看标题大家应该能猜到，这次是关于安全的一篇文章。最近经历或者了解了一些事情，我觉得有必要跟大家说说。安全这个事儿适合不定时的去提醒，让你时刻保持警惕。

转账

就在一个月之前，我清理矿币。正常操作是复制矿币合约地址，去1inch卖掉。变成USDT打去交易所。非常简单的一个操作。结果我复制交易所地址没复制上，粘贴了矿币合约的地址，也没有注意就打出去了。过了一段时间我说怎么钱还没到，一看所有USDT都打到矿币的合约去了。其实我每次都会去核对地址，这次可能有点着急忽略了，就是这样导致了几千刀的损失…

联系了矿币项目方，项目方表示神仙也取不出来。仔细看看那个合约里面还有其他两个倒霉蛋的币。也联系了泰达官方，因为是在以太坊上面，我觉得泰达应该可以解决。结果泰达回复我的意思是认为我和矿币的项目方有经济纠纷，只能让我的律师提出正式的申请…我这一听这不芭比Q了。

经过这次之后，只要用小狐狸钱包转账，我都是在地址簿里面先记录地址再打上标注，转账只给地址簿的地址转账，避免粘贴的操作。希望大家也像我一样，这样虽然可能麻烦点，但是会安全很多。

钱包

前几天IDEX有个空投，只要在Polygon上的IDEX交易所刷200刀交易量就可以领。我把这个信息分享了一下，有位同学看到了，也积极的去刷了，她的做法我详细说一说。

打开了IMtoken钱包，切换到了Polygon网络，看看自己哪个地址有MATIC，这样就方便她操作了。翻了一下，看到一个地址有零点几个MATIC，她觉得够了，转钱进去。她准备去做个LP，去搞一些质押奖励。存入两个稳定币，组LP，存入，睡觉。

就在她存入的一小时之后，这个地址又动了。取出质押的LP，拆开，全部发送到另一个新建的陌生地址。这个陌生地址通过跨链桥转到以太坊去，看合约记录也不知道跨链到了哪个地址，只知道去了以太坊。

然后这位朋友就来联系我了，问我什么情况，我说这明显就是私钥被盗了，你是不是存网上了。她去仔细看了看钱包，突然想起来。这个地址是之前她跟很多人都在用的共享的地址（就是几个人合伙之前做了一些事情，都知道这个钱包的私钥）…所以就有了被盗的事情发生。

很多朋友跟她一样，有个好习惯，多地址，但是也恰恰因为地址太多了，分不清都是干啥的。里面再混入一些“共享”地址就是大坑了…多地址的同学一定做好备注，这种共享地址一定不要存在钱包里面，可以单独用一个钱包放，混在一起难免出事情。

代码

我不是搞了一个技术学习小组嘛，现在也已经来了大概300来人了，虽然跟隔壁撸空投每天都是激烈的讨论不一样，每天聊天比较少，如果有讨论也是技术问题。但是还是有人乐意来做一些分享。把自己的代码分享给大家。

就叫他Y同学吧。Y同学分享了一份在PancakeSwap上交易的代码，我看了非常不错。Y同学把代码传到了GitHub上。很不幸他忘记了删除自己的私钥…传上去没多久他自己也发现了这个问题，马上去删除了，也就5分钟的时间。但是他这个钱包的资产还是被一洗而空…

在GitHub上有很多机器人在监控，只要是公开可以看到的代码，都会在里面找一些诸如：private key、pk、wallet等等关键字，看看这些私钥或者助记词能不能恢复，里面有没有资产，有的话直接转走。据说你上传之后几秒钟，他们就可以找到你并且拿走你的资产…

更不幸的是，Y同学的服务器好像也被黑客攻破了。上面存放的几个项目里面的私钥都被洗干净了…

做开发的同学更要注重自己的代码安全和服务器安全。虽然我在服务器运维这一块不是很专业，但是还是给出一些建议，希望能帮助到大家。

1. 资产分散，多地址，损失降到最小。
2. 私钥不在代码中，拿出来放到单独的文件存储，git提交时排除该文件。
3. 有条件的私钥可以做个加密，使用时解密，加密私钥可以每次手动输入不存储。
4. 服务器不要使用用户名、密码登录。
5. 服务器最好用处单一，不要一台服务器网站、数据库、各种工具都跑，风险极大。
6. 服务器漏洞补丁一定打好、关闭无用端口，尽量选择大的运营商机房。

资产找回

前两天在科学家DAO看到了一个帖子：

追回资产的焦急心情可以理解。但是资产被盗了能找回的人有几个呢？身边经常听到各种被盗的事情，但是真正找回来钱的人可太少了…

普及防盗小知识这个事情可以做，也可以定时去给大家敲警钟，没啥问题，就怕我说了你不做，该丢还要丢，知行合一说得简单做的难。

至于让科学家找回来资产这就是…

首先来说科学家没有那么大的能力能瞬间从对方钱包搞回来钱，一般都是追踪地址有没有流入交易所，让交易所去冻结。交易所一般会先冻结，让你去开具法律文书才可以给你找回资产。这其中也非常艰难。

第一个头疼的事情有没有人愿意为你去追踪，可能需要一个这样的DAO组织，听说有人在做了…很多小白不太会追踪，这种事情只能找专业的人士。

第二就是钱有没有流入混币器，如果去龙卷风混币，那神仙也不知道钱去了哪里，找回来也就更是不可能…

第三流入交易所的第一时间能不能通知交易所，要知道现在的交易所太多了，你只能等到你的资产真正流入进去再去通知交易所。所以这里还需要做个机器人去监控。

最后就是法律文书又没人给你开具，有没有机关会管你这个事情？毕竟那么多文件都传达了参与风险自负的精神，如果你没点内部人士估计没人会愿意给你收拾这个烂摊子。

由于这些原因，所以大部分人资产被盗，都是默默咽下这口气…

最后

道路千万条，安全第一条。这不是口号，是要你时时刻刻保持警惕！你看我今天就说了各种亏钱的姿势，如果你不注意，早晚有一天你会有你独特的姿势…

我还建议如果你有精力，最好学点区块链相关的技术知识。起码要学会看合约地址，追踪一下资金流向。读一些基本的智能合约代码，让自己知道这个合约干了啥，对你的资产做了啥…如果你想学编程可以看看我上一篇文章：

另外你又有哪些独特的亏钱姿势呢？欢迎评论区写出你的故事…让大家也长长见识…