如何保障数字钱包的安全性？

nicholas_pw
更新于 2022-03-20 13:12
阅读 2011

区块链的数字货币领域的门槛其实非常的高，而且门槛与去中心化程度关系非常密切。越去中心化门槛越高，参与过区块链的人应该对这点深有体会。可能你就是钱包被盗的受害者，如果不是你群里的人一...

区块链的数字货币领域的门槛其实非常的高，而且门槛与去中心化程度关系非常密切。越去中心化门槛越高，参与过区块链的人应该对这点深有体会。可能你就是钱包被盗的受害者，如果不是你群里的人一定被盗过。就是这么可怕，其实这个跟是否新手的关系并非大，哪怕你是能完全看懂合约，甚至会写合约(比如我)，其实在真正参与项目的时候，并不会认真研究别人的合约（时间太长），哪怕有时间也是看个走马观花，看个寂寞。稍后不慎就会被盗，非常可怕，但也不是完全无解。

首先我们需要搞懂我们的钱包是如何被盗的，背后的逻辑是什么，我们究竟是如何泄露我们的隐私。

### 1.私钥泄露

> **这种情况是最高级别的黑，也就是这个钱包已经属于别人，你的一切都会被转移，记住，这种危险性最高，没有之一。**

![](https://pic4.zhimg.com/80/v2-e336b19b2a1fddeb73f42ef266f8a93f_720w.jpg)
ERC20 私钥

这种问题，只要有点经验的人都是能够避免的，别人会让你提交私钥，请大家千万记住，但凡提供私钥的宁可错过千万别参与，别贪便宜。这种原则性的问题如果你把握不住，那就活该倒霉了。每人能够帮得了你。下面是我遇到的几种泄露私钥的手段。
**1.冒充交易所客服，** 告诉你交易所账号被冻结。慢慢引导你去。

**2.假装群管理员** ，帮你解决问题。很多Defi,dex平台因为纯有英文的，不会用就在群里请教问题。但被不法分子盯上，然后换了管理员的昵称和头像私下跟你聊，给你一个假网站，让你粘贴你的密钥。

**3.假钱包。** 骗子利用假钱包，当你导入密钥使用钱包的时候，或者用它的假钱包存入数字资产。他们会监控你的余额，一旦符合他们的标准，那么分分钟把你的数字资产转移到他的私人账户中。

**4.手机被监听。** 比如我们复制和粘贴的时候，其实可以被某些手机软件监听到你复制的内容。特别是输入法，**在此强烈建议大家关闭输入法的网络访问权限。** 这种盗取是防不胜防的，甚至被盗了你都不知道什么情况。因此不要轻易的复制粘贴你的私钥。

### 2.合约授权

> 当别人向你授权某个合约的转账权限，对方可以将你的某个代币全部卷走。每次授权只针对某个代币，危险性远不如第一，但中招率极高极高。作为我，我也不能完全杜绝。因为我也不可能去每个合约都去看有没有留有后门。

常用的集中恶意盗取

**1.钱包扫假二维码。** 你以为是转账，其实是盗币。 所以千万千万不要乱扫别人的二维码，哪怕错过。

**2.参与GameFi,Defi,DEX交易数字资产。** 这种被盗就存在两种行为，一种是项目方有意为止，防不胜防。因为你再通过合约授权的时候，99%以上是需要授权的，只要授权。如图所示，是不是非常熟悉的页面？ 是不是每个人都经历过这样的授权，可以说每个人都不夸张。所以这种方式盗币哪怕是我这样的老司机也躲不过。虽然躲不过，但是有解决方案。我再下文会跟大家介绍。

![](https://pic1.zhimg.com/80/v2-116a447b8bf8b3853ee3e2de9f2eca90_720w.jpg)
合约授权存在的风险

### **关于授权盗币的原理**

其实ERC20的数字资产标准合约都会有一个 **approve()函数** 。这个函数，就是让客户同意授权给某给合约来操作，对应数字资产的转账权限。

这里的spender就是盗币者向你获取的操作权限，我们绝大部分人不懂代码。很容易迷迷糊糊的将这个授权给与别人，也就是上面截图的界面对应所调用的这个合约。**spender** 就是恶意者的合约或者地址。

但我们为什么防不胜防呢，因为所有的上文介绍去中心化平台，都会需要这个授权来操作。比如流动性挖矿，质押，清算，持币生息，NFT的各种与收益相关的都会用到这个合约。将你的资产转移到它的合约中进行锁定。因此真假难辨，但我们又不能不这么操作，不然你就错过了可能几百倍的机会。

![](https://pic2.zhimg.com/80/v2-e58662333e880bbe2dcdb755543161b5_720w.jpg)
授权的合约代码

