你的钱包是如何被黑客入侵的

​​https://medium.com/@marcilgen_70414/how-your-metamask-got-hacked-probably-795abca4534a

翻译：云飞扬

审编：XL

在加密世界中，DeFi的发展越来越迅速，在日新月异的环境中，找到新的收益产生计划并避开垃圾项目和庞氏骗局是一个不小的挑战。DeFi有一个明显的特点，那就是必须使用像Metamask这样的非托管钱包来与DeFi交易所进行交互。当然，Metamask目前运行良好，但遗憾的是，用户在它的安全性方面尚有疑问，毕竟加密世界中挤满了黑客与诈骗者。如果自己没有认真保管钱包，就算你在黑客攻击中损失了超过10万美元，也无从追溯。更可悲的是，即使这么大的金额也不足以让任何在线取证公司或执法机构有兴趣试图收回资金。因此，使用像Metamask这样的非托管钱包，你必须真正依靠自己保护自己的资金。

如果你在网上搜索相关的被盗事件，你会感觉到几乎每个使用Metamask的人都会被黑客入侵，因为相关的帖文数不胜数。不过好消息是，这通常不是真的，其实只有一小部分Metamask用户被真正的黑客入侵了。此外，各种网络帖文中大多数被黑客入侵的用户都是对DeFi交易相当陌生的用户，他们缺乏基础知识，并且尚未了解保护Metamask钱包必须采取的所有重要步骤。不过对于另外一部分的用户来说，黑客攻击有时仍然会发生，但这些攻击要罕见得多，并且通常涉及到一些用户错误。从这个意义上说，使用Metamask等钱包就像从事跳伞等冒险运动一样——您必须确保100%的正确完成所有操作。否则，一个粗心的错误可能就会清除您的帐户，使您的资产蒙受损失。

为了避免被黑客入侵（或者如果您已经被黑客入侵，以防止再次被黑客入侵），必须了解为了保护帐户而必须采取的所有步骤：该做什么，不该做什么，以及如何防止诈骗者对您的帐户产生了歪心思。因此，让我们来看看Metamask用户被黑客入侵的最常见方式，以及如何避免它们。

1. 假钱包骗局

​

这实际上有些罕见，但它确实发生了，我们要极力避免下载到假的钱包应用。Metamask的官方网站是您应该下载并安装钱包的唯一站点。一些黑客会创建虚假的Metamask网站，并使用Google Ads在Google搜索结果的顶部显示这些网站以此来欺骗用户下载并用来偷走你的私钥。此类假网站有一个被黑客入侵的Metamask应用版本，允许用户创建一个钱包并像真实的钱包一样添加资金，但随后假钱包就会将用户的资金发送到黑客的钱包。所以需要仔细观察确保自己每次使用的都是Metamask的官方版本。

2. 暴露您的助记词

​

这是大多数人们被黑客入侵的最常见方式。当您创建Metamask钱包时，钱包会向您显示一个由12个单词组成的的助记词，这可以让您在紧急情况下恢复并导入钱包。助记词的作用实际上是保护这个钱包的私钥，以人类的可读形式展现。您不应该向任何人展示您的助记词，就像保护您的私钥一样。这意味着：

​

（1）当钱包向您展示助记词时，请仅将其写在一张纸上，然后将其安全地存储在您居住的地方或安全的地方。您可以将其存放在保险箱中，或银行的保险箱中，或只有您知道它在哪里的地方。如果您有其他人住在您的住所中，您请不要信任任何人，请不要让那个人靠近您的硬拷贝助记词。

也不要以数字方式存储您的助记词，例如您的计算机或手机上。黑客只需访问您的文件系统或云备份，您的助记词就会被泄漏。

（2）不要用照相手机拍摄助记词的照片。黑客可以通过某些手段访问手机的照片集（例如通过入侵手机或入侵在线备份等），只需搜索任何带有助记词的照片。找到助记词后，您的资产受到侵害，游戏结束。

（3）不以数字形式存储助记词的唯一例外是值得信赖的高度安全的密码管理器或机密管理器服务，例如如Dashlane或1Password。但依然有许多知识渊博的人也回避这种做法，由此可见，妥善的物理保存方式在应对黑客攻击时，是最为简单有效的。

但是，在创建钱包时仅保护助记词是不够的。您必须时刻警惕试图以其他方式窃取您助记词的黑客和网络钓鱼诈骗者。不要随意用您的钱包联络到您不熟悉的网络。钓鱼诈骗可以通过多种通信渠道发生，所以请不要点击陌生人给您发送的任何文件，或者任何链接。

3. 恶意软件和键盘记录程序

​

确保您的电脑免受病毒，恶意软件和键盘记录程序的侵害也非常重要。电脑是工作，教育，文档编写，向家人发送电子邮件的绝佳工具，同时它也是玩游戏，共享文件的绝佳平台。一些别有用心的网站可能会尝试用病毒或恶意软件感染您的计算机。使用防病毒软件和反恶意软件来始终保持计算机清洁至关重要。一些严肃的加密投资者甚至会独立用一台完全专用于加密投资的计算机，而另一台计算机用于所有其他风险以及日常用途。

受感染的计算机有几种方式可能导致您的钱包被黑客入侵：

​

（1）诈骗者可以在您的计算机上安装键盘记录软件，并可以记录您的按键，包括您的密码。如果可以访问您的密码，则您的钱包现在可供诈骗者使用。
（2）即使诈骗者不使用键盘记录器来获取您的密码，也有可能访问存储您的助记词和私钥的加密文件。如果诈骗者将此文件下载到其自己的计算机上，那么如果您没有选择非常安全的密码，则可以使用暴力破解密码猜测软件来获取密码。