安全特刊03｜OKX Web3＆WTF Academy：你在网上一不小心就可能被黑客盯上。

撸毛操作如虎，安全系数为负5？

作为链上论坛的高频用户，对于撸毛人来说，安全仍然是至关重要的

今天，两大链上“避坑王”教你如何进行安全防护攻略

本期是安全特刊第03期，特邀请行业知名专家0xAA与OKX Web3钱包团队，从实操指南的角度出发，运用常见的安全风险和防范措施。

WTF Academy：非常感谢OKX Web3的邀请，我是来自 WTF Academy 的 0xAA。WTF Academy 是一所Web3开源大学，帮助开发者入门Web3开发。今年我们孵化了一个Web3救援项目RescuETH（链上救援队），专注于救援用户被盗钱包中的剩余资产，目前已成功在Ethereum、Solana、Cosmos上救援了超过300 万人民币的被盗资产。

OKX Web3安全团队：OK​​X在Web3领域安全工作团队，负责网络安全、合规工作，为用户提供产品安全、安全、综合防护服务，为整个区块链社区提供安全保障。

Q1：请分享几个真实的毛人遭遇风险案例

WTF 学院：私钥加密货币是撒毛用户群体重大安全之一。 在未来，私钥是一串用于控制加密货币资产的字符，任何人都能完全控制相应的加密货币资产。 一旦私钥加密货币，它们就可以被未经授权访问、转移并用户资产，导致用户承担经济损失。 所以，我重点分享了几个被盗的案例。

密码破解软件是社会公众利用网络犯罪分子的犯罪行为，犯罪分子利用网络犯罪分子 …

Bob（化名）不小心把私钥上传到GitHub后，被他人获取，随之而来的资产被盗。

Carl（化名）在项目方官方的Tegegram群咨询问题时，信任了主动联系他的假冒客服，并泄露了确实的助记词，随后钱包资产被盗取。

OKX Web3钱包安全团队：蚂蚁风险案例比较多，我们精选了几个用户在蚂蚁风险时遇到的比较经典的案例。

第一类，高仿官方发布假空投。用户A在浏览某热门Twitter时，发现最新Twitter下方有空投活动公告，随即点击了该公告链接参与空投，最终导致被钓鱼。当前有很多钓鱼者，通过高仿官方推特，并在官方推特下发布虚假公告，从而诱导用户上钩，用户应该注意，不能以轻心。

第二类，官方被劫持。某项目官方Twitter和Discord遭到黑客攻击，随后黑客在项目官方上发布了一个虚假的空投活动链接，由于该链接是利用官方渠道发布的，因此用户B并没有怀疑其真实性，点击该链接参与空投后被钓鱼。

第三类，遭遇恶意项目方。用户C参加某项目的挖矿活动时，为获得更高的奖励收益，共有1000万USDT资产全部投到能源合约中。然而，该智能合约并没有经过严格审计而且没有开源，结果项目方通过该合约预计的后端将合约中用户C存入的资产全部盗走。

对于活跃用户来说，拥有微型钱包并储蓄现金是非常重要的，时刻保持警惕，提高安全防范意识。

Q2：担任高频用户，撸毛人在交互中的常见安全风险类型以及防护措施

WTF Academy：对于撸毛地区所有的Web3用户而言，当前常见的两类安全风险就是：钓鱼攻击和私钥泄漏。

第一类是钓鱼攻击：黑客通常会假冒官方网站或应用，在社交媒体和搜索引擎上诱骗用户点击，从而获得代币授权，盗走用户资产。

防范措施：第一，建议用户只从官方渠道（例如官方推特中的链接）进入官方网站并应用。第二，用户使用安全插件，来自动屏蔽一些钓鱼网站。第三，用户在进入可疑网站时，可以咨询专业的安全人士，帮助判断是否为钓鱼网站。

