AZUKI:Web3黑暗森林自救指南，5000字說透錢包和安全_AZU幣

今天TP錢包上面transit閃兌服務鬧得沸沸揚揚，黑客已盜上億資金，我們在web3傲游的同時如何保障資金和隱私安全？

看完本篇你應該不會再被盜了吧！

一、你所有的操作都有泄露隱私的風險

網絡世界的安全問題實際上一直縈繞從所有人的頭上。

關于安全的知識龐雜而又繁瑣，我們首先要掌握一個原則，計算機世界里，幾乎沒有安全的地方，甚至你的每一步操作都有泄露隱私的風險。

之前也有很多人做過這方面的科普，但要么過于簡單、要么過于復雜。這篇文章里，我準備用最簡單、易懂的語言，讓盡可能多的人讀懂。

具體來說，我們需要關注的安全問題應該包括一下幾個方面：情緒控制、web3錢包的使用、設備的使用、個人隱私保護。

二、情緒是你最大的敵人

這里我繼續說一下自己stepn鞋子差點被盜的經歷，希望對大家會有一些警示作用。前不久我弄了一雙stepn鞋子想給家人使用，由于鞋子始終不能正常運行，無法獲得gst。我每天通過郵件和Discord與官方客服交流，但始終沒解決問題。這時我因為一直無法賺到gst變得有些焦慮，在無意中發現有Stepn的“客服”通過私信與我交流。客服表示這個問題是由于服務器維護導致的，只要提供賬號郵箱和驗證碼確認身份就能解決問題。?

重點來了，由于國內很多服務都是需要提供驗證碼以驗證本人身份，加上郵件上只寫了”completeverication”而沒有提示驗證碼具體的作用，特別是自己也已經很焦慮。收到驗證碼后，我沒想太多復制了驗證碼。所幸在我按下“回車”的那一刻突然清醒過來，”WewillneverDMyou”這句discord名言突然在腦中回響，我立即停止了所有的操作。然后來到stepn的服務器驗證，發現所謂的”客服“果然是騙子。

Azuki聯創：Elementals鑄造確存處理不當問題，預售窗口將會延長:6月28日消息，由于預售時間和網站托管等問題，NFT項目Azuki聯合創始人locationtba發推承認Azuki Elementals鑄造處理不當的責任。locationtba表示Azuki Elementals鑄造流程存在重大缺陷，嚴重低估了Azuki和BEANZ持有者預售第一階段和第二階段所需的時間，應該將持續時間延長到10分鐘以上，以便在出現任何問題時（確實存在問題）有足夠的緩沖。另外，盡管受到容量限制，但后續Azuki Elementals網站仍將由Vercel托管，以確保能夠處理預期的負載。鑒于預售階段出現的種種問題，Azuki Elementals預售窗口將會延長。

另據Opensea最新數據，Azuki Elementals地板價現為1.91ETH，跌破發行價2ETH。Azuki品牌NFT系列均大幅下跌，Azuki地板價跌至10ETH，24小時跌幅31%，BEANZ跌幅超40%。[2023/6/28 22:04:49]

可謂是騙子聚集地，項目方一般都會有明顯的提示

回過神來，才發現一雙價值幾千刀的鞋子就這么差點被“客服“騙走，真是兇險萬分。后來我看了許多安全方面的資料。發現焦慮和傲慢這兩種情緒是我們在區塊鏈世界最大的敵人。

1、焦慮

大部分人都像我一樣，來到區塊鏈世界是為了賺錢的。但只要涉及到金錢，難免會產生fomo、焦慮的情緒，例如前幾天GAL首發的時候有人以200刀的價格入場，又如有的NFT玩家在開盤前被騙到了假的網站mint……

總之，焦慮是所有投資人的大忌，一旦與錢打交道的時候，一定要想辦法保持冷靜。

2、傲慢

與焦慮相反的一面是傲慢。許多人認為自己是行業大佬，上知區塊鏈技術下知匯編語言，熟知各類騙術，怎么可能會被騙？但恰恰是這樣的傲慢，才會屬于防范，前不久就發生過DefianceCapital創始人ArthurCheong錢包被盜的事件。據報道，ArthurCheong只是中了一個最常見的攻擊方式：打開了郵件里帶有病的文件。

比特幣價格上漲至2.9萬美元，導致空頭交易者被清算1.22億美元:金色財經報道，自上周末貝萊德向美國證監會申請在美國推出BTC Spot ETF以來，比特幣一直是加密貨幣市場中表現最好的品種之一。公告發布后不久，BTC從25,000美元左右升至近26,500美元。在6月20日進行了大規模的反彈，飆升至近28,800美元（根據CoinGecko數據）。

