#XPET #web3 #安全措施
今天又看到有人因爲點擊釣魚網站被盜，我之前也有過類似經歷，我當時是太信google了，以爲google搜索結果對這個的過濾做的應該還是可以的，結果證明我錯了，下面總結了一些我認爲的可以有效避免的方式。
惡意授權的風險
1. 質疑搜索結果的可靠性
我過去總認爲Google的搜索結果最多是推送一些廣告，而不會出現釣魚網站。然而，我的資產正是因爲誤點了Google推送的廣告而被盜，這個網站實際鏈接到了一個精心設計的釣魚網站。在那裏，我進行的所謂的“授權登陸”操作，實際上賦予了該網站無限額USDT操作的權限。因此，對任何搜索結果都要保存警惕。

2. 細讀授權內容
很多情況下，如果不慎進入釣魚網站，你所看到的界面及彈出的Metamask錢包內容都可能被篡改，含有釣魚代碼。在這種情況下，最安全的做法是立即關閉網站。在中心化的網絡環境中，我們常常習慣於不閱讀條款就直接點擊授權，黑客正是利用了這一點來盜取資產。因此，每次點擊授權前，務必仔細閱讀授權信息，並覈查網址，這是保護資產的最後一道防線。

我們該如何防範？
1. 使用Brave瀏覽器：這款瀏覽器爲Web3而設計，比Chrome在攔截釣魚網站方面更爲有效，同時在隱私保護和廣告攔截。我之前也測試過Chrome和Brave對釣魚網站的反應，Chrome會直接放行，而Brave可以有效攔截，此外，這段瀏覽器在隱私保護和廣告攔截上也有優勢；
通過DefiLlama進入Defi項目：或者保存自己經常使用的Defi項目網址，這是大家保護自身資產的重要一步；
2. 細讀每一筆授權：從現在開始培養這一習慣；
3. 定期檢查和撤銷不必要的存取權限：如果你經常使用dapp參與智能合約，建議定期檢查和撤銷不必要的權限。可採用Metamask官方推薦的方法來操作，具體詳情可參見這裏
助記詞泄漏
避免主動提供敏感信息
黑客常以各種藉口誘導用戶泄露自己的助記詞或私鑰。在任何情況下，我們都不應向他人提供這些極爲敏感的信息。

謹慎儲存私鑰和助記詞
儘管Metamask等錢包可能存在潛在漏洞，但通過這些漏洞導致私鑰或助記詞泄漏的機率相對較低。有些用戶擔心遺忘助記詞或私鑰，選擇將其明文保存在網盤等聯網設備上，這種做法極爲危險。我們應該盡一切努力避免助記詞或私鑰暴露於網絡環境中。

分散管理資產
把所有資產集中在一個錢包地址是風險極大的行爲。一旦該地址受到攻擊，可能導致全部Token損失。

如何有效防範？
1. 絕不泄露助記詞或私鑰：無論面對何種情況，都不要向他人展示或提供自己的助記詞或私鑰。
離線保存敏感信息：不要在任何聯網設備上保存助記詞或私鑰，採用3拷貝的分佈式離線保存方式。
2. 資產分散管理：避免將所有資產放置於同一個錢包地址，以減少單一點風險。
3. 積極使用硬件錢包：硬件錢包提供更高級別的安全保護，是管理數字資產的理想選擇。

人生最不幸處，是偶一失言，而禍不及；偶一失謀，而事俸成；偶一恣行，而獲小利。後乃視爲故常，而恬不爲意。則莫大之患，由此生矣。
#安全措施 #ETH