第二类是私钥：我已经上了一个问题介绍过了，此处不再展开。

: 第一，如果用户需要使用私钥，请先配置好.gitignore文件，确保私钥不被上传到GitHub。

OKX Web3 安全团队：我们归化了用户在链上交互中的常见的5类安全风险，并针对每类风险制定一些防护措施。

1.空投骗局

风险简介：有些用户经常会发现自己的钱包地址中出现了大量未明代币，这些代币在常用的DEX交易中通常会失败，页面会提示用户去它的兑换处，而用户在进行授权交易时，往往会发布智能合约转走资产的权限，最终导致资产被盗。 比如，Zape空投骗局，许多用户在钱包中突然收到大量Zape币，价值看似有数十万美元。 这让人们误以为很多人都为之付出了惨痛代价。 然而，这的确是一个精心设计的陷阱。 由于这些代币在正规的中国无法找到，许多紧急兑现的用户会根据代币名称找到所谓的“官网”。 按照提示连接钱包后，以为可以出售这些代币，但一旦授权，钱包里的所有资产都会被盗走。

防护措施：避免空投骗局，需要用户保持高度警惕，核实信息来源，始终从官方渠道（如项目的官方网站、官方社交媒体账户和官方公告）获取空投信息。保护好私钥和助记词，不要支付任何费用，并利用社区和工具进行验证，并处理骗局。

2.重大智能合约

风险简介：许多未审计或未开源的智能合约包含漏洞或后门，旨在保证用户资金安全。

防护措施：用户可放心使用，并严格遵守审计的法规，公司必须严格遵守审计的安全审计报告。此外，通常设立了漏洞赏金程序，其安全性更有保障。

3.授权管理：

安全性：初始版本的主要安全性保证是受版权保护的，因此，我们在此列举了一些安全漏洞，以防被盗用。 1）如果初始版本被盗用，则使用私有密钥作为共享密钥，从而防止盗用用户资产。 2）如果初始版本被盗用，则使用私有密钥作为共享密钥，从而防止盗用用户资产。

防护措施：原则上只对交互的合约进行必要额度的授权，并且需要定期检查并提前进行重审授权。在进行链下许可授权签名时，一定要清楚授权目标合约/资产类型/授权额度，做到三思而后行。

4.钓鱼授权

风险提示：点击恶意链接并被授权给恶意合约或用户

防护措施：1）避免盲目签署：在签署任何前，务必确保即将签署交易内容，确保每一步操作都明确有必要。2）被告应对授权目标EOA地址（外部账户）或者未经身份验证的合约，必须提高警惕。3）使用防钓鱼插件：使用具有防钓鱼保护的插件钱包，例如OKX Web3等，这些钱包可以识别和阻止恶意链接。4）保护助词和私钥：所有提供助词或私钥的网站买卖钓鱼链接，切勿在网站上输入这些隐私信息。

