为什么加密安全重要
在传统金融中,银行和机构充当您资金的托管人。 如果您的信用卡被盗,您会联系银行,他们会撤销费用。 加密货币从根本上不同。 当您在自托管的 钱包, 您就是银行。 没有可联系的欺诈部门,没有拒付,也没有密码重置。 如果有人获取了您的私钥,您的资金将永久丢失。
加密盗窃的规模惊人。根据 Chainalysis 的数据, 仅在 2022 年,加密货币黑客攻击就盗走了 38 亿美元 ,创下有记录以来最糟糕的一年。Ronin Bridge 攻击(6.25 亿美元)、Wormhole 漏洞(3.26 亿美元)以及 Nomad Bridge 攻击(1.9 亿美元)表明,即使是资金充足、团队专业的项目也会受到威胁。2023 年,损失降至 17 亿美元,但仍然显著,Mixin Network 攻击(2.0 亿美元)和 Euler Finance 漏洞(1.97 亿美元)成为头条。
这些数字仅统计大规模协议攻击的损失。来自网络钓鱼、助记词被盗、SIM卡交换攻击以及社会工程的个人损失额外增加了数十亿美元。好消息是:通过适当的安全措施,绝大多数此类攻击是可以防范的。本指南涵盖了保护自身所需的全部内容。.
网络钓鱼攻击
伪造的网站、电子邮件和私信会诱导您泄露助记词或签署恶意交易。.
智能合约漏洞利用
DeFi 协议代码中的漏洞使黑客能够抽走资金。桥接和借贷协议是最常被攻击的目标。.
社会工程
冒充、虚假客服、恋爱诈骗以及利用人类信任而非代码的内部攻击。.
保护您的钱包
您的 钱包 安全始于您如何处理您的种子短语(亦称恢复短语或助记词)。此 12 或 24 词短语是您钱包中所有资金的主密钥。任何获取该短语的人都可以抽干该钱包所连接的所有链上的每个代币。若被泄露,暂无二次验证、无恢复机制。
种子短语存储:黄金法则
切勿以数字方式存储您的种子短语。 不要保存在笔记应用中,不要保存在截图中,不要保存在云存储中,不要保存在电子邮件草稿中,也不要保存在密码管理器中。数字存储意味着它可能通过恶意软件、云泄露或被攻陷的账户被远程访问。2023 年,LastPass 用户在密码管理器被攻击且加密金库被盗后,损失了超过 3500 万美元的加密货币。
请将您的种子短语写在纸上,并存放在安全、防火的地点。对于长期存储,建议投资于金属种子短语备份(Cryptosteel、Billfodl 或类似产品)。金属备份能够抵御房屋火灾、洪水以及数十年的存储。考虑使用类似 Shamir'的秘密共享的方法将备份分散到两个地点,或仅在不同的安全位置(家庭保险箱 + 银行保险箱)存放两份副本。
永远不要与任何人分享您的种子短语。没有合法的服务、客服或开发者会要求提供它。如果有人要求您的种子短语,那一定是诈骗,百分之百的情况。.
强密码 & 密码管理
为每个加密相关账户(交易所、电子邮件、钱包浏览器扩展)使用唯一且强大的密码。强密码至少需 16 个字符,并包含大写字母、小写字母、数字和符号的组合。切勿在不同站点重复使用密码。如果某个服务被泄露,攻击者会尝试在所有交易所和加密平台使用这些凭证。.
使用可信赖的密码管理器(1Password、Bitwarden)生成并存储唯一密码。使用强主密码和硬件密钥认证来保护您的密码管理器。您的电子邮件账户尤为关键:如果攻击者获取了您的邮件,他们可以重置您在交易所账户上的密码。.
双因素认证(2FA)
在每个支持的账户上启用 2FA。并非所有 2FA 方法都相同。以下是安全层级,从最强到最弱:
硬件安全密钥(YubiKey,Titan Key): 物理设备,必须插入或轻触。对网络钓鱼、SIM卡交换和远程攻击免疫。黄金标准。
认证器应用程序(Google Authenticator,Authy): 基于时间的代码在您的手机上生成。比短信好得多,但如果您的手机被恶意软件侵入,则会有风险。
基于短信的双因素认证(2FA): 最弱的选项。易受SIM卡交换攻击,攻击者会说服您的移动运营商转移您的号码。2019年,Twitter CEO Jack Dorsey的账户因SIM卡交换被攻破。请避免在加密账户中使用短信 2FA。
如果您使用身份验证器应用程序,请备份恢复代码并离线存储。如果在没有备份代码的情况下丢失手机,您可能会永久无法访问您的账户。.
