如果你初來乍到 Web3 的世界,你要學習的第一件事是:保持懷疑,保持敬畏,保持對求知慾;路途自由美好,但路邊也險象環生。
目前來看,Web 3 還只是一個方向,一場需要不斷試錯的試驗,一個很長時間才能完成的構想;加密世界尚在摸索階段,自由和去中心化代表著所有權在你手中,你的所有操作選擇決定了你的資產歸屬。資產安全,一直都是 Web3 世界最難以去杜絕的問題;也有人戲稱:Web2 - Web3 轉型最成功的就是駭客。
自由的另一面是安全問題,有光亮的地方就會有黑暗和影子,但如果路上有燈照亮黑暗,那路途會更平坦。希望下面幾點,可以幫到各位,讓各位最大程度上避免安全問題的侵犯。
1、避免將你的錢包資訊儲存在網際網路
錢包中的助記詞和私鑰就像是開啟你錢包的鑰匙,一旦洩漏整個錢包都會完全被別人掌控(基本上虛假連結等也都是為了獲取你的私鑰);而聯網狀態下,一直都很難做到 100% 安全和資訊不洩漏。
因此,儘可能不要把你的私鑰、助記詞或其他敏感資訊儲存在聯網的移動裝置中,儘可能用手抄寫、備份在不聯網的手機(不常用的裝置)等方式來隔開可能存在的風險。甚至有可能的話,不要把你的電腦和移動裝置連入公用 Wifi。
2、資產分散放置
強如 FTX 都會出現如此事件,相信大家都會明白資產分散配置的重要性。在此之前,大家都覺得放在交易所最為安全;這也是 FTX 事件後冷錢包銷量激增的原因。
從錢包來說,熱錢包和冷錢包各有優勢。Metamask 作為人氣最高的熱錢包安全性飽受詬病,但是勝在方便,操作性強;冷錢包對於大額資產是一個不錯的選擇,但是便利性不高,適合長期持有的資產。
沒有絕對的安全,但可以儘量規避掉風險。如果資金量比較大,那麼根據自己的需求按照比例分散放置是非常重要的。
3、謹慎分辨所有連結
經常會有各種各樣的“福利連結”“空投連結”,以及每個熱門專案也都會有很多和官方連結相似的釣魚連結,如果沒有細心分辨,點進去後很容易就把錢包授權或是洩漏一些資訊。
況且,Web3 的很多駭客都會用一些很樸素的手段——直接黑掉官方或是 Mod 的社交媒體賬號,然後登上去發一些釣魚連結(此舉和跨鏈橋、預言機並稱駭客三大提款機);如果沒有其他官方人員及時發現,就會導致很多使用者資產或者資訊被竊取。如果你能夠做到不亂點選連結,那麼你已經規避掉 80% 的風險了。
除此之外,你需要再三確認你想要購買的 NFT 是否為官方釋出的 NFT,不然很容易不慎買成假冒的。
4、錢包簽名時要謹慎
Metamask 在 7 月份的時候做了一個很實用的更新,即會為 NFT 合約授權函式,作出 UI 更新,更清晰的讓大家知道簽名的操作意圖,降低被騙的風險——在此之前,使用者無法較為直觀的去判斷簽名和授權的內容。錢包儘可能只對判斷過、覺得安全的專案簽名互動;一旦發現互動過的專案有被盜行為,需儘快去 revoke。cash 等取消授權。
總之,在這項更新後,因為簽名問題的盜竊事件少了很多,但我們在每次簽名時依然要格外注意。
5、使用(授權)值得信賴的應用、外掛
這部分的問題多數出在“剪下板”。私鑰和地址這種無規則的字母數字組合恐怕沒有人會選擇一個一個打出來而有些應用或外掛則會讀取並記錄使用者複製的內容,這樣就很容易導致私鑰洩露。
因此我們在使用一些相關的應用前,一定要了解清楚其背書,以及是否為“官方應用”,開啟的是不是“官方網站”——就如同,你真的能記得 Azuki 的官網是 http://Azuki。com 還是 http://Azuki。io 嗎?
6、關閉 DM(私信)
私信你一些所謂的“Airdrop”、抽獎連結,或是冒充官方人員給你發一些福利(他們會改成和官方人員一模一樣的 ID 和頭像,給你傳送虛假連結,或誘導你 withdraw),這種騙術多發生在 Discord 或 Telegram——基本上不會有官方人員去私信你,世界上也沒有白掉的餡餅(專案方 Discord名言:We will never DM you)。
這種手段成本極低,所以很頻繁;我們杜絕這種有隱患最簡單的方式就是直接關閉 DM,這也能過濾很多垃圾資訊。
7、如果不慎發生資產洩露,第一時間捨棄錢包
錢包一旦有任何一點資產洩露,就應該第一時間捨棄,不應該有任何的僥倖心理。錢包資產洩露的背後原因基本都是某一個時刻洩漏了私鑰或助記詞,甚至有可能是幾個月前,但幾個月後才被駭客想起來提走資產。
所以一旦發現風吹草動,不要有任何僥倖心理,最快速度準備一個新的錢包,將資產全部轉移走才是當務之急。
8、謹防一些“課程”
Web3 是有門檻的,且難就難在目前還沒有一個系統的學習路徑。網上是有很多課程,但是課程的質量、主講的水平魚龍混雜,很可能就摻假的知識混合著真的學進去了。如果在真實有效的資訊中間,夾雜一些虛假的連結或帶單行為,很容易使得大批小白使用者受騙。
如何去分辨資訊的真實性、有效性,如何去加強自己的資訊檢索能力,是所有使用者來 Web3 都要學習的一課。
9、多去涉及擅長的領域
整個 Web3 所涉及的細分領域非常多,DID、Gamefi、PFP、DAO 等等,我們很難去將每個領域研究透徹。Web3 熱點轉移的速度非常快,但是對於不熟悉的領域,我們在追逐熱點的時候要做好資金配比,切記不要 All In;同理,對於熟悉的領域我們可以進行更多的資金分配。
只有對一個領域足夠熟悉,以及經過多次小規模的實踐和試錯後,才更有可能看出出一個專案質量的優劣,作出更好的判斷。
10、閱讀一遍《從0到1:精通NFT》
《從0到1:精通NFT》可以放在開頭,幫助大家對 Web3 圈子有一個初步的概念,提起大家對 NFT 的興致;也可以放在各位已經踏入 NFT 圈子時,幫助他們進階一步,完善對整個 NFT 行業,乃至 Web3 生態的認識。
就像我所說,整個圈子還沒有一個完整的學習路徑;但這個 18w 字的小冊子(還在更新中),一定能夠幫助各位產生自己的理解。行業中諸多熱心人士都在以自己的辦法,幫助圈外人開啟 Web3 世界的大門,幫助圈內的人爬上高處——如果有一天爬高過程中勞累了, Labs 的社群也可以作為一處綠蔭,供諸位 Web3 的朋友憩息。
希望這篇文章以及《從0到1:精通NFT》(https://www。yuque。com/nftlabs/ibrmrq),可以幫助大家避開一些坑窪,更安全的在整個 Web3 世界探索。
