行走笔记：二宝，涉及钱包安全的三个案例

随着BTC被纳入美国ETF的实现，加密市场的波动开始加剧。正向看是波动意味着获利机会，但另外一面，国内加密世界越来越成为一个“黑暗森林”，期间的风险只能由个人去承受。

本篇笔记来自微博账号：宝二爷郭宏才的视频分享。二宝分享了三个有关钱包安全的案例，包括下载到假钱包导致资产被盗，网页钱包被安装了插件，导致私钥泄露以及假冒大V带单。同时他也分享了自己预防钱包风险的一些心得。

以下，Enjoy：

这次和大家聊聊钱包安全。按道理有很多知识型播主已经把钱包安全问题都讲完了，这些都是常识了。B圈发展这么久了，应该不会有人使用钱包的时候丢Coin。但最近连续发生了三起事件，都是丢bi事件，而且都发生在老用户身上。

交易所不让中国用户放BI了，很多人就要把Coin提出去。但好多山寨币一是不值钱，二是没有钱包接纳，所以就把所有的山寨币全部换掉，换成BTC或者ETH，USDT等稳定币提到钱包里。

结果问题就出现在提到钱包这个过程中。大部分人没有在交易所丢过币，交易所丢币很难，因为黑客想要黑掉交易所太难了。

下面我把三个丢Bi的案例讲一讲。

一、访问假钱包

国内比较著名的几个钱包，IMToken、比特派、最新兴起的库神钱包、Cobo钱包，还有各个交易所做的钱包。市场占有率比较高，大家比较认可的主要是做得时间比较久的，以太坊上的钱包IMToken。

IMToken的官方网站上经常性的会提示，现在有一些诈骗和钓鱼网站。尤其是百度搜索出来，安卓版的IMToken的钱包，好多在应用市场上下载的IMToken的钱包，都是黑客自己做的钓鱼的，假的钱包。当你把token转进去，瞬间就被转走了。

当中国交易所清退中国用户时，很多用户折腾了一圈，把山寨币换成了BTC或者ETH，USDT等稳定币，往外提的时候，却下载了一个山寨版的IMToken钱包。当然不止是IMToken，各大钱包都在被山寨，都在安卓市场上有很多假钱包。当你往这些假钱包里打Bi，就被劫持了、转走了。

有没有办法追回来呢？没有办法，把谁找来也没办法。Bi一旦被转走，在去中心化的世界里就很难再找回来。这样丢失Bi的人最近不在少数。

所以这些主流钱包的官方网站上都会提醒大家，下载正规和官方的钱包。

后来又出现了钱包也不支持中国用户访问了，禁止中国IP地址访问钱包。但这一直不是什么问题，很多人会用VP嗯的模式访问。就像中心化交易所，币安早就不支持中国IP访问了，但大家还是一直在用，是因为都在泛强使用币安。

钱包因为是不KYC认证的，所以用户无法找回，丢了就是丢了，谁来也不好使。

所以当你还不具备能力安全使用钱包的时候，首先还是要学习如何来安全的使用钱包。

二、电脑使用钱包被盗私钥

第二个案例是10月13号发生的事，用的钱包是国外最火的MetaMask小狐狸。这个钱包本身并没有什么问题，但好多人都习惯用电脑的网页浏览器装一个插件，去登陆MetaMask。但电脑是否安全就是个问题了。

我说的这个案例，丢的不多也不少，快100万RMB了，不过也就两个BTC。这是个老用户、老玩家。他的电脑一直使用数字货币的交易所，但很少使用数字货币的钱包。他自己认为自己的钱包是安全的，钱包早就生成了地址，但一直没有往里面打钱。这次操作了一把，打了两个BTC，然后就睡着了。第二天醒过来发现Bi被转走了。

经过找安全专家咨询，才知道这台电脑由于长期访问各种网站，早就中了木马了。电脑已经被劫持，除了Bi被转走，其实用户的数据，包括照片、通讯录等早就被黑客劫持了。

黑客很聪明的，除了盗取Bi，还会做钓鱼。并不把Bi都提干净，还留了400美金的ETH。当用户发现钱包了还有一点ETH，会觉得应该不是钱包出了问题，如果出了问题应该全部都转走。正想往钱包里继续打token继续用。安全专家告诉他，这就是黑客在钓鱼，故意给你留了一点ETH，让你误以为钱包的安全的。你可能是被智能合约劫持。