硬件钱包:您的最佳防御
硬件钱包是一种物理设备,用于离线存储您的私钥,完全与您的电脑和互联网隔离。即使您的电脑感染了恶意软件,硬件钱包也不会泄露您的私钥。每笔交易必须在设备上进行物理确认,攻击者无法远程签署交易。.
硬件钱包是保护加密货币最有效的安全措施。如果你持有超过几百美元的加密资产,硬件钱包不是可选的——它是必需的。.
Ledger
Ledger 设备(Nano S Plus、Nano X、Stax)使用经过认证的安全元件芯片(与信用卡和护照相同的技术)来保护私钥。Ledger 支持超过 5,500 种代币,并通过 Ledger Live 与 MetaMask、Rabby 以及大多数 DeFi 应用程序通过 Ledger Live。Nano S Plus(约 $79)是性价比最高的选择;Nano X 增加了蓝牙以供移动使用。
重要: 仅在 ledger.com 官方网站直接购买 Ledger 设备。切勿在 Amazon 或 eBay 等第三方卖家处购买。已出现带有预设种子短语的被篡改设备,用于盗取资金。收到设备时,设备不应预先写入种子短语。您将在设置过程中生成种子短语。
Trezor
Trezor(Model One、Model T、Safe 3、Safe 5)采用开源方式,拥有完全可审计的固件和硬件。Trezor 设备支持数千种代币,并可与 MetaMask 以及流行的 DeFi 前端集成。开源设计意味着安全社区可以独立验证固件是否如其所述。.
Trezor 设备也用于设置一个 密码短语(有时称为 "第25个词"),它会创建一个隐藏钱包,即使有人获取了您的种子短语也不可见。这为高价值资产提供了强大的额外保护层。
如何设置硬件钱包
直接从制造商购买(ledger.com 或 trezor.io)。确认包装封条在到达时完好无损。.
初始化设备并 在纸上写下您的种子短语(或将其刻在金属上)。仔细核对每个单词。设备将要求您确认这些单词。
在设备上设置强 PIN。此 PIN 可防止他人在偷窃设备后进行物理访问。连续错误输入 3 次 PIN 后,设备将重置。.
连接到 MetaMask 或您偏好的钱包界面。首先转入少量测试金额,以确认一切正常后再转入更大额资产。
将种子短语备份存放在与设备本身分开的实体位置。如果两者放在同一地点,且发生火灾或盗窃,你将失去一切。.
避免诈骗 & 网络钓鱼
网络钓鱼是加密领域的首要攻击向量。与利用代码的协议攻击不同,网络钓鱼利用 您。攻击者创建可信的假网站,冒充项目团队成员,并利用紧迫感和恐惧感诱骗您交出助记词或签署恶意交易。以下是最常见的策略以及如何防御它们。
假网站
诈骗者创建与流行 DeFi 网站(Uniswap、OpenSea、MetaMask)几乎一模一样的像素级克隆站点,使用几乎与真实站点相同的域名。常见手法包括替换字符(uniswap 与 un1swap)、添加额外词汇(app-uniswap.org)或使用不同的顶级域名(uniswap.io 替代 uniswap.org)。2022 年,一个假冒 Uniswap 空投站点通过诱导用户签署批准交易,盗走了超过 800 万美元。.
防御: 将每个您使用的 DeFi 协议的官方 URL 加入书签。切勿点击 Discord、Telegram、Twitter 广告或 Google 搜索结果中的链接。连接钱包或签署任何交易前,请始终在浏览器地址栏中核实域名。
Discord & Telegram 私信
如果有人在 Discord 或 Telegram 上给你发送直接消息,提供 "support," "giveaway," 或 "airdrop,",这是一种诈骗。合法项目绝不会通过私信发起支持。骗子冒充管理员、版主,甚至项目创始人,使用相同的头像和相似的用户名。Bored Ape Yacht Club 的 Discord 在 2022 年 6 月被入侵,导致通过假冒铸造链接盗走价值 $360,000 的 NFT。.