從邏輯上講，六周的高點導致了大規模的清算。Coinglass透露，在過去24小時內，這個數字已經超過了1.55億美元，其中空頭交易者被清算1.22億美元（占該部分的78%）。比特幣交易占了總份額的7000多萬美元，而以太坊又增加了2500萬美元。[2023/6/21 21:52:03]

所謂“驕兵必敗”，不少人的事業在處于上升階段的時會以為自己總是對的那一個，忽略了很多其他方面的問題，等到災難降臨的時候已經一切歸零。

三、如何安全使用web3錢包

前面是從人性的角度講述可能的攻擊手段，現在我們從大家最關心的錢包安全開始，說一些大家最關心的問題。

1、冷錢包、熱錢包、交易所

我們的代幣有三個地方可以存放。其中以冷錢包最為安全，如Ledger。對于大多數人來說，只要做好密碼保護和雙重驗證，交易所實際上會比熱錢包更安全；我們的熱錢包因為時刻在鏈上，一旦發生錯誤的授權，資產就很容易被轉移。

2、USDT的潛在風險

很多人以為USDT很安全，其實USDT是由Tether公司管理的，一旦被認為是黑錢，Tether可以輕松凍結這一筆錢。所以遇到不明來源的USDT最好還是小心點。同理，需要注意的是USDC，也是會被凍結的。

3、錢包的各類交互操作。

先說一個大家最容易犯錯的地方，就是簽名。一般認為簽名不涉及授權，不會有操作風險，但是遇到非明文寫下的簽名，還是有安全隱患的，好在現在metamask都會用紅字提示。

OpenAI正為ChatGPT添加插件支持，允許使用第三方服務:3月24日消息，OpenAI 宣布正在為 ChatGPT 添加對插件支持，插件是專門為以安全為核心原則的語言模型設計的工具，可幫助 ChatGPT 聯網訪問最新信息、運行計算或使用第三方服務。

OpenAI 已開放第一批 ChatGPT 插件名單，這批插件由 Expedia、FiscalNote、Instacart、KAYAK、Klarna、Milo、OpenTable、Shopify、Slack、Speak、Wolfram 和 Zapier 創建。OpenAI 表示，將開始把插件 Alpha 訪問權限擴展到候補名單中的用戶和開發人員。

檢索插件允許ChatGPT搜索內容矢量數據庫，并將最佳結果添加到 ChatGPT 會話中。這意味著它沒有任何外部影響，主要風險是數據授權和隱私。[2023/3/24 13:23:50]

除簽名外，最常用的一個功能是授權。這決定了你授權了對方某個幣種可以自由使用的額度，一般來說像常用的Uniswap這類的DEX比較安全，但是一旦遇到新的項目要求你無限轉賬額度的授權，就一定要小心了。黑客們最喜歡用的一招就是讓你在焦慮、興奮、沮喪等情緒下，將你騙到一個假冒網站，讓你無意中將授權交給他。

這里提供一些查詢和授權的網站，仔細檢查一些是否有不明來源的授權，這對你很重要

https://bscscan.com/tokenapprovalchecker

https://hecoinfo.com/tokenapprovalchecker

https://polygonscan.com/tokenapprovalchecker

https://snowtrace.io/tokenapprovalchecker

俄羅斯財政部支持穩定幣交易合法化:金色財經報道，據一位高級政府代表稱，俄羅斯財政部（Minfin）準備支持俄羅斯使用穩定幣的交易的合法性。?俄羅斯聯邦財政部金融政策司司長Ivan Chebeskov指出，該部傾向于允許穩定幣在國內流通。Chebeskov觀察到俄羅斯財政部從俄羅斯企業主的角度考慮此事，Chebeskov稱，如果企業、公司或投資者需要定居，以新的方式進行投資，如果他們需要這樣的工具，因為它可以降低成本，比以前的工具效果更好，而且如果我們可以限制與之相關的風險，我們將永遠支持這些舉措，加密貨幣的使用可能會構建一個新的金融體系。[2022/7/11 2:05:25]

https://cronoscan.com/tokenapprovalchecker

https://revoke.cash/?擴展錢包Rabby?https://rabby.io/

近期還有一種偽裝成NFT的erc1155協議。黑客會將做一個與你錢包里同名的NFT，然后空投給你，一旦你在指定的網站上授權掛單，黑客就可以轉移對應的NFT，十分危險。所以不要隨便使用不明來源的空投。

Mint主要用于鑄造NFT，一般來說不會有什么風險。不過要確定自己mint的網站不是黑客偽造的，這類事件時有發生。偽裝的網站經常會把mint改為一個授權協議，如果在fomo的情緒中mint，很有可能沒注意協議導致誤授權。有的騙子很直白，會直接要求你sendeth給他……