5.主要内容的撸毛脚本

风险简介：运行腐败的撸管脚本，会导致电脑被入网，从而导致私钥被盗。

防护措施：请遵循运行未知的拔毛脚本或者拔毛软件。

毕竟，用户在交易过程中会受到来自第三方的监督，并且可能被第三方控制，因此，用户可以重新购买钱包里的钱，也可以将钱包里的东西返还给第三方。

Q3：梳理时尚钓鱼类型以及手法，您可以选择识别和尝试？

WTF Academy：我想从另一个角度来回答这个问题：一旦用户发现资产被盗，如何辨别是钓鱼攻击还是私钥泄露？用户通常可以采用这2类攻击特点去辨别：

一、钓鱼攻击掩盖：黑客通常通过钓鱼网站，获取用户单一钱包下的单一或多个资产的授权，从而盗取资产。一般来说，盗取资产的种类和用户在钓鱼网站授权的次数是相等的。

二、私钥/助记词黑客攻击：黑客成功获取用户私有或多个钱包的全部资产控制权。因此，如果以下特征中的专有，大概率判断为私钥：

1）原生代币被盗（如ETH链的ETH），因为原生代币无法被授权。

2）多链资产被盗。

3）多钱包资产被盗。

4）单一钱包资产被盗，清晰记得没有授权过这些资产。

5）盗取币之前或同一个交易中并没有授权（Approval事件）。

6）转入的Gas马上会被黑客转走。

如果不符合以上特征，则更有可能发生钓鱼攻击。

OKX Web3安全团队：尽量被钓鱼，首先需要注意2点：1）要牢记不要在网页上填写助记词/私钥；2）

确保链接的正确链接，

接下来，我们分享一些经典的钓鱼场景的套路，帮助用户进一步了解威廉姆斯。

1、假网站钓鱼：仿冒官方DApp网站，诱导用户输入私钥或助记词。因此，市场首要原则是虚假网站钓鱼，任何网站提供自己的私钥或助记词。其次，检查网址是否正确，尽量使用官方书签常用的DApp和使用正规主流钱包，如OKX Web3钱包对接收到的钓鱼网站进行举报。

2、窃取主链代币：恶意合约函数起名为Claim，SeurityUpdate，AirDrop等具有诱导性名字，实际函数逻辑为空，只转移用户主链代币。

3、相似地址转账：诈骗者会通过地址碰撞生成和用户某地址首尾相同的地址，利用转账方式进行投毒，或利用假USDT进行一定金额的转账等手段，污染用户交易历史，旨在让用户后续交易从交易历史拷贝错误的地址。

4、假冒客服：黑客假冒客服，通过社交媒体或邮件联系用户，要求提供私钥或助记词。官方客服不会要求提供私钥，微乎其微此类请求。

Q4：专业性不利于人，使用各类工具时需要注意的安全问题

WTF Academy：由于撸主们针对此类工具的使用情况较为复杂，所以在使用时应加强安全防范，例如

1、安全密钥：个人信息不被泄露，请勿在信任的网站输入个人信息，也请勿在云存储中使用个人信息。

2、防范钓鱼攻击：用户访问任何相关的网站时，务必请仔细核对网址，避免点击不明确的链接。尽量从项目官方网站或官方社交媒体获取链接和信息，避免使用第三方来源。

3、软件安全：用户应该确保设备上安装并防范病毒软件，保护软件的安全性和攻击性。此外，还应该定期更新区块链工具，确保使用最新的安全补丁。由于之前有很多指纹浏览器和桌面都出现安全漏洞，不建议使用。

” 截至目前，该公司已采取多项措施，以防止出现安全问题。

OKX Web3钱包安全团队：我们行业公开的案例。

: 比如，浏览器打开浏览器登录界面后，会弹出一个对话框，提示“服务器已关闭”，提示“服务器已打开”，但是提示信息无法显示，所以要谨慎操作，以免造成安全隐患。

因此，确保用户使用可靠的安全，以避免遭到黑客攻击和数据泄露。通常而言，我们从以下角度进行研究，提高目标安全性。

一、钱包使用方法：1）定期更新固件，通过官方渠道购买。2）为了确保安全，避免在公共场所连接。

二、浏览器插件使用：）谨慎使用第三方插件和工具，尽量选择信誉良好的产品，如OKX Web3钱包等。2）避免在不受信任的网站上使用插件。

三、交易分析工具的使用：1）使用可信平台进行交易和合约交互。2）仔细检查合约地址和调用方法，避免误操作。

四、计算机设备的使用：1）定期更新计算机设备系统，修复安全漏洞。2）安全防范病毒软件，定期查杀计算机系统病毒。

Q5：与单一钱包相比，撸人如何管理多个钱包和账户？

WTF Academy：由于撸毛用户在链上交互频率较高、且同时管理多个钱包和账户，所以需要特别注意资产安全。

一、使用钱包：钱包是为了不让别人知道你的账户，而是让你的账户与他人共享，这样可以确保安全性。

二、分离安全策略&分离操作环境：首先是分离安全策略，用户可自行分离不同的钱包，从而达到去中心化的目的。比如，空钱包、交易钱包、存储钱包等。再比如，热钱包和即时交易钱包，从而存储资产，并最终转化为现金。

