暗黑3冒险模式讲解，暗黑3冒险模式详解

免责声明：本文旨在传播更多市场信息，不构成投资建议。 文章只是代表者的观点，不代表MarsBit的官方立场。

编辑：关注哦

资料来源： SevemUpDAO

原文Web3黑暗森林自助指南，5000字贯穿钱包与安全

今天，TP钱包上transit闪存服务闹得沸沸扬扬，黑客窃取了数以亿计的资金。 在炫耀web3的同时，如何保障资金和隐私安全？ 看了本篇之后就不会再被偷了吧。

一、你的一切操作都有泄露隐私的风险网络世界的安全问题实际上一直困扰着每个人的脑海。

安全知识庞杂，但首先要掌握一个原则。 在计算机世界里，几乎没有安全的地方，你的所有操作都有泄露隐私的风险。

到目前为止，也有很多人在做这个领域的科普，要么太简单，要么太复杂。 在这篇文章中，我打算用最简单易懂的语言，让尽可能多的人读。

具体来说，需要关注安全问题，包括情绪控制、web3钱包使用、设备使用和隐私保护。

二、情绪是你最大的敌人，在此我继续讲述自己的stepn鞋差点被偷的经历，希望对大家有警示作用。 前几天，我想弄双stepn鞋给家人用，但是鞋怎么也动不好，所以没能拿到gst。 我每天通过邮件和Discord与官方支持交流，但问题没有解决。 这时，我一直挣不到gst，有点不安，无意中发现Stepn的“客服”通过私信和我交流。 客户支持表示此问题是由服务器维护引起的。 正好那个时期确实不稳定。 提供账户的邮箱地址和验证码确认身份就可以解决问题了。

这里很重要的一点是，国内很多服务都需要提供验证码进行本人认证，而且邮件上只写着“complete verication”，没有提示验证码的具体作用，这让自己特别不安。 收到验证码后，我没想到复制了多少验证码。 幸运的是，在我按“回车”的瞬间突然醒来。 “We will never DM you”这句话突然在脑海里响起，我马上停止了所有的操作。 然后来到stepn的服务器验证，发现所谓的“客服”果然是骗子。

这是骗子聚集的地方，项目方一般会有明显的提示

回过神来，几千把刀的鞋子差点被“客服”骗了。 真是极其危险。 在那之后，我看了很多关于安全的资料。 发现焦虑和傲慢这两种情绪是区块链世界上最大的敌人。

1、不安

大多数人像我一样，来到区块链世界是为了赚钱。 但是，只要和钱有关，fomo，着急的心情是不可避免的。 例如，前几天GAL最初登场的时候，有人以200美元入场。 另外，在NFT玩家中，也有在开放前被假网站mint……骗了的人……

总之，焦虑对所有投资者来说都是一个大禁忌。 和钱打交道的时候，要想办法保持冷静。

2、傲慢

不安的另一面是傲慢。 很多人以为自己是行业大佬，但在区块链技术下懂汇编语言，懂得各种骗术，怎么可能被骗？ 但是，这样的傲慢才是防范。 日前，Defiance Capital创始人Arthur Cheong的钱包发生了被盗事件。 据报道，Arthur Cheong只是击中了最常见的攻击方式之一，打开了邮件中含有病毒的文件。

所谓“骄兵必败”，就是很多人在事业处于上升阶段的时候，总觉得自己是对的，而忽略了其他许多问题，直到灾难降临都是零。

三、在如何安全使用web3钱包之前，从人性的角度阐述了可能的攻击手段。 现在我们从大家最关心的钱包安全出发，谈谈大家最关心的问题。

1、冷钱包、热钱包、交易所

我们的代币有三个地方。 其中像Ledger这样的冷钱包是最安全的。 对大多数人来说，只要进行密码保护和双重验证，交易所实际上比热钱包更安全。因为我们的热钱包总是在链条上，一旦出现错误的许可证，资产就很容易转移。

2、USDT潜在风险

很多人认为USDT是安全的，但其实USDT是由Tether公司管理的。 一旦被认为是黑钱，Tether就可以很容易地冻结这笔钱。 所以遇到来路不明的USDT最好小心点。 同样，需要注意的是USDC，它会被冻结。

3、钱包的各种交互操作。

首先，要说一个大家最容易犯错误的地方，就是签名。 一般来说，签名与许可证无关，被认为没有操作风险，但如果遇到非明文签名，会有安全隐患。 幸运的是，现在元标记被提示为红色。

除了签名之外，最常用的功能之一是许可证( approve )。 这将决定对方可以自由使用的货币限额。 一般来说，像常用的Uniswap这样的DEX是安全的，但是如果遇到新项目，要求允许无限转账限额，一定要小心。 黑客们最喜欢使用的是在焦虑(新项目mint时)、兴奋(突然收到大额空投时)、沮丧(反复被骗) )等情绪下，欺骗你成为虚假网站，让你无意中拉拉