4、其他錢包

很多人對ETH錢包的相關操作了如指掌，以為可以輕松駕馭其他的錢包。實際上，其他鏈的錢包更不安全。因為你對新的公鏈肯定不如對ETH了解那么深，公鏈和錢包在設計邏輯上也會存在bug，所以交互的時候應該更加小心，不要隨意使用陌生的網站進行陌生的交互。

以太坊網絡當前已銷毀超250萬枚ETH:金色財經報道，據Ultrasound數據顯示，截止目前，以太坊網絡總共銷毀2,500,375.97枚ETH。其中，ETH transfers銷毀231,114.70 枚ETH，OpenSea銷毀230,048.94枚ETH，Uniswap V2銷毀134,289.0枚。

注：自以太坊倫敦升級引入EIP-1559后，以太坊網絡會根據交易需求和區塊大小動態調整每筆交易的BaseFee，而這部分的費用將直接燃燒銷毀。[2022/6/30 1:40:58]

慢霧創始人余弦就提到過一個SOL案例。攻擊者批量給用戶空投?NFT?，用戶通過空投?NFT?描述內容里的鏈接進入目標網站，連接錢包?(上圖2)，點擊頁面上的?“Mint”，出現批準提示框?(上圖?3)。注意，此時的批準提示框并沒有什么特別提示，當批準后，該錢包里的所有?SOL?都會被轉走。這里面有兩個坑需要注意：a)惡意合約在用戶批準?(Approve)?后，可以轉走用戶的原生資產?(SOL)，這點在以太坊上是不可能的。以太坊的授權釣魚釣不走以太坊的原生資產?(ETH)，但可以釣走其上的?Token。于是這里就存在?“常識違背”現象，導致用戶容易掉以輕心。

b)Solana最知名的錢包?Phantom?在?“所見即所簽”?安全機制上存在缺陷?(其他錢包沒測試)，沒有給用戶完備的風險提醒。這非常容易造成安全盲區，導致用戶丟幣。

5、NFT

NFT很熱，相關的騙局也很多，比如：a)從傳統app彈出通知將你引到某NFT項目——好項目是不需要通過web2的方式來引流的。b)社區不斷地討論如何維護地板價——崩盤前奏。c)Discord上頻繁踢人、禁言——這是項目方沒有自信的表現。

d)沒有審計——雖然審計了也不一定安全，例如說被CertiK審計但卻登上REKTlist的那些項目；但不審計肯定危險，尤其是加disclaimer的那種，例如SpaceLoot

e)頻繁出現漏洞——比如gas過高，mint方式不合理

f）假冒NFT——許多新手會被誘騙買到假冒的NFT，所謂的假冒可能是仿冒了某個已經存在的NFT產品，也可能是謊稱由某知名藝術家制作，或者謊稱擁有某知名藝術家的授權發布的產品，因此購買NFT前最好多來源確認產品的合規性。

6、網站前端安全

網站不安全，一般是發生在以下幾種情況中：a）?HTTP肯定是不安全的——必須確保你使用的網站帶有HTTPS，HTTP網站的傳輸是未加密的，你的所有信息都有可能被黑客看到。b）被他人的信息帶入釣魚網站——不僅要警惕陌生人，有時候熟人也有可能由于早就被誤導，導致發送錯誤的鏈接給你，還有的時候是群聊中的朋友，一時輕信了某些消息，無意中傳播了釣魚網站。

c）官方網站被黑——這比較難防范，你能做的只有一直保持警覺，留意公告再三確認自己進入的網站是否安全。

7、剪貼板安全

剪貼板的風險主要在于被其他應用讀取你的個人信息，然后組成一套完整的個人檔案，獲得密碼或者錢包密鑰/助記詞。我對剪貼板做了一些查證，獲取了一下信息：a）幾乎所有的手機app都會讀取你的剪貼板，所以真的不能在手機上復制密鑰。b）谷歌近年來對chrome的插件做了很多限制，除非被破解或者用戶主動安裝來源不明的插件，否則插件是無法讀取剪貼板的，這個基本可以放心。

c）電腦上的各種軟件也有讀取剪貼板的可能，所以復制信息的時候要小心。

8、關于使用錢包的一些安全建議

a）不要復制，也不要使用網絡傳輸私鑰、助記詞。萬不得已時，蘋果用戶可使用隔空投送，其他用戶可使用telegramb）大額資產使用獨立的錢包c）新項目開始前，如果感到危險，可新建立一個錢包去參與d）對不明來源的空投保持警惕，騙子常常在nft上刻下釣魚網站的網址，將你誘騙到危險的地方

