大家好，我是ACnft的check。5月1日可以说是一个很悲伤的日子了，不仅没有抢到猴子地，而且小狐狸钱包被盗了，里面的Eth直接归零了。一天内经济损失A6，真的是让人心态爆炸。

愚人节周董的Bayc被盗了，成为了很多人的谈资，真正重视起来的人寥寥无几。放眼看去，很多圈内大佬都遭遇过被盗，不少KOL一再提醒，要将防盗意识提高，但这事儿不发生在自己身上的时候，就认为与我无关。check也是其中一员，在币圈混迹的过程中，有很多不好的操作习惯，今日奉上这篇防盗防骗指南，愿天下再也没有被盗的钱包！

Part1 存在风险的行为

安全意识的缺失，不良的操作习惯，给黑客创造了很大的舞台，他们利用技术以接近0的成本从中不断获取收益。我们在进行带有风险的操作时，就像把自己的财产毫无防备的暴露在黑客面前并且进行嘲讽叫嚣。如果你没有被盗，那么有两种可能，一是时候未到，二是黑客看不上。

以下操作被认为是存在风险的行为，请大家对号入座：

1.明文保存、拍照或截屏保存钱包私钥；

2.将保存私钥的文件上传云端，通过社交软件，邮箱等进行发送，将私钥告诉他人；

3.经常在多个终端登录钱包，将大额资产长时间放置热钱包；

4.无脑授权各种网站、第三方应用、discord、token等；

5.经常使用不安全的WiFi登录钱包，进行操作；

6.不做终端系统维护，尤其是windows和chrome；

7.运行各种非官方途径获取的第三方应用、脚本，访问未知来源的网站；

8.使用他人提供的Apple ID，Google ID等；

9.频繁在各种场所登记钱包，用还有资产的钱包各种撸空投。

check认为，以上操作都是我们的主动行为，这是我们首先应该注意的，也是最能避免的，如果很不幸你有多个对上号了，那么你可能快要加入我们被盗的行列了。

Part2 骗子的行为

黑客也分为多个派别，我们的主动风险行为容易被技术派利用。而更危险的是我们的FOMO心理，被社工派所利用。这一派黑客通过诱导，让我们被动的做出一些行为，更加轻易的盗取资产。

以下行为是骗子的惯用操作：

1.在Discord中冒充项目方BOT、MOD行骗；

骗子冒充官方BOT，潜伏在各个项目的服务器中，等待时机，一旦项目方有动作，比如presale，公售，whitelist mint，就会根据内容进行私信。还有一些冒充MOD，私信raffle信息，或者是要求协助解决问题。此类骗局迷惑性极强，有和官方相同的名字，头像，模仿官方announcement的格式，发送钓鱼链接，或者是骗取用户钱包私钥，可以说是极易让人上当。

2.Twitter中冒充官推，@用户，发送私信，回复转发；

前段时间的Moonbird月鸟项目和最近的Otherdeed猴地项目都出现了一批高仿官推。他们同Discord中的一样，拥有和官方相同的头像和名称，极度相似的twitter ID，相同的主页装饰。趁着项目热度，他们不断@相关标签用户，Moonbird的一个仿官推，在一天时间靠不断@用户获取了400k的粉丝。他们在介绍中放置几乎和官方网站一样的钓鱼网址（比如替换大写的 i 和小写的 L，替换小写的b和d，替换大写的 o 和 数字0之类的），赌的就是很多人不仔细看直接点击进入，很多人因此被骗。

3.冒充官方service通过社交软件，邮件发送木马文件或者网站；

check收到过邮件称我的小狐狸钱包存在私钥泄露风险，请登录网站进行检测，或者加他们的联系方式协助进行处理。收到过OKEX的异地登录提醒，更新提醒，请登录检查之类的。还有很多群里面的主动加好友的，称有项目进行合作，并主动发送项目文件。此类邮件往往包含有钓鱼网站，发送的文件中很可能含有木马病毒，用来窃取钱包私钥或者是账号密码。

4.空投钓鱼代币；

check加了很多Airdrop的电报群，里面每天会分享上许多空投信息，而在这些信息中，就隐藏着一些空投钓鱼代币的链接。这些代币都有合约地址，而且一般都比较值钱，但是会限制交易。骗子会编写免费空投信息诱惑你，骗你进行钱包授权，从而达到盗取钱包的目的。

5.发送假Token；

链游和土狗的火爆带来了各种各样的代币，很多都是没有听说过的，还有很多高仿币。这些高仿币同真币仅仅只是合约地址不同，如果不仔细核对，在购买环节很难发现问题。可能更难想象到的是，买卖假USDT已经成为了产业，同买卖假币几乎相同。

6.私信财富密码；

如果你加入几个土狗群，你就会发现每天都有人cx各种百倍、千倍、万倍币，而这是传销还不能算骗人，最多就是找人接盘。但是私信你的，往往就是骗局了，他们可能以财富密码的由头，发送给你钓鱼链接，钓鱼token等等，用来获取你的钱包信息。

7.Discord服务器被攻击；

可以说几乎每一个火爆的项目，Discord服务器都会被黑客攻击。被攻击的Discord会发布假的announcement，raffle信息，骗成员访问钓鱼网站，mint假的NFT。

