再怎么强调也不为过（一）：确保加密资产安全的10个步骤

作者：William M. Peaster

编译： H+H@InfoFlow

排版：ZaynR@InfoFlow

今天，我们介绍如何加强防御网络钓鱼诈骗及其他诈骗的能力。让我们深入探讨10个简单的步骤，你可以使用这些步骤来确保你的资产保持安全，并确保你的加密货币前沿之旅畅通无阻。

成功的网络钓鱼攻击取决于三个要素：

1.一个看起来足够真实的虚假机会（通常是所谓的空投领取网站或NFT铸造页面）

2.受害者误信虚假机会，签署了恶意交易

3.受害者的感染钱包中价值代币有过批准（Approve）操作，攻击者可以通过恶意交易利用这些代币批准

在精美的宣传和网站前，我们中的任何人都可能被网络钓鱼者欺骗。

幸运的是，我们可以将一系列实践和资源组合在一起，消除对恶意交易签名的机会或有效地将这样做的影响降至最低。

以下是2023年提高加密资产防御的10个重要步骤

创建保险库

策略：为长期持有的加密货币创建一个多签钱包！

推荐工具：Safe{Wallet}

多签钱包通常被称为“保险库”（vault），类似于加密货币版本的银行保险柜。它需要多个私钥（即钱包）来授权任何交易，从而为你的加密货币提供更高的安全性。多重签名就像一座数字堡垒，即使你的其中一个私钥泄露，你的长持资产也能受到保护。

现在创建多重签名最简单的方法之一就是创建一个Safe帐户。你可以添加任何你想要的地址作为签名者，不过从2-of-3多签策略开始会很简单。另外，请考虑使用Ledger等硬件钱包作为你的一些签名者，这可以提高安全层次！

创建风险钱包

策略：创建一个专门用于日常活动的风险钱包！

推荐工具：Delegate

切勿将你的保险库（vault）用于常规加密货币活动，例如空投申领或NFT铸造。对于此类事情，请设置一个单独的专用钱包，你只需根据需要充值ETH等加密货币即可。

经常使用的钱包不应该装满所有的链上资产。你可以考虑像Delegate这样的服务，将你的保险库钱包的权限委托给风险钱包，它不会移动或危及任何资产。例如，你保险库中的NFT让你有了白名单铸造资格，你就可以使用Delegate服务帮你铸造。这样，即使你不小心用风险钱包对一笔恶意交易签名了，你的长期储蓄也不会受到影响。

使用交易预览工具

策略：下载交易预览工具，提醒自己注意恶意交易尝试！

推荐工具：Fire、Pocket Universe、Stelo

等一下？？？我不是想将60,000 USDC和我所有的NFT转移到这个随机地址？！？！预览工具能在你批准任何内容之前帮助你可视化信息。

这些工具是免费的浏览器扩展，它们会弹出窗口，解释所有建议的交易。这些扩展程序是抵御网络钓鱼事件的神奇屏障，因此请确保针对所有交易运行其中一个扩展程序！

审核代币支出权限（allowance）

策略：取消你无限的代币支出批准（approve）！

推荐工具：Revoke.cash

许多基于以太坊的应用程序（例如DeFi）会要求你批准“无限制”的代币支出，这样你就不必不断地重新批准而花费资金。问题是如果你的钱包被盗，并且你有一堆无限制代币批准，攻击者就可以卷走其中所有资产。

因此，你希望定期监控你的未结清配额，并在可能的情况下撤销或最大程度地减少无限批准。revoke.cash平台让修改你的代币配额变得轻而易举，所以不用担心。

使用前研究

策略：在使用你感兴趣的项目之前先研究一下它！

推荐网站：DeFiLlama（当前资源）、CryptoWiki（历史信息）

永远不要在加密货币领域盲目飞行，一定要做好功课！

例如，最近我正在探索Ajna协议，这是一种较新的无治理DeFi借贷协议。我直接查看了它的文档、常见问题解答、白皮书等，这样我就可以开始深入了解它，衡量它的细节和风险状况。

深入研究是必要的：在深入研究任何事情之前花时间了解基础知识。不要鲁莽地模仿，这样就不会将自己置于危险的境地。如果你无法为某个项目找到好的文档和类似的教学资源，那这本身就是一个很大的危险信号。

监控你的仓位

策略：使用投资组合跟踪器来关注你的加密货币头寸！

推荐工具：DeBank、MetaMask Portfolio、Zapper、Zerion

在加密货币领域，密切关注你的资产至关重要，而投资组合跟踪器是你在这方面最好的朋友。它们提供你在各种钱包和平台上持有的资产概览，使你可以轻松实时监控你的加密货币。

请记住，及时了解你的仓位不仅仅是为了观察收益，这也是风险管理的重要组成部分。通过定期监控你的资产，你可以发现可能存在安全漏洞的异常活动，并有机会采取行动保护你的剩余资产。

及时了解生态系统新闻

策略：及时了解加密货币新闻，例如最近的黑客攻击！

推荐资源：Bankless、DeFiLlama Roundup

有时，对DeFi协议等项目的攻击可能会间接或直接影响你的加密货币头寸。为了赶在潜在影响前，及时了解情况至关重要。

不过，无需自己完成所有工作。例如，Bankless在攻击开始后数小时内就在Twitter thread中解析了Curve的重入攻击。Bankless始终努力让你及时了解情况。这里也有许多其他很棒的资源可以帮助你，例如Telegram上DeFiLlama的新闻聚合聊天。

封锁你的web2个人信息

策略：依靠良好的OpSec（操作安全）实践来保护您的web2活动！

推荐资源：Officer’s Blog

即使在web3之外，也不给攻击者留任何余地。不法分子可能会侵入你的电子邮件或社交帐户，试图诱骗信任你的人点击诈骗网站。别让他们到那种地步！根据安全研究人员ficialcia.eth的说法，强大的操作安全基础包括：

1. 使用安全的email提供商，例如Protonmail
2. 使用不同的强密码，切勿在多个地方重复使用
3. 切勿将你的电话号码和加密平台产生联系
4. 使用2FA备份你的帐户，但不要使用基于短信的2FA
5. 要求你手机的运营商锁定你手机的SIM卡
6. 使用最新的防病毒软件

创建逃脱策略

策略：为你的资产制定一个逃脱策略，以防出现最坏的情况！

推荐工具：Webacy、Spotter

即使使用了上述所有工具和实践，仍然要考虑为最坏的情况做好准备。Webacy是一个web3安全提供商，可以让你创建自定义备份钱包+紧急按钮（Panic Button）系统；如果你受到了攻击或者感受到安全威胁，你可以使用平台的“Panic”功能将所有或任何剩余资产转移到预先指定的备份钱包中。

对于更高级的用户，还有其他监控和保护服务，例如Spotter，旨在帮助你在几毫秒内检测和逃避链上攻击。

拉响警报

策略：一旦遇到网络钓鱼诈骗，请迅速拉响警报！

推荐资源：CryptoScamDB

如果你看到什么，请说出来！

如果你确实遇到了加密货币网络钓鱼，请发出警报，以便其他人远离。你可以在群聊中发消息，也可以在社交媒体发帖子，或者是在CryptoScamDB等数据库上传报告。你只需花30秒就可以帮助其他人保护他们的加密资产！