其次就是分离操作环境，用户可以使用不同的设备（例如手机、平板、电脑等）管理不同的钱包，避免一个设备的安全问题，影响所有钱包。

三、密码管理：用户钱包地址强制使用本金及现金，并可使用本金及现金管理账户的密码，确保用户钱包地址安全。

OKX Web3钱包安全团队：昱陸用户對，管理多个钱包，例如，網站的資料庫存效率：

1、去中心化风险：1）不要将资产放在一个钱包中，去中心化存储以降低风险。根据资产类型和用途，选择简单的钱包，如软件钱包、热钱包等。2）使用多钱包管理大额资产，提高安全性。

2、备份和恢复：1）定期备份助记词和私钥，保存在多个安全地点。2）使用硬件钱包进行存储，避免泄露。

3、实验室重复密码：联合钱包和账户强密码，避免使用相同的密码，以减少一个账户被投资方同时受到资金风险投资者的青睐。

4、启用两步验证：在可能的情形下，为所有账户启用两步验证（2FA），增加账户安全性。

5、自动化工具：减少使用自动化工具，特别是那些可能将你的信息存储在云端或第三方服务中，以减少数据泄露的风险。

6、限制访问权限：只授权信任的人访问你的钱包和账户，并且限制他们的操作权限。

7、定期检查安全状态：使用工具密码登录，确保没有发现任何异常，并更换所有密码。

除了以上的几个统计数据，还有很多，无论如何，用户没有通过多个统计数据来确保资产安全和资产安全，不要单一的统计数据。

Q6：与撸毛人会面相关的交易滑点、MEV攻击等，有哪些防护建议？

WTF 学院：了解和应对交易滑点和MEV攻击至关重要，这些风险影响交易成本和资产安全。

拿MEV攻击来说，常见的类型有：1）抢占，即矿工或交易机器人在用户交易前先执行相同的交易，获得利润。2）三明治攻击，矿工在用户交易前后分别插入买单和单，从而从价格中获利。3）套利：利用区块链上不同市场价格差异进行套利。

用户可以通过MEV保护工具，将交易提交给矿工的专用通道，避免在区块链上公开广播。或者降低交易公开时间，即减少交易在内存矿池中停留的时间，并避免为了交易而确认安全性、以及避免为了交易而共同进行DEX平台大额交易，并减少被攻击风险。

OKX Web3钱包安全团队：交易滑点是指预期交易价格与实际价格差异，通常由波动较大或流动性较低时发生。MEV攻击是指利用信息不对称和交易特权来获取超额利润。以下是针对不可攻击场景的一些常用的防护措施：

1、设置滑点差：由于交易上线，以及可能存在的MEV攻击等，用户在交易时需要提前设置好合理滑点差，因市场波动或MEV攻击导致的交易失败或资金损失。

2、分批交易：避免一次性大额交易，分批次进行交易，可以减少对市场价格的影响，降低滑点。

3、使用流动性绝对对交易者有利：在进行交易时，选择流动性绝对对交易者有利，以减少交易滑点。

4、使用防跑工具：重要的交易灵活性不要走Memepool，可以通过专业的防跑工具，从而保护交易不被MEV机器人捕获。

Q7：用户是否启用了监控工具或者专业方法，定期监控和发送的钱包异常？

WTF Academy：用户可以使用多种工具来访问服务器和客户端的异常信息。这些方法可以帮助提高客户端的安全性，防止未授权的访问和复杂的欺诈行为。以下是一些有效的服务器和客户端方法：