有的人是自己点了哪个授权，允许了哪个智能合约导致的丢币。这种情况如果不把token转走，还继续往钱包里转账，一瞬间就可以把token都转走。拼速度，你是赢不了机器人的，智能合约都是机器在盯着数据，Bi打进钱包，一瞬间就能转走。

那要如何避免这件事呢？不要用你平时用的那台电脑操作数字货币。我们做操作的正确方式，首先要买一台苹果的电脑，最新的不过一千美金。再去买一个硬件的U盘一样的钱包。生成的钱包私钥一定要配合这台平时除了操作数字货币交易以外，不怎么使用的电脑。这样做你就安全了。

因为即使黑客知道了你MetaMask钱包的密码，也无法把你的Bi转走。因为转的时候必须在硬件钱包上点两下，不点转不出去。这样就做了物理隔离。黑客只能劫持电脑，无法改变你转账的物理行为。

这个案例中犯错误的大部分是Bi圈老手。如果你要参与Defi挖矿，或者投资Uniswap上的炒笔，去中心化的操作，不要用手机操作。千万不要在你的手机上放token、Coin或者钱。一定要单独有一台电脑单独操作。除了几个必要的软件登陆，其他一律不要碰。

要做好完全的物理隔离。我不讲专业细致的东西，比如具体哪家公司做的钱包怎么使用，硬件钱包怎么使用。只是想告诉你们还要接着玩的，一定自己确保自己笔的安全。

以前大家都指望交易所，现在只能指望自己。所以你们要去学习数字钱包的使用，别一把回到解放前。

无论是用哪家的APP钱包，一定要买一套硬件钱包配合使用。我以为这是常识，结果真有的人为了省这几百块钱不买。结果Bi就丢了。

丢了黑客就把Bi转到了去中心化的网络里，根本找不回来。都是匿名的，谁都找不回来。去中心化的世界找谁都不好使，不是JC不给你找，是找了也找不回来。

三、冒充KOL欺诈

第三种是发生在我身边的故事。大家知道我只有微博和微信账号。但经常可以看到微信上有用我的头像在各个群里，包括朋友圈更新都和我一样的账号，网上几百个是有的，封了就有几百个了，但依然会层出不穷。

有的人同时有我的真的微信，同时有假的微信。假的微信就和他聊天，要他投资山寨币，或者拉到山寨币的群里，要他拿自己的大饼以太去换山寨。大家想想，我一个退休的人，连录视频的时间都没有，哪有时间给大家一一加好友，再推荐什么项目？

但有的人就不动脑子。他也不找我核实一下。我每次录视频都会把我的手机号公布出去：13935402564。包括其他平台上用我ID的一些视频，也不是我更新的。我也没有微信公众号。

而且有一点，你如果被这样骗了，报案是不管的。原来报案JC会不好意思，是因为找不着人，只能把骗你的微信号封了，之后就没有然后了。但自从924公告发布以后，如果你被人骗了Bi了，报案人家都不受理了。924公告已经写了，Bi的风险要自己承担，有关部门不管了。

所以各位一定要自己小心。李林、Vitalik、孙宇晨、赵长鹏这些人，就连我这退休的都没时间，不要说这些开交易所、做公链的老板们，哪有时间推荐你们买什么呢？这就是个博傻的。

很多人会在群里遇到假的KOL的头像。但有的人就真以为比如孙宇晨有时间和你聊天，让你投资两个ETH就真投了。这种被骗的我觉得纯粹智商的问题。傻子太多，骗子都不够用。

大家记住，我没时间和你们主动聊天，用我头像和你们主动聊天的都不要相信。我没时间，更多比我大的KOL更没时间。

前几天我朋友圈发了四个钱包官方下载的图片，网址就写在了图片上。然后就有人问我，链接能给我发过来吗？我连理都没理，忽略、不回复。图片上已经写了链接你都不看，还要我打一遍……这种小白问题自己解决。