e）對每一次錢包的操作都保持警惕

四、設備安全

行走web3.0，保持設備與保證錢包安全同樣重要。

1、手機和電腦的操作系統應該保持更新并開啟自動更新，特別是不要使用停止維護的系統，比如win7。

善用windows安全中心可以保持良好的使用習慣2、不要使用root過的安卓手機，小品牌的安卓手機風險也很高，必須使用官方市場的app，最好是用googleplay，蘋果手機相對來說更安全。3、電腦上不要安裝不明來源的軟件，特別是國產軟件，幾乎沒有下限。4、虛擬機是個好東西，對于不明來源的文件可以嘗試使用虛擬機打開。現在win10就自帶虛擬機，具體使用可參照微軟官方文檔但一定要注意，有的黑客很厲害，能夠意識到自己正在“matrix”當中，會主動尋求跳出虛擬機的方法。5、瀏覽器和錢包必須保持更新。6、Wifi是最容易被監聽的渠道。永遠不要使用外面的wifi，自己家的路由器也要經常檢查，防止被監聽。如果不懂如何檢查，最好保存好相關的信息后每隔一段時間重置一次。7、你的SIM卡也不一定安全，黑客可以偽造一個相同的sim卡獲得你的信息。所以最好不要在網絡上炫富，更不要暴露真實身份，這會帶來很多麻煩。8、如果迫不得已要通過網絡傳輸密鑰，身邊的設備可以使用隔空投送功能，網絡傳輸建議Telegram，可以最大限度地避免被竊取。

9、出于不可名狀的原因，本人不建議任何人使用那個被大力推廣的反詐XXX。

五、社會工程學攻擊

黑客除了會尋找軟硬件上存在的漏洞，還會尋找用戶有意無意流露出來的信息，制造社會工程學攻擊。

1、密碼

不知大家是否知道，我們大多數的web2網站都被入侵過，甚至有的網站對密碼根本就沒有加密，網管可以隨意讀取，所以絕對不要把你使用過的密碼用在跟資產有關的地方。建議設置好幾套密碼，分別在不同的網絡和環境下使用，尤其是涉及到大額資金的密碼，必須使用包括大寫、小寫字母、數字、符號的10位以上的密碼，且不能含有生日這種容易被猜到的信息。對于一些不熟悉的軟件和網站，也可以單獨使用一套密碼，避免跟其他已知安全的軟件和網站混肴。

這里有個小建議，如果擔心記不住密碼，你可以使用一串數字為你的生日“加密”。例如，如果你的生日是19901202，你可以錯位加上一串家人的生日，像是19901202+05008210，然后再附上一些字母和符號，黑客沒法猜到經過你自己“加密”的密碼。

2、郵件釣魚

郵件或是其他聊天程序傳來的不明文件詐騙雖然很土，但依舊奏效，如果遇到必須打開的情況，可以按上文的方式，在虛擬機中打開。

3、不要輕信任何客服

這在上文已經提過多次，不重復了。

4.個人信息

Web3.0的個人信息除了包括生日、電話、家庭住址等，還應包括你的錢包地址，主資產錢包應該跟社交錢包絕對隔離，特別對于擼毛黨，如果你不想被舉報，一定不能泄露你的地址。你看，我的地址YouAirdrop.ETH里面什么都沒有：）

除了線上的隱私外，最好不要在生活中透露自己是個搞傳銷區塊鏈的，除了能避免很多誤會外，還能盡量避免被熟悉你的人通過你的個人信息進行撞庫攻擊。

關于社會工程學的知識可以再出一個專題，我們之惡要知道不要隨意泄露個人隱私就好了，如果想了解更多的信息，可以去知乎的這個問答下看看：

#結語

這篇文章中我們總結了沖浪Web3.0時的應對各種黑客攻擊的方式，但道高一尺魔高一丈，黑客們已經開始熟練地將各種攻擊組合在一起，完成更隱蔽、傷害更大的進攻。只有不斷提高警覺，才能免于受到黑客的侵害。大致來說，我們可以把握以下幾個原則：1、保持健康的情緒2、錢包交互的時候一定要看清楚內容3、密鑰、助記詞不能復制，應離線保存4、確保各項設備安全，并一直保持更新5、不要相信主動找你的“客服”，也不要隨意打開不明來源的文件，靈活使用虛擬機6、線上和線下都不要泄露個人隱私和資產

網絡安全是一個很龐雜的問題，本文難免有遺漏的地方，還請諒解。

Tags：NFTETHAZUAZUKIUWU Vault (NFTX)eth大學官網AZU幣HIAZUKI

幣贏交易所