就出了下面那么多问题。
比如像这样,误点kol发的链接被 rug
还有冲到蹭热点的无良土狗
以下就是之前不知道在哪里复制的安全使用指南,这里先谢谢作者,实在找不到出处了。
自用钱包风险
1、助记词或密钥被盗:PC被黑、浏览器被控制,手机被黑/钱包被控制,助记词拍照、保存在云笔记后被盗,电脑中恶意软件(如输入法)记录助记词等等
重要的事情讲三遍
不要随便点击 KOL 或者 群友 发的链接
由于点击不明链接被转走的事情层出不穷。
2、助记词被骗:遇到高仿钓鱼网站/假DC群/假电报群/电报的假客服/推忒上的假客服……
3、操作失误:转错地址、转错公链、转到合约地址等等
4、授权风险:给不安全的智能合约过度授权
5、貔貅盘:买到只能买不能卖的貔貅盘
6、假NFT:买到假的同名NFT
7、假合约地址:买到假的同名token
来自项目方或黑客的风险
1、合约安全漏洞,被黑客攻击
2、项目方软跑路、归零
3、项目方硬跑路(rug)
4、项目方操作失误(Beefy、HBO技术人员操作失误)
5、项目bug:比如某杠杆挖k第一天swap出现的几十万滑点
6、项目暗规则:入场费(某公链项目收取99%的入场费)等
7、项目机制漏洞,如闪电贷和预言机价格攻击等
8、项目方金库被盗、跨链桥资产被盗
如何规避风险
安全只能靠自已,靠良好习惯、靠坚守风控纪律
1、钱包
(1)使用硬件钱包,以避免手机/PC被黑的风险
(2)反复核对钱包官网,官方推忒、官方网站反复核对,多渠道验证钱包官网地址
2、助记词
(2)助记词卡纯手写、物理保存,不触网
(2)纸质保存时注意防水,也可使用钢制助记词卡(防水/防火)
(3)助记词卡存放在保险柜(防止遗失)
(4)也可将同一组助记词分成两组分别存放,使用时两组拼接上构成完整助记词
(5)任何情况下,不要在可信钱包以外的任何网页上输入助记词
(6)不要向任何人提供助记词,询问你助记词的,100%是骗子
3、钱包分级、资产隔离
(1)大额资产隔离
比如,Anchor挖矿的大额资产单独放一个硬件钱包,该钱包不做其他交互
(2)安全分级
资产放置越多的钱包,安全标准越高,经常交互的钱包里,只放小额资产
(3)不同的链也尽量隔离
不同的链上存在授权安全风险,有精力尽量避免不同链不同钱包
4、分仓
(1)任何单一项目(包括单一项目关联的项目,如机枪池),投入资金比例不超过10%,历史上安全记录再好的项目,也没有人能保证永远不出问题
(2)未经过市场验证的新项目尽量不投入资金,即使是1000%的APR,在100%的本金面前也微不足道
5、少跨链
(1)原生资产放在原生公链保管或挖矿
(2)不要信任任何跨链桥,桥的风险是系统性的
(3)大额资产坚决不要跨链去追逐新链的高ARP新矿,链、DApp、跨链桥,这是多重风险的叠加
6、谨慎授权
(1)少交互:放置大额资产的钱包,尽可能少做合约交互
(2)经常清理授权:使用使用第三方工具清理合约授权,你不清楚哪个合约会有新漏洞
(3)有限授权:每次授权,确认授权金额,将无限授权修改为有限金额的授权
(4)经常交互的钱包,只放小额资产,即使有授权风险,也只会损失少量资金
7、反复核实官网
多渠道核对项目官网,避免进入高仿钓鱼官网。
- END -
根据央行等部门发布“关于进一步防范和处置虚拟货币交易炒作风险的通知”,本文内容仅用于信息分享,不对任何经营与投资行为进行推广与背书,请读者严格遵守所在地区法律法规,不参与任何非法金融行为。
往期
DePIN是啥?会继DEFI后,推倒WEB3下波落地的水晶塔嘛
