在加密领域，DeFi发展越来越快。在不断变化的环境中，找到新的创收计划并避免垃圾项目和庞氏骗局是一个巨大的挑战。DeFi有一个明显的特点，就是需要使用Metamask这样的非托管钱包与DeFi Exchange进行交互。当然，Metamask目前运行良好，但遗憾的是，用户对其安全性仍有疑虑。毕竟，加密世界充满了黑客和欺诈者。如果你不小心保管好你的钱包，即使你在黑客攻击中损失了超过10万美元，你也无法追溯。可悲的是，即使如此大的金额也不足以让任何在线取证公司或执法机构有兴趣试图追回资金。所以，使用Metamask这样的非托管钱包，你必须真正依靠自己来保护自己的资金。 　　

　　

　　如果你在网上搜索相关的被盗事件，你会觉得几乎所有使用Metamask的人都会被黑，因为相关的帖子数不胜数。然而，好消息是这通常不是真的。事实上，只有少部分Metamask用户被真正的黑客黑过。此外，各种网帖中的被黑用户大多对DeFi交易相当陌生。他们缺乏基本知识，尚未理解保护Metamask钱包必须采取的所有重要步骤。然而，对于其他用户来说，黑客攻击有时仍会发生，但这些攻击要罕见得多，通常会涉及一些用户错误。从这个意义上说，使用Metamask等钱包就像从事跳伞等冒险运动――你必须确保所有操作100%正确完成。否则，一个不小心的失误可能会清空你的账户，给你的资产造成损失。 　　

　　

　　为了避免被黑(或者如果你已经被黑了，为了防止再次被黑)，你必须知道保护你的账户必须采取的所有步骤：做什么，不做什么，以及如何防止欺诈者对你的账户产生坏想法。那么，我们来看看Metamask用户被黑的最常见方式，以及如何避免。 　　

　　

　　1. 假钱包骗局 　　

　　

　　其实这种情况很少，但确实会发生。我们应该尽量避免下载假钱包app。Metamask的官方网站是你下载和安装钱包的唯一网站。一些黑客会创建虚假的Metamask网站，并使用谷歌广告将这些网站显示在谷歌搜索结果的顶部，以欺骗用户下载并窃取你的私钥。这种假网站有一个被黑客攻击的Metamask应用版本，可以让用户创建一个钱包，像真钱包一样添加钱，但随后假钱包会将用户的钱发送到黑客的钱包中。所以你需要仔细观察，以确保你每次使用的都是Metamask的官方版本。 　　

　　

　　2. 暴露您的助记词 　　

　　

　　这是大多数人被黑的最常见的方式。创建Metamask钱包时，钱包会向您显示一个由12个单词组成的助记符，允许您在紧急情况下恢复和导入钱包。助记符的作用其实就是保护这个钱包的私钥，并以人类可读的形式呈现出来。你不应该向任何人展示你的记忆术，就像保护你的私人钥匙一样。这意味着： 　　

　　

　　(1)当你的钱包向你显示助记符时，请只将它们写在一张纸上，然后安全地存放在你居住的地方或安全的地方。你可以把它存在保险箱里，银行的保险箱里，或者一个只有你知道它在哪里的地方。如果你的住处有其他人居住，请不要相信任何人。请不要让那个人靠近你的硬拷贝记忆法。 　　

　　

　　同样，不要把你的助记符数字化储存，比如储存在你的电脑或手机上。黑客只需要访问你的文件系统或者云备份，你的助记符就会被泄露。 　　

　　

　　(2)不要用拍照手机拍助记符的照片。黑客可以通过一些手段访问手机的照片集合(例如，通过入侵手机或在线备份等。)，随便搜索一下有助记符的照片就行了。找到助记符后，你的资产被侵犯，游戏结束。 　　

　　

　　(3)不以数字形式存储助记符的唯一例外是值得信赖且高度安全的密码管理器或机密管理器服务，例如Dashlane或1Password。但还是有很多懂行的人避免这种做法，可见，适当的物理保存是应对黑客攻击最简单有效的方法。 　　

　　

　　然而，在创建钱包时保护助记符是不够的。你必须时刻警惕那些试图以其他方式窃取你的助记符的黑客和网络钓鱼骗子。不要用钱包去接触不熟悉的网络。网络钓鱼可以通过多种传播渠道发生，所以请不要点击陌生人发给你的任何文件，或者任何链接。 　　

　　

　　3. 恶意软件和键盘记录程序 　　

　　

