小狐狸和imToken钱包被盗?针对主流钱包的攻击 钓鱼正大规模爆发

22年11月，分布式资本创始人沈波价值4200万美元的数字资产被盗，被盗资产包括：38,233,180枚USDC、1607枚ETH、719,760枚USDT以及4.13枚BTC。据安全机构慢雾后续分析称，被盗是因为助记词泄漏所导致。

2.私钥（助记词）丢失

英国IT工程师JamesHowells在2013年弄丢电脑硬盘，里面存有8000枚比特币，9年后，计划花7430万美金翻遍垃圾场来找回电脑硬盘。

3.点击病毒链接

一用户胡乱点击别人发送的链接，导致黑客读取metamask本地加密备份，所有资产被盗。

推特KOL点击别人私发链接，导致推特账户被盗，然后发布带毒空投信息，利用粉丝对KOL的信任点击链接盗走粉丝资产。

4.随意授权，应用出现漏洞

10月2日，TokenPocket旗下闪兑DEXTransitSwap官方表示遭遇黑客攻击，资产损失超1500万美元，提醒用户取消授权。

10月11日，DeBank团队开发的插件钱包Rabby称其Swap合约存在漏洞，建议用户取消RabbySwap授权，最终黑客获利超19万美元。

5.下载假的APP（带病毒软件）

一些黑客获取平台用户信息后，通过短信给用户散布恐慌信息，平台已经不安全，需要点击链接重新安装应用或登录账户，登录后，账户资金被盗。

一用户下载假的Binanceapp，转账时，转入其他人地址，5个ETH的资产彻底丢失。

我们从上述案例可以看出，用户资产被盗，主要集中在这几种情况：私钥（助记词）泄漏，私钥（助记词）丢失，点击病毒链接，随意授权，应用出现漏洞,下载假的APP（带病毒软件）等几种情况。

接下来，我们来整理下有哪些方法可以避免上述情况的发生。

如何避免财产损失

1.私钥的保存（核心：不易丢失，不易损坏，其他人无法接触或接触也无法使用）

钱包生成后及时备份，双重备份，因为一旦丢失，将无法找回

助记词保存在不联网且不易丢失和损坏的介质上，比如抄在纸上，自己进行加密（增加或减少特定字符，方便记忆）；找一台永不联网手机的拍照存储；有一些钱包提供商会出售助记词相关的铁板。

使用冷钱包（硬件钱包），选择知名的冷钱包；应从官方渠道购买，不要通过第三方渠道购买（第三方渠道可能存在病毒）；设置较强的密码，同时备份私钥，防止硬件钱包丢失或损坏。

2.防止私钥（助记词）泄漏

• 不要复制粘贴私钥，有些软件可以读取用户的剪切板


• 不要将私钥保存在微信收藏，传输文件，百度云，印象笔记等网络平台


• 绝不告诉任何人私钥，记住，是任何人，一些骗子假冒钱包官方人骗取你的私钥，不要相信，钱包方也没有权力获取用户私钥


• 使用公共Wi-Fi时，不要复制粘贴私钥


• 下载各种应用，应去官方渠道，所有应用商店有时也不可信（记住，是所有），存在虚假应用


• 钱包签名时要谨慎，DeFi协议和NFT交互重度用户，记得及时撤销授权，防止应用出现漏洞后导致资产被盗


• 不要随意点击别人发送的链接（短信），下载别人分享的文件，甚至一些kol的链接也不要随意点击，有可能含有病毒


• 一旦发现钱包有一点资产泄漏，应第一时间舍弃钱包，不要抱任何侥幸心理


• 不使用免费的VPN


• 紧跟新闻，实时了解新的被盗信息

以上所有的措施，其实都是为了保护你的私钥不泄密，Notyourkey,notyourcoin！

3.资产分散放置

可以将自身资金分散放置在钱包与交易平台中，虽然FTX出事，导致中心化交易平台信任缺失，但对于绝大多数人来说，资产放在几个中心化头部交易平台比拿在自己手中相对要安全很多，便利性也会比钱包好一些，只要不是特别大的损失，几个头部平台一般都能赔的起。

使用中心化交易平台需要注意几点：

• 开启三重验证（手机，邮箱，谷歌二次验证）


• 开启提coin白名单


• 从官方渠道下载App


• 转账时，确认地址是否正确