防御: 禁用 Discord 隐私设置中来自服务器成员的私信。切勿点击私信中发送的链接。如果有人声称来自 "support",请在官方项目频道进行验证。
空投诈骗 & 尘埃攻击
诈骗者向您的钱包发送看似有价值的无价值代币。 当您尝试交换或出售它们时,代币的 智能合约 要么通过隐藏的授权窃取您的代币,要么将您重定向到钓鱼网站。 有些代币被设计为不可出售,在区块浏览器上显示高价值,但每次出售交易都会失败。
防御: 忽略钱包中意外出现的代币。不要与它们交互,不要尝试出售它们,也不要访问代币名称或描述中列出的网站。如果代币在您未购买的情况下出现在钱包中,请将其视为恶意。
批准钓鱼
这是最复杂的常见攻击。恶意网站或去中心化应用会要求您签署看似普通的交易,但实际上您在批准一个 智能合约以花费您代币的无限数量。攻击者随后调用该合约,随时耗尽您的钱包。根据 Scam Sniffer 的数据,2023 年批准钓鱼导致的损失超过 3.74 亿美元。
防御: 始终阅读您在钱包中签署的内容。 如果网站请求"无限制"的代币批准,请拒绝并设置具体金额。 使用类似 Rabby 或 Pocket Universe 的钱包扩展,它们会模拟交易并在您签署危险操作前提醒您。
智能合约安全
每次您与 DeFi 协议,您正在信任一个 智能合约 与您的资金。智能合约是部署在区块链上的不可变代码。批准后,它们可以在无需进一步授权的情况下对您的代币执行操作。管理您的合约交互是加密安全的关键部分。
检查 & 撤销代币批准
每一次涉及支出代币(交换、存款、质押)的 DeFi 交互都需要代币授权。随着时间推移,您的钱包会累计数十个活跃的授权,每个授权代表一个有权转移您代币的合约。如果其中任何合约被利用或存在恶意,您的资金将面临风险。.
使用 revoke.cash 审计您在所有链上的授权。连接您的钱包,检查每个活跃的授权,并撤销任何不再使用的授权。将此养成每月一次的习惯。每次撤销会产生少量 gas 费用,但可消除潜在的攻击向量。还可以考虑 Etherscan'的 代币授权检查器(etherscan.io/tokenapprovalchecker)进行以太坊特定的审查。
限制代币授权金额
当 DeFi 协议请求代币批准时,通常默认请求"无限制"的批准。这意味着合约可以随时花费您该代币的全部余额。相反,仅批准您打算使用的确切金额。MetaMask 允许您在确认前编辑批准金额。
是的,您需要再次批准未来的交易,并且每次批准都需要支付 gas 费用。但这种安全权衡是值得的。如果 2021 年 12 月 Badger DAO 前端被黑的事件给我们上了一课(用户因对受损合约拥有无限批准而损失了 1.2 亿美元),那就是无限批准是一颗定时炸弹。.
在区块浏览器上验证合约
在与新协议交互之前,请在 Etherscan(或相关链的区块浏览器)上验证合约地址。合法合约将拥有 已验证的源代码,这意味着您可以阅读实际部署在链上的代码。未验证的合约是一个危险信号。检查合约地址是否与项目官方文档中列出的相符。
查找代理模式(可升级合约),这在 DeFi 中很常见,但会增加风险,因为团队可以更改合约逻辑。检查合约是否受多签或时间锁保护,这意味着更改需要多方批准并有等待期。.
| 检查 | 需要关注的内容 | 缺失时的风险等级 |
|---|---|---|
| 安全审计 | 至少一次可信的审计(Trail of Bits、OpenZeppelin、Spearbit、Cantina)。阅读审计报告并检查是否已修复发现的问题。. | 关键 |
| 锁定总价值 (TVL) | 更高的 TVL 通常意味着更经受考验的代码。对 TVL 低于 $10M 的协议保持谨慎。请在 DefiLlama 上查看 TVL 趋势。. | 高 |
| Team & Track Record | 已公开身份的团队,具可验证的身份。匿名团队风险更高。检查团队成员是否有之前的项目和声誉。. | 高 |
| 市场时间 | 已上线 1 年以上且未发生事故的协议风险较低。新协议(不足 3 个月)风险显著更高。. | 高 |
| 开源代码 | 已在区块浏览器上验证源代码。闭源合约可能包含隐藏的后门或费用机制。. | 关键 |
| 预言机安全 | 使用可靠的价格 预言机(Chainlink,Pyth)。使用链上 TWAP 预言机的协议容易受到价格操纵攻击。 | 关键 |
| 小额起步 | 先存入少量测试金额。等待几天。确认您能够成功提款后,再投入更大金额。. | 最佳实践 |
交易所安全
集中式交易所(Coinbase,Kraken,Binance)在购买、出售和交易加密货币时非常便利。但正如俗话所说: "不是你的钥匙,就不是你的加密货币。" 当您将资金保存在交易所时,您是信任该公司来保护您的资产。Mt. Gox(2014年,850,000个比特币被盗),QuadrigaCX(2019年,创始人去世且唯一拥有冷钱包访问权限导致1.9亿美元损失),以及FTX(2022年,客户资金缺失80亿美元)都是此风险的严峻提醒。
如果您必须为交易目的将资金保留在交易所,请通过以下措施最大化账户安全。.