　　确保您的计算机免受病毒、恶意软件和键盘记录程序的侵害也很重要。电脑是工作、教育、写文件和给家人发电子邮件的绝佳工具。它也是一个玩游戏和共享文件的优秀平台。一些别有用心的网站可能会试图用病毒或恶意软件感染您的计算机。使用反病毒软件和反恶意软件来保持你的电脑始终干净是很重要的。一些严肃的加密投资者甚至会独立使用一台完全专用于加密投资的计算机，而另一台计算机则用于所有其他风险以及日常使用。 　　

　　

　　受感染的计算机可以通过多种方式导致您的钱包被黑： 　　

　　

　　(1)骗子可以在你的电脑上安装键盘记录软件，记录你的击键，包括你的密码。如果您可以访问您的密码，您的钱包现在就可以被欺诈者利用了。(2)即使欺诈者不使用钥匙 　　

盘记录器来获取您的密码，也有可能访问存储您的助记词和私钥的加密文件。如果诈骗者将此文件下载到其自己的计算机上，那么如果您没有选择非常安全的密码，则可以使用暴力破解密码猜测软件来获取密码。

　　

　　

为了防止密码被暴力破解，您必须使您的密码无法猜测。例如使用混合了大写和小写字母，数字和符号的长密码。始终确保您的密码长度为12个字符或更多，越多越好。密码中的每一个附加字符都会使猜测成倍地变困难。即使同时使用大小写以及数字和符号组合，7或8个字符长度的密码也很容易被暴力破解，但如果想要暴力破解15个字符长的密码则需要很长时间，请您始终使用尽可能长的密码。

　　

　　

4. 诈骗交易

　　

另一些诈骗网站使用的另一个技巧是首先让您连接到他们的网站，然后要求您签署一项或多项交易，以允许他们花费您的硬币。听起来很低级，但是在DeFi的世界中，所有正规的分布式交换平台（DEX）也会要求您这样做，这正是DEX的特点之一。这样一来，便极大的增加了用户的分辨难度。在默认情况下，各类DEX都要求您授权该网站从钱包中交互无限量的硬币或代币。一些诈骗网站正是使用DEX的这一特性来让用户放松警惕，以此侵害您的钱包，并将您的代币或硬币发送到诈骗者自己的钱包。更有甚者，会诱骗您允许交互您钱包中的所有种类硬币，而不仅仅是单一类别。

　　

　　

为避免这种情况，您必须首先确保与合法站点进行交互。如果该网站看起来有任何问题，请不要签署任何交易，直到您彻底研究它并确信该网站是合法的。您还可以始终编辑交易上限值，以允许网站仅花费可用硬币的一小部分进行一定程度的防范。

　　

　　

5. 灰尘攻击（Dust Attack）

　　

此外，还有一种方式被称为"灰尘攻击"，诈骗者向您发送一些垃圾代币空投。这些代币与恶意智能合约代码相关联，当您尝试出售这些垃圾币以获取利润时，这些代码将会榨干您的钱包。我怀疑这也许就是Metamask不会自动在您的帐户中显示令牌的原因之一，除非您明确添加它们。只有当您在相应的区块链浏览器（etherscan，snowtrace等）中输入钱包地址时，您才会看到它们。如果您在钱包中发现未知或不熟悉的代币，除非您确定这些令牌来自合法项目，否则最好忽略它们，不要去贪图小便宜。

　　

　　

使用硬件钱包避免这些问题

　　

任何认真的加密投资者都会告诉你，通过将硬件钱包连接到您的帐户，几乎可以完全消除上述问题。但值得注意的是，将新的硬件钱包连接到现有的Metamask钱包地址几乎没有额外的保护，请记得始终将硬件钱包地址导入Metamask并使用该地址。

　　

　　

保持警惕

　　

可悲的是，诈骗者永远会继续设计新的方法来入侵您。黑客和安全专家（以及用户）之间有一场永无止境的升级战争，因此您必须继续保持谨慎，并确保自己永远不会做任何愚蠢的事情。如果你真的被黑客入侵了，重要的是弄清楚你做错了什么。我看到太多人在网上想要责怪Metamask，但这些人不知道他们做错了什么，最终再次被黑客入侵。我们越是共同努力弄清楚这些损失是如何发生的，就越容易帮助彼此和我们自己，从一开始就避免被黑客入侵。

　　

　　

原文链接：https://medium.com/@marcilgen_70414/how-your-metamask-got-hacked-probably-795abca4534a

　　

翻译：云飞扬

　　

审编：XL

　　

加入欧科链讯社区，掌握区块链世界最新动态！

　　

电报频道：https://t.me/ok_telegraph

　　

电报社区：https://t.me/ok_telegraph_forum

　　

Twitter：欧科链讯

　　

电报搜索“欧科链讯”关注我们不迷路哦~