8.冒充分叉网站；

前段时间，空投界出现了不少的分叉网站，有opensea、sand等。通过简单的填写地址，就能获取代币空投，然后拉人头够一定数量就能提取代币。这些网站明眼人一眼就能看出来问题，其中代币的合约地址是假的，甚至于几个网站的模板都一样，话说骗子也太懒了。

9.冒充品牌方发布NFT；

我们ACnft社区的自动监控工具，自从上线以来经常会报告类似Coca-Cola，Louis Vuitton，Apple，NIKE之类的打着大品牌方发放NFT的项目被mint多次。点开他们的opensea链接，都可以看到一个10e-20e不等的floor price，而他们的mint价格一般都是0.12e，而且mint5个还可以获得一个空投，而这些项目和信息，都是项目方自导自演的。

还有很多骗子的手段，我们没有列举。币圈可以说是遍布精英和高智商玩家，本以为在此行骗需要更高的手段和技术，其实并非如此。能混币圈的人必然是认知程度要高一些，但是本身的性格和逐利的心态没有改变，再加上很多人和check一样的似懂非懂，造成了更容易上当的事实。黑客一定更懂技术，骗子一定更懂人性。

Part3 防守动作

如果老铁能看到这里，相信已经有了很多防守的想法，check再把他们总结一下，然后给大家一些工具和经验。

1.不要明文保存私钥和助记词，不要进行截屏拍照保存，不要将私钥上传网络，可以将助记词放到离线存储（比如U盘、移动硬盘、不联网的pad等），然后一定要进行手写备份，放到安全的地方，以备不时之需（这里你可以想一想如何写遗嘱）。如果必须进行线上传输，一定要进行各种加密；

2.大资产放到冷钱包，活跃钱包配备专用设备（最好是mac系统，或者是纯净windows系统），钱包中只留有日常所需的币，对钱包进行备份，并将备份保存在离线、安全的地方；

3.不使用第三方提供的钱包工具，应用，网站，不与任何人共享你的私钥；

4.不要进行无脑授权，必须授权时必须阅读授权信息，及时取消授权，并且定期检查；

取消授权的工具：

5.重视系统安全，定期进行系统杀毒维护（尤其是windows用户），尽量不在公共WiFi下进行钱包操作；

6.保护好自己的各种ID，邮箱账号密码，以及一切相关账号密码，交易所设置2FA等各种验证，使用大小写加数字加字符的强密码；

7.非必要时不打开Discord DM，在需要用到DM认证完成后，马上关闭；

8.将确定正确的网站加入书签，不要随便访问搜索的或者别人推送的网站；

9.不要相信任何人陌生人有关财富密码的推荐，不碰任何保证收益的投资；

10.看到明显的捡钱项目，要多留心，99.99%的都是骗子，天上绝对不会掉馅饼的！

Part4 如何鉴别真假网站和应用

其实这一部分应该算作Part3里面的，考虑过后还是拿出来单独写一写。我们可以不懂智能合约安全，也不用去了解过多的后台技术，因为大部分的智能合约都需要通过前端和用户进行交互，只要我们能分辨前端的真假，我们就可以进行有效防范。

域名的层级是从右往左，比如我们的工具：https://www.acnft.xyz/ .xyz是顶级域名，acnft是二级域名，www是三级域名，依次类推。

1.一般币圈的项目，很少用到com、net、cn等传统顶级域名，（自称sand项目分叉网站的域名为：https://the-sandboxs.com ）；

2.一般官网只到二级域名，也就是可以直接访问acnft.xyz，如果一个域名中含有四级五级域名，那它就十分可疑，建议删掉三级以后域名，访问官网进行跳转；

3.Http和https相比差一个认证证书，没有s的需要更加谨慎；

4.访问之前仔细查看核对域名，警惕比如替换大写的 i 和小写的 L，替换小写的b和d，替换大写的 o 和 数字0之类的操作；

5.遇到想冲的图狗，可以从opensea上看一下数据，不会耽误太多时间，就可以筛掉99%的骗子项目；比如下图

自称GUCCI OFFICIAL，没有交易量，地板价很高，owner很少，items很多，这是很明显的骗子项目，很容易判别。

写在最后

很多时候人们都是后知后觉，做亡羊补牢之事，但是我们要做吃一堑长一智，要做亡羊补牢，未为晚也，最好还做到别人吃一堑，我长一智！

文章总体来说比较入门，没有涉及任何技术层面的讨论，最后再给大家分享一些更加硬核的有关安全的内容，如果有兴趣的同学可以阅读学习。

1.微信搜索公众号：今天有更懂这个直接一点了么

2.B站搜索：崔棉大师

希望以后没有被盗的钱包！

PS：

我的Twitter：@qukuaicn

ACNFT介绍：

AC团队前身主研MEV交易及链上数据分析，目前已经有一定的沉淀，并且监控的数据还在不断扩充中，建立AC的初衷如下：

1、做一个真诚、开放的web3.0交流与分享社群；

2、基于大家的技能，互相交流并沉淀含金量高的、稀缺的、差异化的内容和信息是AC最核心的价值 ；

3、做好信息与人的链接，让个体与个体之间1 加 1大于2，圈子最大的价值是认知提升及赋能，AC本身由数位科学家共同发起，未来会尽力邀请更优秀的投研人士及科学家，提高大家从信息到工具到操作的效率；

4、往DAO方向前进，努力成为AC DAO。

ACNFT网址：

ACNFT的DC：