启用硬件密钥双因素认证
使用 YubiKey 或 Google Titan 密钥进行登录和提现确认。这可消除 SIM 卡交换和认证器被攻破的风险。大多数主流交易所均支持 FIDO2/WebAuthn 硬件密钥。.
提现白名单
启用地址白名单,使提款只能发送到预先批准的地址。大多数交易所会在新白名单地址激活前设置 24-48 小时的等待期,以便在地址被泄露时您有时间做出响应。.
反钓鱼代码
设置反钓鱼代码(在 Binance、Kraken 等平台可用)。交易所发送的每封合法邮件都会包含您的唯一代码。如果邮件未包含此代码,则为钓鱼尝试。.
最小化交易所持仓
仅在交易所保留您用于活跃交易的资产。将长期持有的资产转移到硬件钱包。将交易所视为进出通道,而非存储。.
如果被黑客攻击该怎么办
如果您怀疑钱包已被泄露, 速度至关重要. 攻击者可能正在实时抽取您的资产。请立即按顺序执行以下步骤。
立即撤销所有代币授权
前往 revoke.cash,连接您的钱包,并撤销所有活跃的授权。这可防止攻击者通过基于授权的漏洞抽取代币。请优先撤销高价值代币的授权。.
将剩余资金转移至安全钱包
在干净的设备上创建新钱包(最好是硬件钱包)。将受损钱包中的所有剩余资产转移到新钱包。如果您的助记词泄露,所有由其派生的地址均已受损,包括其他链上的地址。.
保护您的账户
更改您的电子邮件、交易所账户以及任何与受损钱包关联的服务的密码。如果您怀疑电脑上有恶意软件,请勿使用该设备访问任何加密账户,直至其经过专业清理或擦除。.
报告 & 文档
提交警方报告(保险理赔和法律程序所必需)。将攻击者的地址报告给 Chainalysis、TRM Labs 以及相关区块链的滥用报告系统。如果资金已发送至中心化交易所,请立即联系该交易所的合规团队,因为他们可能能够冻结账户。.
区块链取证
对于重大损失,建议聘请区块链取证公司。像 Chainalysis、TRM Labs 和 ZachXBT(独立链上调查员)等公司能够追踪跨链及通过混币器的被盗资金。一些受害者在资金被追溯至可识别的交易所账户后,通过法律行动追回了资产。.
以安全为先的 USDC 收益
Coinstancy 将安全性放在首位,让您无需在安全性和收益之间做出取舍。通过每日复利,在 USDC 上赚取 7% 年化收益率,无锁定,并且随时可即时提取资金。.
在Coinstancy开始赚取收益常见问题
存储加密货币的最安全方式是什么?
被盗的加密货币能找回吗?
在交易所保存加密货币安全吗?
如果我点击了钓鱼链接,我应该怎么办?
什么是代币授权,为什么它很危险?
两因素认证足以保护我的加密资产吗?
继续学习
探索更多关于钱包、智能合约和DeFi基础的指南。.
如何使用 MetaMask
设置 MetaMask,连接 DeFi 应用,并通过本分步指南安全管理您的代币。.
阅读指南 指南什么是智能合约?
了解智能合约的工作原理、它们对 DeFi 的重要性以及如何安全地与之交互。.
阅读指南 指南加密领域的 APY 是什么?
了解 APY 在 DeFi 中的运作方式、APR 与 APY 的区别,以及复利如何提升您的收益。.
阅读指南保护您的加密资产并实现增长
既然您的安全基础已就绪,请让您的 USDC 发挥作用。使用 Coinstancy 在 USDC 上赚取 7% 年化收益率——每日复利,无锁定期,且可即时提取。.
在Coinstancy开始赚取收益