Web3黑暗森林自救指南，5000字说透钱包和安全( 二 ) _网站安全

【Web3黑暗森林自救指南，5000字说透钱包和安全】2、USDT的潜在风险
很多人以为USDT很安全，其实USDT是由Tether公司管理的，一旦被认为是黑钱，Tether可以轻松冻结这一笔钱。所以遇到不明来源的USDT最好还是小心点。同理，需要注意的是USDC，也是会被冻结的。
3、钱包的各类交互操作。
先说一个大家最容易犯错的地方，就是签名（sign）。一般认为签名不涉及授权，不会有操作风险，但是遇到非明文写下的签名，还是有安全隐患的，好在现在metamask都会用红字提示。

除签名外，最常用的一个功能是授权（approve）。这决定了你授权了对方某个币种可以自由使用的额度，一般来说像常用的Uniswap这类的DEX比较安全，但是一旦遇到新的项目要求你无限转账额度的授权，就一定要小心了。黑客们最喜欢用的一招就是让你在焦虑（新项目mint时）、兴奋（突然收到貌似大额的空投）、沮丧（反复被骗）等情绪下，将你骗到一个假冒网站，让你无意中将授权交给他。
这里提供一些查询和授权的网站，仔细检查一些是否有不明来源的授权，这对你很重要
扩展钱包Rabby
近期还有一种伪装成NFT的erc1155协议。黑客会将做一个与你钱包里同名的NFT，然后空投给你，一旦你在指定的网站上授权挂单，黑客就可以转移对应的NFT，十分危险。所以不要随便使用不明来源的空投。
Mint主要用于铸造NFT，一般来说不会有什么风险。不过要确定自己mint的网站不是黑客伪造的，这类事件时有发生。伪装的网站经常会把mint改为一个授权协议，如果在fomo的情绪中mint，很有可能没注意协议导致误授权。有的骗子很直白，会直接要求你send eth给他……
4、其他钱包
很多人对ETH钱包的相关操作了如指掌，以为可以轻松驾驭其他的钱包（犯了前文提到的自傲的错）。实际上，其他链的钱包更不安全。因为你对新的公链肯定不如对ETH了解那么深，公链和钱包在设计逻辑上也会存在bug，所以交互的时候应该更加小心，不要随意使用陌生的网站进行陌生的交互。

慢雾创始人余弦就提到过一个SOL案例。攻击者批量给用户空投 NFT （上图1），用户通过空投 NFT 描述内容里的链接进入目标网站，连接钱包 (上图2)，点击页面上的 “Mint”，出现批准提示框 (上图 3) 。注意，此时的批准提示框并没有什么特别提示，当批准后，该钱包里的所有 SOL 都会被转走。这里面有两个坑需要注意：a)恶意合约在用户批准 (Approve) 后，可以转走用户的原生资产 ( SOL)，这点在以太坊上是不可能的。以太坊的授权钓鱼钓不走以太坊的原生资产 (ETH)，但可以钓走其上的 Token 。于是这里就存在“常识违背”现象，导致用户容易掉以轻心。
b)Solana 最知名的钱包 Phantom 在 “所见即所签” 安全机制上存在缺陷(其他钱包没测试)，没有给用户完备的风险提醒。这非常容易造成安全盲区，导致用户丢币。
5、NFT
NFT很热，相关的骗局也很多，比如：a)从传统app弹出通知将你引到某NFT项目——好项目是不需要通过web2的方式来引流的。b)社区不断地讨论如何维护地板价——崩盘前奏。c)Discord上频繁踢人、禁言——这是项目方没有自信的表现。

以上关于本文的内容，仅作参考！温馨提示：如遇专业性较强的问题（如：疾病、健康、理财等），还请咨询专业人士给予相关指导!

「辽宁龙网」www.liaoninglong.com小编还为您精选了以下内容，希望对您有所帮助：