近期接二连三的几例盗币事故令人揪心,不仅事主们丢币金额普遍在百万刀以上的量级,几乎就是失去了全部身家,而且所涉及的平台并非二线、三线小平台,而是这么多年深受广大用户信赖的一线大所(交易所),或者一贯以技术实力标榜的知名品牌,真的是触目惊心。
大家应该都有听闻。
一个老兄的资产15分钟被盗 500万 其余交易所各种被盗金额将近几千万美金。 甚至工作室撸毛的几千个钱包也被盗了。黑客猖獗异常,辛苦打工十年,全部给黑客做了嫁妆。
今天给大家总结一些防盗指南,不管资金多少,安全都是重中之重。
以上两起事件的用户,有一个相同点就是,交易所账户都没开启谷歌双重身份验证2FA。
交易所账号建议开启双重身份验证2FA 无论使用的是OKX、币安、Bitget、Gate......任何一家交易所,都最好开启该验证。
常见的骗子套路有哪些
往往官推的帖子下面会有假账号在回复钓鱼内容;很容易中招,而且防不胜防。就拿昨天的ZKS来说,昨天下午开放了空投查询,导致大量的散户都骂的热火朝天,当然我也没有领到空投,也是在骂项目方的行列。这时候,官推评论下面出来了一个一摸一样的头像,一模一样的名字,忘了截图了现在找不到了,估计是注销了已经,在官推下面评论的大致意思是,第一次检查没有资格,可以试试第二次检查。对于我们来说是一眼假,但是对于一些小白,新韭菜来说,不仔细看还真不好说。
如何辨别:
1、关注该账号的粉丝数,共同关注数(先多关注点大v), 关注推文互动情况和流量情况,刷的数据很容易看出来。
2、使用检测插件
此外是来自”官方“的钓鱼网站: 官推被盗的情况:比如之前的meson桥
3、从根本解决: 热钱包资产隔离
准备一个试错钱包: 资产账户隔离在手机账户里,不放在电脑里;相对操作会少很多。试错钱包里平时只放少量资产,第一次和网站,合约交互时就用该钱包 就算遇到了钓鱼网站或者不小心错误授权了,损失的资产也不多 环境也是隔离的。
搜索引擎搜索钓鱼
类似前面的推特诈骗当你使用搜索引擎下载钱包等web3 和app的时候大概率会遇到假网站,假app,更不要通过小道途径下载任何内容;只通过官方渠道。比如你要下载插件,请务必到谷歌市场,找到官方插件,下载量最多的那个就是真的。不要随便下载不知名的插件
应对方法: 不要再使用搜索引擎搜索;而使用推特搜索;官推下面的一定是官网,必备授权检测和网站监测插件。
空投nft和代币授权诈骗
BSC、ETH、SOL,每个链上的授权钓鱼非常多,攻击者批量给用户空投 NFT,用户通过空投NFT描述内容里的链接进入目标网站,连接钱包,点击页面上的“Mint”,出现批准提示框。注意,此时的批准提示框并没有什么特别提示,当批准后,该钱包里的所有 SOL 都会被转走。
适用于小白的防盗措施总结
1、不要明文保存私钥和助记词,不要截屏拍照,不要将私钥上传网络,可以将助记词放到离线存储(比如U盘、移动硬盘、不联网的pad等),然后一定要手写备份;
2、大资产放到冷钱包,加密助记词;
3、不要提供私钥给第三方钱包工具,应用,网站;
4、不要进行无脑授权,必须授权时必须阅读授权信息,及时取消授权,并且定期检查;
5、交易所账号 建议开启 双重身份验证 2FA。无论使用的是OKX、币安、Bitget、Gate......任何一家交易所,都最好开启该验证。如果使用的是Google身份验证器,检查下自己验证码是否同步到谷歌账户里了,如果同步到云端了,建议取消验证后重新设置。
6、请务必每次都去复制你的转账地址,核对地址;剪切板也会被攻击
人性安全
别贪心,天上不会掉馅饼
别粗心,剪切板可能被调换;转入地址可能是假的;对方可能是骗子;账号可能是假的;文件和app可能有病毒;合约可能是貔貅
别冲动;先看下合约对不对;别冲错地址了;
币圈就是暗黑森林;一旦资产丢失,是几乎不可能追回的;
所以啊,我们能做的就是不断提升自己的防盗防骗能力;
不然,好不容易辛苦赚的钱可能最后一不小心一场空。真的会让人很绝望,痛苦。
希望大家都能够在web3多赚钱;看完这篇文章;不会被盗不被骗;