此次黑客攻击导致价值 6.2 亿美元的盗窃(17.36 万 ETH 和 2550 万美元 USDC),最终仅追回了 3000 万美元。
我们应该如何保护自己虽然漏洞攻击越来越复杂,但仍然依赖于一些明显的迹象。常见的危险信号包括:
-
「导入您的钱包以领取 X」:任何合法服务都不会要求你提供助记词。
-
未经请求的私信:尤其指那些声称提供支持、资金或解决您未曾询问的问题的帮助。
-
域名拼写略有错误:例如,metamusk.io 与 metarnask.io。
-
谷歌广告:钓鱼链接经常出现在搜索结果中的真实链接上方。
-
好得令人难以置信的优惠:例如「领取 5 ETH」或「双倍代币奖励」活动。
-
紧急或恐吓策略:「您的账户已被锁定」、「立即领取,否则资金损失」。
-
无限代币批准:用户应自行设置代币数量。
-
盲签名请求:十六进制有效载荷,缺乏可读性解释。
-
未经验证或模糊的合约:如果代币或 dApp 是新的,请检查你正在批准的内容。
-
紧急 UI 提示:典型的施压策略,例如「您必须立即签署,否则将错失良机」。
-
MetaMask 莫名签名弹窗:尤其是在需求不明确、无 gas 交易或包含您不理解的函数调用的情况下。
个人保护法则
为了保护自己,我们可以遵守以下黄金法则:
-
切勿以任何理由与任何人分享助记词。
-
收藏官方网站:始终直接导航,切勿使用搜索引擎搜索钱包或交易所。
-
不要点击随机空投代币:尤其是对没有参与过的项目。
-
避免未经授权的私信:合法项目很少会先私信……(除非他们确实会这样做)。
-
使用硬件钱包:它们可以降低盲签的风险并防止密钥泄露。
-
启用网络钓鱼防护工具:使用 PhishFort、Revoke.cash 和广告拦截器等扩展程序。
-
使用只读浏览器:Etherscan Token Approvals 或 Revoke.cash 等工具可以显示您的钱包拥有哪些权限。
-
使用一次性钱包:创建一个新的钱包,其中包含零或少量资金,先测试铸币或链接。这将最大限度地减少损失。
-
分散资产:不要将所有资产都放在一个钱包。
如果你已经是经验丰富的加密货币用户,可以遵循以下更加高级的法则:
-
使用专用设备或浏览器配置文件进行加密货币活动,此外还可以使用专用设备打开链接和私信。
-
查看 Etherscan 的代币警告标签,许多诈骗代币已被标记。
-
将合约地址与官方项目公告进行交叉验证。