### 如何保护数字资产的安全性？

对于已经泄露私钥的问题已经无解了，如果你觉得你可能存在这个风险，那么赶紧换个新钱包，把资产转移。被盗的就别想了，多看几次我提到的那些问题，然后尽可能去规避它。

对于授权盗币这个才是95%以上的人会踩到的巨坑，**如果不懂技术有没有解？有！！！** 原理也很简单，盗币者利用这个函数，把授权amount数量调成无限大，那么你只需要把amount这个数量改为0，那么就安全了。**原理是这么个原理，那如何知道我曾经授权过哪些合约呢？！**

### 通过钱包安全检查工具 futureworld

> **这个工具会将你之前授权过的所有记录全部找出来，然后你可以全部取消，这里我建议大家全部取消。除非你的那部分数字资产已经卖了以后也不打算买了，那也无所谓。 不然全部取消，因为你不仅要防项目方，还要防黑客。**

[**http://****futureworld.app/approve**](https://link.zhihu.com/?target=http%3A//futureworld.app/approve) 授权检查工具，只要这里输入你的地址就可以查询到你的钱包哪些数字资产被售授权过。 当然我也给大家把关过，这个代码没有留任何后面，也运行了1年多时间了。

![](https://pic2.zhimg.com/80/v2-aaba69115424b3ce4ffc19b8af8e2b01_720w.jpg)

不查不知道，一查吓一跳。我的授权记录接近100多次，那么任何一次都有可能存在风险。以下这是我的取消记录，可以看到取消的链上记录。一目了然，希望对大家有帮助。

![](https://pic4.zhimg.com/80/v2-3daa95411ce73d97e172aa3c2cd29c43_720w.jpg)

### **哪些操作是安全的？**

**1.解锁钱包 ** 当你使用dapp时，需要输入密码解锁metamask钱包是安全的。

**2.切换网络 ** 例如你当前是在Etherum Main network网络，Dapp需要切换到BSC 网络这个操作是安全的。

**3.连接钱包 ** 对方需要连接到你的Dapp钱包，获取你的公开地址时候，这个是安全的。

首先我们需要搞懂我们的钱包是如何被盗的，背后的逻辑是什么，我们究竟是如何泄露我们的隐私。

1.私钥泄露

这种情况是最高级别的黑，也就是这个钱包已经属于别人，你的一切都会被转移，记住，这种危险性最高，没有之一。

ERC20 私钥

这种问题，只要有点经验的人都是能够避免的，别人会让你提交私钥，请大家千万记住，但凡提供私钥的宁可错过千万别参与，别贪便宜。这种原则性的问题如果你把握不住，那就活该倒霉了。每人能够帮得了你。下面是我遇到的几种泄露私钥的手段。 1.冒充交易所客服， 告诉你交易所账号被冻结。慢慢引导你去。

2.假装群管理员 ，帮你解决问题。很多Defi,dex平台因为纯有英文的，不会用就在群里请教问题。但被不法分子盯上，然后换了管理员的昵称和头像私下跟你聊，给你一个假网站，让你粘贴你的密钥。

3.假钱包。 骗子利用假钱包，当你导入密钥使用钱包的时候，或者用它的假钱包存入数字资产。他们会监控你的余额，一旦符合他们的标准，那么分分钟把你的数字资产转移到他的私人账户中。

4.手机被监听。 比如我们复制和粘贴的时候，其实可以被某些手机软件监听到你复制的内容。特别是输入法，在此强烈建议大家关闭输入法的网络访问权限。 这种盗取是防不胜防的，甚至被盗了你都不知道什么情况。因此不要轻易的复制粘贴你的私钥。

2.合约授权

当别人向你授权某个合约的转账权限，对方可以将你的某个代币全部卷走。每次授权只针对某个代币，危险性远不如第一，但中招率极高极高。作为我，我也不能完全杜绝。因为我也不可能去每个合约都去看有没有留有后门。

常用的集中恶意盗取

1.钱包扫假二维码。 你以为是转账，其实是盗币。所以千万千万不要乱扫别人的二维码，哪怕错过。

2.参与GameFi,Defi,DEX交易数字资产。 这种被盗就存在两种行为，一种是项目方有意为止，防不胜防。因为你再通过合约授权的时候，99%以上是需要授权的，只要授权。如图所示，是不是非常熟悉的页面？是不是每个人都经历过这样的授权，可以说每个人都不夸张。所以这种方式盗币哪怕是我这样的老司机也躲不过。虽然躲不过，但是有解决方案。我再下文会跟大家介绍。

合约授权存在的风险