在这里，提供查询和许可证的网站，仔细检查是否有未知来源的许可证是很重要的。

3359 bscs can.com/tokenapprovalchecker

33559 heco info.com/tokenapprovalchecker

3359 polygons can.com/tokenapprovalchecker

3359 snowtrace.io/tokenapprovalchecker

3359 cronos can.com/tokenapprovalchecker

https://revoke.cash/扩展钱包Rabby https://rabby.io/

最近还有伪装成NFT的erc1155协议。 黑客制作一个和你钱包里的同名的NFT，空投给你。 在指定站点批准收据后，黑客可以转移相应的NFT。 非常危险。 所以请不要随便使用不明出处的空投。

Mint主要用于铸造NFT，一般无风险。 但是，为了确认自己的mint网站不是黑客伪造的，这样的事件时有发生。 在伪装网站上，经常将mint更改为许可协议。 在fomo的感情中mint的话，很可能会在没有注意到合同的情况下错误地获得许可证。 有些骗子很坦率，直接向你send eth要求他……

4、其他钱包

很多人都熟悉ETH钱包的相关操作，觉得很容易控制其他钱包。 其实，其他连锁的钱包更不安全。 因为对新链条肯定没有ETH那么了解。 链条和钱包的设计在逻辑上也存在bug，所以在交流的时候要更加小心，不要随便使用陌生的网站进行陌生的交流。

徐雾的创始人余弦曾提到过SOL的案例。 攻击者向用户统一空投NFT (上图1 )，用户空投NFT描述内容中的链接进入目标网站，连接钱包(上图2 )，点击页面上的“Mint”，就会出现批准的消息框请注意，此时的批准提示框中没有特别提示，批准后，该钱包中的所有SOL都会被传输。 这里面有两个洞。 a )恶意合同在用户批准( Approve )后，可以转用用户的本机资产( SOL )。 这在以太坊上是不可能的。 以太坊的许可证钓鱼不能钓以太坊的原生资产( ETH )，但可以钓其上的Token。 那里有“违背常识”的现象，用户容易疏忽大意。

b ) Solana最有名的钱包Phantom的“看了就签名”安全机制有缺陷，没有向用户发出完全的风险警告(其他钱包未经过测试)。 这非常容易引起安全死角，导致用户丢失硬币。

5、NFT

NFT很热，相关的诈骗也很多。 例如： a )从传统的app发出通知，引导你进入某个NFT项目——的好项目不需要通过web2的方式引流。 b )社区不断讨论如何维持地板价格——崩溃前奏。 C )在Discord上频繁踢人、说禁语，是项目方不自信的表现。

d )没有审计(这在其他非NFT项目中也是一样) ——经审计不一定安全。 例如，虽然被CertiK审计过，但是对REKT list上的项目不进行审计肯定很危险。 特别是添加了disclaimer的东西，例如SpaceLoot

e )频繁出现漏洞——如gas过高，mint方式不合理

f )很多假冒NFT——的初学者都会被骗去购买假冒的NFT。 因为假冒可能是假冒已经存在的NFT产品，也可能是由知名艺术家制作的，或者是假冒拥有知名艺术家许可证公开的产品，所以在购买NFT之前，最好从多个来源确认产品的合规性。

6、网站前端安全

网站不安全。 一般情况下，发生在以下情况。 a ) HTTP一定不安全——必须确保您使用的网站带有HTTPS。 HTTP站点的传输未经加密，所有信息都可能被黑客看到。 b ) ——被别人的信息带入网络钓鱼网站，不仅会警惕陌生人，有时还会因为熟人早就被误解，发送错误的链接。 此外，群聊中的朋友，也曾囫囵吞枣，不小心传播了网络钓鱼网站。

c )官方网站被黑客入侵——这很难防止。 你唯一能做的就是时刻保持警惕，注意公告，再三确认自己进入的网站是否安全。

7、剪贴板安全

剪贴板的风险主要是被其他APP读取你的个人信息，构成完整的个人文件，获取密码或钱包密钥/助记符。 我验证了剪贴板，获得了信息。 a )大多数移动APP (包括苹果)都会读取你的剪贴板，所以真的无法将钥匙复制到手机上。 b ) Google近年来对chrome插件施加了很多限制。 除非被破解或用户主动安装来源不明的插件，否则插件无法读取剪贴板。 这个基本上可以放心。

