#XPET #web3 #安全措施

今天又看到有人因为点击钓鱼网站被盗，我之前也有过类似经历，我当时是太信google了，以为google搜索结果对这个的过滤做的应该还是可以的，结果证明我错了，下面总结了一些我认为的可以有效避免的方式。
恶意授权的风险
1. 质疑搜索结果的可靠性
我过去总认为Google的搜索结果最多是推送一些广告，而不会出现钓鱼网站。然而，我的资产正是因为误点了Google推送的广告而被盗，这个网站实际链接到了一个精心设计的钓鱼网站。在那里，我进行的所谓的“授权登陆”操作，实际上赋予了该网站无限额USDT操作的权限。因此，对任何搜索结果都要保存警惕。

2. 细读授权内容
很多情况下，如果不慎进入钓鱼网站，你所看到的界面及弹出的Metamask钱包内容都可能被篡改，含有钓鱼代码。在这种情况下，最安全的做法是立即关闭网站。在中心化的网络环境中，我们常常习惯于不阅读条款就直接点击授权，黑客正是利用了这一点来盗取资产。因此，每次点击授权前，务必仔细阅读授权信息，并核查网址，这是保护资产的最后一道防线。

我们该如何防范？
1. 使用Brave浏览器：这款浏览器为Web3而设计，比Chrome在拦截钓鱼网站方面更为有效，同时在隐私保护和广告拦截。我之前也测试过Chrome和Brave对钓鱼网站的反应，Chrome会直接放行，而Brave可以有效拦截，此外，这段浏览器在隐私保护和广告拦截上也有优势；
通过DefiLlama进入Defi项目：或者保存自己经常使用的Defi项目网址，这是大家保护自身资产的重要一步；
2. 细读每一笔授权：从现在开始培养这一习惯；
3. 定期检查和撤销不必要的存取权限：如果你经常使用dapp参与智能合约，建议定期检查和撤销不必要的权限。可采用Metamask官方推荐的方法来操作，具体详情可参见这里
助记词泄漏
避免主动提供敏感信息
黑客常以各种借口诱导用户泄露自己的助记词或私钥。在任何情况下，我们都不应向他人提供这些极为敏感的信息。

谨慎储存私钥和助记词
尽管Metamask等钱包可能存在潜在漏洞，但通过这些漏洞导致私钥或助记词泄漏的几率相对较低。有些用户担心遗忘助记词或私钥，选择将其明文保存在网盘等联网设备上，这种做法极为危险。我们应该尽一切努力避免助记词或私钥暴露于网络环境中。

分散管理资产
把所有资产集中在一个钱包地址是风险极大的行为。一旦该地址受到攻击，可能导致全部Token损失。

如何有效防范？
1. 绝不泄露助记词或私钥：无论面对何种情况，都不要向他人展示或提供自己的助记词或私钥。
离线保存敏感信息：不要在任何联网设备上保存助记词或私钥，采用3拷贝的分布式离线保存方式。
2. 资产分散管理：避免将所有资产放置于同一个钱包地址，以减少单一点风险。
3. 积极使用硬件钱包：硬件钱包提供更高级别的安全保护，是管理数字资产的理想选择。