作者：初晓链

推特：@LolaJiang2

牛市到熊市，除了接受现货价值缩水三分之二，甚至跌掉90%的市场现状外，更难受的是钱包被盗。

2023下半年，随着熊市越深入，黑客越活跃，越来越多钱包被盗，不少人一夜归零。

据我的社群不完全统计，9月6日，一群友被盗21wu；10月23日，一群友被盗23wu；10月25日，一群友被盗2ku；11月7日，一群又被盗16ku；11月14日，一群友被盗11wu；其他我没看到，没有公开损失的，就数不胜数了。

粗略计算这5个朋友损失就超过56万美元。

这些只是我的几个社群玩家里几个钱包的遭遇，其他社群，其他玩家，甚至其他项目，时不时就被黑客攻击，动辄损失上亿美元。

上周孙割旗下的Poloniex项目被黑1.26亿美元，孙割想提供了5%的白帽赏金，让黑客主动归还，没有得到黑客回复。

区块链的去中心化技术特点，让玩家不受中心化的约束和规则，同时也带来双刃剑的另一面；

只要拿到钱包助记词，或找到漏洞，就可以轻松拿走钱包资产，没有客服中心，没办法拦截或追回。

普通玩家拿现货，盯合约，做交互，赚波段，一点点累计的余额，一朝钱包被盗直接归零。

几个玩家都是链上钱包被盗，钱包下载后也使用了一段时间，但就在某天余额被莫名转走了，钱包归零。

这些钱包没有做交互，没有额外授权，钱包也是在官网下载的，但不知道哪个环节助记词泄露了。

搜索黑客的钱包地址，还持续有从其他钱包的大额转入，但毫无办法，不知道钱包背后主人是谁，不知道黑客钱包私钥和助记词，也没办法做任何操作。

链上资产被盗，BJ也不一定被受理，得到的回复是虚拟资产，自负盈亏，不予协助。钱包被盗只好默默承受巨大痛苦和损失，毫无挽回余地。

数字钱包使用有门槛，只能尽可能防患于未然，做好充分准备，尽量在每个环节做好防护。

①从官网钱包下载

市场上有几百种钱包，一些项目也有专门的操作钱包，根据钱包使用需求，选择本地保存密钥，代码开源的钱包。

初晓链做交互和项目互动时，主要是metamask，或使用项目方推荐的钱包插件交互；存放加密资产使用bitpie。

目前比较少在群里和社交媒体上看到使用这2个钱包被盗的情况，metamask开发团队是国外，bitpie应该是国内团队开发的。

其他OKX、Coinbase、Trust等钱包有交易所背景，也比较少听到负面消息，使用的人也比较多。

一般通过官网下载，官网不要通过搜索获取；不要点击别人主动分享给你的官网或下载链接。

②物理记录助记词

助记词一定不要通过复制黏贴在记事本，或截图保存在相册/电脑/收藏夹，每一次复制或截图保存都增加了助记词泄露风险。

手机里所有应用app都可能会扫描用户的粘贴板，只要一次复制就有可能被保存和上传对应数据库，助记词已经泄露。

手动抄写助记词，并妥善保存，用本子记录下来，多个本子分开存放和备份。不要随便抄在一张纸，因为下次很有可能找不到这张纸了。

嫌麻烦也方便了黑客，被盗时不知道是哪一次不小心导致的。妥善保存好钱包助记词，如果丢失或损坏，任何人都打不开钱包，里面的资产就永久锁定了，自己也悔不当初了。

③避免助记词泄露

前面提到的朋友，自认为是在官网下载的钱包，钱包也没有登录任何其他项目，手机环境也很干净，依然被盗，也有怀疑是钱包开发团队本身问题。

是不是在创建钱包时，助记词已经被记录在后台，被监控了？有大额进账时，资产就被盗了？当然这没有证据。

还有个朋友有合伙人，有女朋友，是不是钱包助记词被认为泄露，导致资产被转走了？也有可能，但也没办法证明。

或者是钱包助记词记录在手机里，或者截图保存在相册，被扫描了，都有可能。

有些恶意app故意监控用户钱包，扫描助记词，上传到数据库，并实时监控，钱包一旦有大额，就被转走了。助记词泄露，钱包不受控，资产被盗。

④谨慎操作合约授权

还有一些钱包登录了某些项目，进行合约交互。有些智能合约本身有风险漏洞，就是为了盗取钱包的，一旦钱包授权登录后，钱包主动权就授权给别人，别人也可以操作了。

如果是保存较多余额的钱包，不要做任何授权，只使用转入或转出功能，避免任何授权风险。

如果是专门撸空投做交互的钱包，授权某些项目时也要注意，确认是官方链接再进一步操作，如果授权一些钓鱼站点，钱包也会被盗。

不要相信社区提供的下载链接，或者项目链接，有可能登录授权后，账户就被盗了；或者助记词泄露，钱包不再安全了。

可以在revoke.cash查看授权的情况，取消可能存在的风险链接。

⑤硬件钱包

大额资产还可以使用硬件钱包，相对更安全。

硬件钱包离线产生助记词，助记词也要妥善保存，硬件钱包使用不需要联网，可链接蓝牙，操作后就不联网不做任何授权，相对更稳妥一些。

目前市面上常见硬件钱包如Ledger，OneKey，trezor等，也需要通过官网购买，类似U盘，不联网不交互，相对更安全。

⑥不要相信任何TG官方交流群

所有tg链接都可能存在风险，所有私信你的，也基本上都是骗子。

如果被拉到一些tg官方交流群，还积极回复问题，如果你被盗了，还积极处理的，大概都是骗子。

当然，如果以上这些你都做不到，那也可以选择放在头部交易所，在交易所每一次操作都需要邮箱，手机验证码，谷歌验证器等多重验证，相对安全。

唯一要堤防的风险就是交易所会不会倒闭或跑路，因为一旦网站登不上去，资产也不受自己控制，提不走了。中心化的平台，可以直接冻结用户账号和资产，而且你也无能为力。

任何方式都有一定的风险，正视风险，尽可能在每个环节降低风险操作，每次偷懒都可能要交高昂学费，动辄几千上万美元。

每次风险操作也不会有提示，一旦发生就无法挽回，造成永久损失。

加密市场充满机会，每个机会都隐藏对应风险；每一次认真对待，有可能减少一次巨大损失。

以上只是个人看法，无投资建议。我是初晓链，我在关注加密市场和web3。