c )电脑的各种软件也有可能读取剪贴板，所以复制信息时请小心。

8、钱包使用的几点安全建议

a )不复制，也不通过网络传输私钥、助记符。 在不得已的情况下，苹果用户使用空投，其他用户使用电信(相对安全) b )大额资产使用独立钱包) c )在新项目启动前，如果感觉到危险，就重新做钱包参与) d ) 骗子经常在nft上留言钓鱼网站，引诱你去危险的地方

e )警惕每次钱包操作

四.设备安全

走web3.0，维护设备和保证钱包安全一样重要。

1、手机和电脑操作系统应该保持更新，开启自动更新，尤其是不要使用windows7等停止维护的系统。

通过利用windows安全中心，可以保持良好的使用习惯。 2、请勿使用root的安卓手机。 小品牌的安卓手机风险也很高，必须使用官方市场的APP。 用谷歌play比较好。 苹果手机(不是越狱)相对安全。 3、请不要在电脑上安装来路不明的软件。 特别是国产软件几乎没有下限。 4、虚拟机是好东西。 请使用虚拟机打开未知来源的文件。 目前，windows10附带了虚拟机。 具体使用方法可以参照微软的官方文档，但请注意。 一些黑客(或木马)可以发现自己身处“矩阵”中，正在积极寻求摆脱虚拟机的方法。 5、浏览器和钱包必须保持更新。 6、Wifi是最容易被监听的渠道。 永远不要使用外面的wifi，也要经常检查自己家的路由器，避免被监听。 如果不知道检查方法，建议保存相关信息，然后每隔一定时间重置一次。 7、你的SIM卡也不一定安全。 黑客可以伪造相同的SIM卡得到你的信息(例如认证码)。 所以，最好不要在网上炫耀，也不要暴露真实身份。 会引起很多麻烦。 8、如果不得已需要通过网络传输密钥，身边的设备可以使用空投功能，网络传输可以建议Telegram，避免被盗。

9、出于不能名状的原因，本人不建议任何人使用其大力推广的反诈骗XXX。

五、社会工程攻击黑客不仅寻找软硬件存在的漏洞，还寻找用户故意泄露的信息，制造社会工程攻击。

1、密码

你可能知道，我们大部分的web2网站都被入侵过。 此外，有些网站的密码未加密，网络管理员可以自由读取。 所以，绝对不要在与资产相关的地方使用你使用过的密码。 建议您设置多个密码，以便在不同的网络和环境中使用。 特别是涉及大额资金的密码，使用包含大写、小写、数字、符号的10位以上的密码，不要包含生日等容易被推测的信息。 一些不熟悉的软件或站点也可以单独使用密码，以避免与其他安全软件或站点混淆。

这里我有一个小建议。 如果你担心记不住密码，可以用一串数字为生日“加密”。 例如，如果你的生日是19901202，你可以错开家人的生日，比如19500821，比如19901202 05008210，然后加上字母和符号。 黑客无法推测自己“加密”的密码。

2、短信钓鱼

邮件和其他聊天程序发来的不明文件诈骗虽然很土，但依然有效。 如果遇到必须打开的情况，可以如上所述在虚拟机中打开。

3、不要轻信任何客服

这我已经说过好几次了，不再重复了。

4 .个人信息

Web3.0的个人信息除了生日、电话、家庭地址等之外，还需要包含钱包地址。 主要资产钱包必须绝对与社交钱包隔离。 也就是说，不能有相互汇款的记录等。 特别是如果你不想被党举报，就不要泄露地址。 你看，我的地址YouAirdrop.ETH上什么都没有：)

除了在线隐私，你最好不要在生活中透露自己在做邮购区块链。 除了可以避免很多误会外，也可以尽量避免让熟悉你的人通过你的个人信息被撞到。

关于社会工程的知识可以提出另一个主题。 你要知道我们的邪恶不会随便泄露隐私就好了。 想知道更多信息的话，知道这个问答； 请去a下面看看：

#结语本文总结了在Web3.0上冲浪时应对各种黑客的方法，道高一尺魔高一丈，黑客们已经把各种攻击更好地组合起来，更加隐蔽。 不断提高警惕，才能抵御黑客的攻击。 大致说来，可以把握以下原则。 1、保持健康2、来往钱包一定要看清楚内容3、钥匙、助记不能复制。 离线保存4、确保各项设备安全并保持不间断更新5、不主动寻找您的“客服”，不随意打开未知文件，充分利用虚拟机6，避免在线和离线泄露隐私和资产

请谅解，互联网安全是一个非常庞杂的问题，正文中有疏漏。

欢迎使用我的个人推特@YourAirdropETH

• 上一篇：手机上能玩的psp手游，psp十大最耐玩的手游
• 下一篇：ps会员升级版能玩ps3游戏吗，ps3的游戏psv有吗