幣圈生存指南 (CEX/DEX/DEFI)

在幣圈打滾最重要的還是保持安全.熊市投資項目,牛市研究項目,但是沒有了本金,什麼事都沒法做了.敗給了時代還是小事,敗給了自己那只能無限懊悔了. 而安全中的重中之重,就是你自己. 當你自己足夠在乎所有的安全指南的話,執行得越徹底,就可以越安心地度過所有的風風雨雨.

我小結最重要就是自己的安全意識有多高,決定了你的安全係數.

沒有盜取不到的資訊,但你可以增加盜取的難度

在中心化交易所交易,相比於需要安裝錢包的Defi交易會更省心一點.如果你這輩子沒看過助記種子詞,大概就屬於此類範疇.但是還是要留意基本安全守則.

幣圈常見的兩種非市場因素虧錢就是 (1)團隊跑路 (2)被釣魚洩漏了錢包控制權

(1)團隊跑路(rug pull),跑路又分軟跑(Soft rug)以及真的跑.

團隊跑路基本上從項目啟始就不安好心,弄了些煞有其事的網站,推特,Discord並且預熱下社區氣氛,接著看見質押的錢進來Dapp之後,就直接把錢給捲走了.頭也不回,人也找不到,更不用說要賠償了. 少數幾個在圈子內弄的名聲特別響的,還是會有大俠出面相助的,像是StableMagnet 聽說最後有找到始作俑者,而且還拿回錢了. 也算是對當時鬧得沸沸揚揚的事件有個交代.當然在圈子裡面的,大概都能知道是誰幫忙把錢找回來的.

(2)被人為社交攻擊了,錢包被他人所控制

包含在電報,discord,推特的冒充帳號,空投訊息,或者是虛假郵件來引誘用戶輸入種子詞,等各方面都算其中. 而一些高淨值的客戶,更是會常常面對,各類縝密設計過的社交工程(Social engineering).大部分就是假冒熟識的人發出幣圈必看的文件,然後就植入後門程式了.精心策劃過的攻擊,只要出個匹漏就會被吊走了. 這些專業的駭客組織,會精心針對獵物打造社交工程,攻擊各個項目方的錢包控制權. 想想這些攻擊目標都很明確,而只要1年成功1個就是幾百萬美金的收益,性價比對於黑客來說還是挺高的.

從小開始培養良好習慣

做出了大分類後,接著我們要談談如何保持你在幣圈維持身家安全. 首先再複習幾個點.

  1. 你就是那個重點.

    操作所有鏈上交易的您,如果能夠做好基本保護,那就可以避免暴露在風險之中. 最安全的類型就是整天疑神疑鬼,懷疑被別人騙這種.很難被說服,但是也很難上當.

  2. 絕對不給助記種子詞.

    您的助記詞可以控制您所有資產.外面的人只想要騙你輸入種子詞.忽略任何要求你輸入種子詞的要求.

  3. 攻擊無所不在

    任何想像的到,想像不到的攻擊方式都有.即使是頂級VC創辦人也有可能被黑客攻擊.這只取決於需要花費多少心力與時間.但是由於回報巨大,所以往往花招百出.

謹守安全守則的大佬也會被攻擊, 所以凡事要小心
謹守安全守則的大佬也會被攻擊, 所以凡事要小心

謹守安全守則的頂級VC大佬也遭受社交工程攻擊.假冒投資標的公司的創辦人,發起假郵件,誘騙開啟.植入木馬 接著是實際操作部分.這些內容也是綜合各方征戰幣圈多年的大佬經驗而得到的,原本我也一直若有似無地遵守紀律,但是要完全遵守難度太大.所以我嘗試提出一個新的分類方法. 如果各位大德要在Web3之路持續長久的進進出出,請考慮遵守

入門安全(大家都能用,中心化交易所也適用)

從官方管道隨時更新軟件: 天下沒有完美的軟體,只有不斷發現的漏洞. 無論你使用的是Windows或者Mac, Iphone或者Android,千萬要隨時注意更新,並且即時更新.甚至包含Chrome或者錢包軟件, 這種更新都是拖不得的. 江湖上都說iOS安全係數比較高,值得看官考慮來個全家餐.

