链上安全常识小科普-钱包被盗的三种原理：

admin

链上安全常识小科普-钱包被盗的三种原理：

（1）私钥、助记词泄露：

影响：可以划走你钱包的所有资产

原因：在导入钱包或者上传助记词出现泄露，普遍是联网使用微信、qq、网盘等等传输私钥和助记词，高级一点的就是黑客往电脑里植入木马扫描，跟随意下载不安全软件有关。

如何避免：一是使用硬件钱包隔离私钥和助记词，二是使用多签钱包。

安全性：多签钱包>=硬件钱包>放交易所>普通钱包，由多个硬件钱包组成的多签钱包理论上是最安全的，普通玩家搞个多签钱包专门存放资金，不随意交互，是最佳选择。多签钱包说明：http://t.cn/A6oAou6u

（2）授权（approve）

影响：可以划走某一条链的授权资产，不包括eth，对不授权的其他链没有影响，对同一条链的其他资产也不产生影响。比如授权了Eth链的usdc，那么对其他链的usdc没有影响，也对usdt没有影响。而eth转移是不需要授权的，也没有授权这个概念，因为它不是Erc20代币，假如eth从钱包里主动转出，大多是私钥和助记词泄露。

原因：在不明网站上随意授权，或是在正规项目授权但是项目合约有漏洞，被黑客入侵，亦或是项目方监守自盗。反正意思就是只要你给了某个项目授权，你就得对它有绝对信任，绝对不能出问题，没有这个信心就不要随便授权。

如何避免：使用专用的交互钱包，交互钱包里不要放过多资金。假如大资金想要赚利息，难免避免不了授权，最好选择老牌的项目比如uni和aave等等合约开源并且代码经过长时间检验的项目，时间越久就越安全，当然有些项目会进行代码升级，也有出现漏洞的可能。

今天tp钱包的transit功能被盗其实就是授权被盗，跟用的钱包没啥关系，就算你用硬件钱包、多签钱包亦或者自己做的钱包，只要授权了就会被盗。即便你用的tp钱包，但是没有进行过transit功能的使用，那你的资产也是安全的。所以大v们不用吹嘘硬件钱包还有什么自己生产的钱包的安全性了，压根是不同的原理。

（3）签名

影响：会在特定时间内获得某个代币的授权，其实底层还是授权，但是不消耗gas，签名就能获得。

原因：Erc20代币前一段时间出了个permit函数，可以通过签名来获得某个代币的授权，比如在inch上卖出aave，你就发现没有以往approve这一步，取而代之的是permit，仅仅是一个签名，不消耗gas，所以签名也有风险，之前很多人以为签名不消耗gas，不会给授权，但现在情况不一样了。

还有一些nft钓鱼网站也是要你的签名，很多人的nft之前授权过opensea，一般上架opensea只需要一个签名，那么钓鱼网站就构建一个nft0元购并且指定地址才能购买的签名，你签下去，你的nft就可以被黑客0元购了。

如何避免：看清楚签名信息的内容，一般乱码、特别是小狐狸钱包提示风险的签名就要小心，不随意去不明网站上签名。

最后，钱包被盗肯定是某些方面疏忽了，安全意识不够，很多人被盗才能长记性，是他们命中逃不过的一劫，辛辛苦苦赚来的钱假如不用心守护，那么它就不属于你。