1）第三方监控服务：当前很多平台可向用户提供钱包活动报告和事件报告。

2）使用安全插件：部分安全工具可以自动屏蔽部分钓鱼网站。

3）钱包内置功能：OKX Web3等钱包自动识别钓鱼网站和可疑交易，为用户提供报警。

OKX Web3钱包安全团队：目前，很多公司或组织都提供了大量工具，可用于钱包地址的监控，我们根据行业公开信息整理了部分内容，包括：

1、区块链服务商：使用区块链分析工具，服务端地址的变化，资金变化情况，服务端地址变动通知等。

2、安全钱包：使用如OKX Web3等免费虚拟主机，及时发现可疑交易；及时阻止恶意网站和合约交互。

3、报警系统（Alert Systems）：根据您的用户设置的条件发送交易或余额变动的提醒，包括短信、邮件或App通知等。

4、OKLink代币授权查询：检查钱包对DApp的授权，及时撤销不需要的授权，防止授权被恶意合约滥用。

Q8：如何保护链上的隐私安全？

WTF Academy：区块链公开透明的特性虽然带来了很多好处，但实际上，区块链活动和资产信息可能被窃取，链上隐私保护也变得十分重要。 用户可以通过创建多个地址来保护个人身份隐私。不建议使用指纹浏览器，因为之前出现了很多安全漏洞。

OKX Web3钱包安全团队：当前越来越多的用户开始注意隐私安全，常见的方式有

1、多钱包管理：去中心化用户资产，降低单一钱包被追踪或攻击参与者。

2、使用多方签名钱包：需要多方签名才能交易，增加安全性和隐私保护。

3、钱包：将长期资产存储在硬件钱包或离线存储中，在线保存资产。

4、不要公开地址：不要在社交媒体或公开中国社交媒体上分享你的地址，以防被他人跟踪。

5、使用临时电子邮件：参与其他活动时，使用临时电子邮件可以避免个人信息被暴露。

Q9：如果盗用钱包，用户该如何应对？在帮助盗用用户资产以及保护用户资产方面，是否能够做出努力或者建立机制？

WTF Academy：我们针对钓鱼攻击和私钥/助记词泄漏问题展开。

此外，由于攻击行为发生时，用户访问的资产会被标记为黑客攻击，部分用户会因此被删除；此外，用户访问的资产还会被归类为非法资产。救援团队建议用户采取以下措施：

1）撤回给黑客的资产授权

2）联系安全公司，对被盗资产和黑客地址进行追踪。

此外，用户钱包中所有的有价值的资产都会被标记为黑客钱包，这包括：

1）首先检查钱包中是否存在被黑客转移的资产，如果有，则立即向钱包安全机构发起攻击。有时黑客会漏掉一些门链上的资产。

2）如果钱包有解锁的质押资产和发放的空投，可以联系专业团队进行救援。

3）如果怀疑安装有恶意软件，尽快进行杀毒，删除恶意软件。如果有必要，可以重装系统。

当前，我们在救援被盗用资产方面采取了很多尝试。

第一，我们是第一个针对被盗钱包的资产进行大规模救援的团队。在2023年3月Arbitrum的空投专业，我从近20位粉丝那里收集了40多个泄漏钱包的私钥，与黑客抢跑$ARB空投。最终成功救援了价值40,000+美元的ARB代币，成功率80%。

第二，当用户钱包被盗时，有经济价值的资产会被黑客转走，而没有经济价值但对用户有纪念价值的NFT或ENS还留在钱包中。研究人员针对钱包被黑客监控，转入的Gas都会被立即转走，用户无法转移这部分资产。针对这一点，我们做了一个自助救援应用：RescuETH App，它基于Flashbots bundle的MEV技术，可以将转入Gas和转出NFT/ENS基础设施打包，防止黑客监听脚本转出Gas，从而实现救援资产。目前RescuETH App正在内测中，预计6月开始公测。