我只能告诉你们，黑客已经迭代了。即使你们下载的是官方的钱包，但电脑中毒了怎么办？如果你的钱包本身不安全，黑客可能在你第一次转钱的时候并不提走，而是等着你转更多进来的时候，一次性把你的钱拿走。

有些小提示和小技巧可以分享：

大家一定要把冷钱包、硬件钱包用起来。不要指望你的手机、电脑。

有人会说我用的是苹果手机、苹果电脑。第二个案例里丢的用的就是苹果电脑。苹果只是个电脑，但浏览器被劫持了，在浏览器上生成的私钥就会被黑客黑掉。而如果是在硬件上生成私钥，起码转账的过程黑客无法完成最后一步，因为需要手动的点硬件上的确认才能转走。

很多人还会觉得我已经买了硬件钱包，把bi往里一放就永远丢不了。不存在的。这里面有百步，错一步就是全错。

我有个哥们，自己拿个本本写好了助记词，但密码没有登记在本子上。而他用的正好是库神钱包，因为库神钱包只有助记词是恢复不了的，必须还要登陆自己的账号密码。那哥们当初设置了一个密码，忘了。怎么试都试不出来，几百个BTC就拿不出来了。

谁也解决不了这个问题。听说有办法可以重复的试，但费老鼻子劲了，也不好解决。

普通的IMToken钱包、Cobo钱包，忘了密码，只要有助记词，导入一个新的地址，里面的Bi是可以恢复的。但库神钱包不一样，密码和助记词要同时备份。

更可笑的是，有些人助记词、密码全记了，记录的本子丢了。也不想着买个保险柜，把本子放保险柜里。

有的人觉得自己租的地方挺安全，但也没装摄像头。助记词记在本子里，有人物理的进来把本子拿走了也不知道。

之前钱包丢Bi的主要是因为偷懒，助记词本来应该用笔记在纸上、本上，他就截个屏，就把助记词12个或15个单词记录下来了。但助记词这样截图照片在手机上，传到云端，不知道怎么就泄露了。一旦泄露你的Bi就可能被别人转走。

在转账时，你要和对方确认地址。不能只是后四位，要前四位，后四位都对得上。而且最好是对方用语音告诉你，他地址前四位，后四位。听完了核实是他的声音，是他的地址，留个证据，都没问题了再去转账。因为有人的微信可能被盗、被劫持、被黑了。比如你老婆微信号被盗了，给你打个地址过来要转账。你一懒没核实，就给打过去了。

短信也会出问题。之前有个币圈大佬，把自己的私钥记在Gmail邮箱里，Gmail邮箱必须手机输入验证码。结果验证码被黑了，然后黑客登陆到他的邮箱里，把邮箱里的助记词拿走，一把把Bi就提走了。

所以就不要相信互联网的各种软件、电脑、邮箱、手机都不安全。你就老老实实的拿个本本记下来，助记词、密码、账号都记下来，也别把本子丢了。把本本安安全全的放在一个地方。

最好不要一个本，而是备份一本。我们真正的打法是钢印，直接把助记词敲在铁板上。着了火都不怕。而且这个本子不能放在家里。要放到安全的，多个银行的保险柜里。你要确保Bi你自己都够不着，就放在那不动了。

还有更牛的，就是做信托。Bi多的可以考虑信托，其他人就自己管理好就行了。数字货币最终是去中心化自行治理的DAO生态。生态中有各种可能性，不要以为黑客离你很远，其实离你很近。你不能保证自己的手机、电脑是安全的。

白帽黑客会知道互联网里充满了各种风险，Crypto的token就是案板上的肉，谁都可以从你手里抢走、吃掉。加密世界里有大量的人研究黑客技术，去偷和盗Bi。

希望大家明白，你的Bi自从离开交易所，没人给你负责，你要自己负责。别指望黑客偷了会还回去。

以上是笔记的全部内容。

根据央行等部门发布“关于进一步防范和处置虚拟货币交易炒作风险的通知”，请读者严格遵守所在地区法律法规，不参与任何违法违规的投资行为。本文内容仅用于信息分享，不对任何经营与投资活动推广进行背书，请读者提高风险防范意识。

—-

编译者/作者：行走

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。