不要告訴別人你有多少資產(很容易變成目標): 如果有人知道你是A9,那他一定可以順著蛛絲馬跡偷到你的錢包資訊.

**不重複使用密碼. 愛用密碼管理器(Google有, 1Password, Bitwarden也有):**現在線上活動都要密碼,要每個地方都用不同密碼根本不可能.這時候請愛用密碼管理器. Google本身提供免費版本,而付費軟件也有很多其他好選擇.年費也很便宜.又可以跨平台使用. 我沒付錢之前也相當排斥,導致所有密碼都一樣,現在已經改用軟件生成密碼了,省去很多麻煩.

facebook也發生密碼洩漏
facebook也發生密碼洩漏

也發生密碼洩漏可以2FA的服務請設定2FA,硬體2FA更好: 如此一來如果你的資訊被盜用,當有人嘗試從遠端登入的時候,起碼你可以第一時間反應.

***專用瀏覽器設定檔案 (Profile):***常用的瀏覽器可以設定將個人,公司,加密貨幣等各種不同用途,設定成不同Profile. 這樣即使瀏覽網頁時候出了差錯,也有所阻隔

不登錄公用WIFI. 要的話請使用VPN: 有心人士可以從公用Wifi偷取你資料,請使用自己手機的行動熱點,並且搭配VPN

***發送Crypto,先小額測試是否正確:***避免地址輸入錯誤.傳出去可是無法挽回的.

***對所有訊息產生懷疑,並且多方驗證.不要下載陌生檔案:***假冒郵件很多. 而在推特,Discord,Telegram裏面,各項目管理是不會主動私訊你的.第一他們沒時間,第二他們不要你的助記種子詞.最難辨別的就是把大寫I跟小寫l放在一起,仔細看也看不出來.

中階安全(需要用到Defi錢包的人)

移除不需要的瀏覽器插件: 瀏覽器插件提供許多便利的功能.但是可能會自動暴露您的資訊.請移除不必要的插件

***理解簽名的資訊以及核准的交易,並設定核准權限:***每次核准可以進行限額設定.

沖完投資項目,請取消核准: 如果一定要用無限額設定,也要記得在離開的時候,取消(Revoke)已經核准的設定.可以使用Revoke.cash(但只支援Ethereum以太坊)進行取消,或者使用我常提到的Rabby錢包(內建Revoke機制). 稍微比較一下就可以看出高下,也可以看我另篇文章詳細介紹.

***將常用網站儲存,用谷歌搜尋請小心廣告網站:***要尋找Dapp網站可以去CMC ,Coingecko, Defillama, Debank找.谷歌搜尋出來有時候會有假廣告.

進階安全(需要比較多紀律才能做到)

***使用冷錢包.甚至是多簽錢包:***使用冷錢包可以避免他人在沒簽章的情況下將資產盜走.如果是身家A9的大佬,大概都是用多簽保護著.

***一個Dapp使用一個錢包.做好風險分層管控:***尤其是在衝新項目.風險未可衡量的情形之下,出了問題才不會整籃雞蛋毀掉.

***Crypto專用手機及電腦:***可以考慮用舊手機或者舊電腦,專門使用Crypto交易.不看做其他事情.減少中毒風險.

天下沒有給1個BTC 返還2個BTC這種事情. 小時候的我就曾經上過這種當.而且我也曾經做了無限核准,結果項目方的錢包被駭客奪走控制權後,不留情地將我已核准的資產全數奪手.希望大家可以按部就班地執行所敘的安全措施,保證安全. 當然還有一些更高階的做法,例如地址監控,郵件過濾等,就是團體性的防護了.

注意安全~ 穿越牛熊~

參考資料來源:

Subscribe to GraysonKYC
Receive the latest updates directly to your inbox.
Verification
This entry has been permanently stored onchain and signed by its creator.