第三，针对用户被盗钱包中可以救援的部分资产（未解锁的质押和未发放的空投），我们提供有偿的可定制的白帽救援服务。 目前，我们的白帽团队由近20位安全/MEV专家组成，已经在ETH，Solana，Cosmos等链的被盗钱包中救出超过300万人民币的资产。

OKX Web3钱包安全团队：我们从2个钱包类型展开：用户须知和OKX Web3钱包安全团队

一、用户注意事项

用户一旦发现自己的钱包被盗，建议采取紧急措施：

1、紧急应对措施

1）立即转移资金：如果钱包还有资金，则立即转移安全的新地址。

2）撤销授权：立刻通过管理工具撤销所有授权，防止进一步的损失。

3）追踪资金流向：及时追踪被盗资金的流向，整理被盗过程，以便寻求外部帮助。

2、社区和项目支持

1）寻求项目方和社区帮助：向项目方和社区报告事件，有时项目方可以冻结或被盗资产。例如，USDC 具有黑名单机制，可以阻挠资金转移。

2）加入区块链安全组织：加入相关的区块链安全组织或群体，利用集体力量行动。

3）钱包地址：https://www.youtube.com/watch?v= 1

二、OKX Web3钱包机制

OKX Web3钱包安全，在用户资产管理方面，为用户的资产安全提供全方位保障。

1）黑名单库：OKX Web3建立了丰富的黑名单库，防止用户与第三方进行恶意地址交互。该黑名单库持续应对安全威胁，确保用户资产的安全。

2）安全插件：OKX Web3钱包提供内置的防攻击功能，帮助用户阻止恶意代码和交易，增强用户的安全性。

3）24小时在线支持：OKX Web3钱包预订24小时在线支持，及时跟进客户资产被盗事件，确保用户能够迅速获得帮助和指导。

4）用户教育：OKX Web3钱包定期发布安全提示和教育材料，帮助用户提高安全意识，了解如何防范常见的安全风险，保护其资产。

Q10：能否分享一下安全技术，比如是否可以增强AI安全防护？

WTF 学院：区块链和Web3领域安全性是一个腐败的领域，各类前沿安全技术和方法不断涌现，当前比较热门的有：

1）智能合约审计：利用人工智能和机器学习自动化智能合约的安全审计，可以检测智能合约中的漏洞和潜在风险，提供比传统手动审计更快速、更全面的审计方法。

2）异常行为检测：使用机器学习算法分析和行为模式，检测异常活动和处理安全威胁。AI可以识别常见攻击模式（如MEV攻击、钓鱼攻击）和异常行为，提供实时预警。

3）欺诈检测：AI可以分析交易的历史和用户行为，识别和标记相关的欺诈活动。

OKX Web3钱包安全团队：目前AI在Web3领域已经有很多落地的应用，以下是一些使用AI来增加Web3安全防护的场景：

第一，计算机辅助设计算法利用人工智能和机器学习模型，分析用户行为，并进行数据分析和行为验证，处理恶意行为或异常行为。

第二，钓鱼网站识别AI可以采用网页内容和特征识别的方式，从而阻止钓鱼网站的发展，保护用户免受网络钓鱼攻击的威胁。

第三，软件：AI可以分析文件的行为和形式以及用户下载的软件版本和修改程序。

第四，自动化威胁响应：AI可以自动化响应措施，即在检测到异常活动后，自动冻结账户或进行其他防护操作。

最后，感谢大家看完OKX Web3钱包《安全特刊》栏目第03期，目前正在紧锣密鼓准备第04期内容，不仅有真实的案例、风险识别、还有安全操作干货，敬请期待

免责声明：

本文仅提供参考，无意提供（i）投资建议或投资推荐；（ii）购买、出售或持有数字资产的要求或招揽；或（iii）财务、会计、法律或税务建议。持有数字资产（包括稳定币和NFT）涉及高风险，可能会大幅波动，甚至变得毫无价值。您应根据自己的财务状况考虑或持有数字资产是否不存在。请您自行负责和遵守当地的有关法律和法规。