最近，Bybit 遭到黑客攻击，损失了价值 15 亿美元的数字资产，成为历史上最大的一起加密资产盗窃事件。这次攻击的原因是黑客识别出了每个多重签名者，并通过恶意软件感染了他们的设备，使得用户界面显示的交易与实际签名的内容不同，最终导致所有签名者在毫无怀疑的情况下批准了对其 ETH 冷钱包智能合约逻辑的更改。

在 Web3 和币圈的世界里，钱包是我们通往去中心化金融（DeFi）、NFT、链上游戏等各种可能性的入口。为了帮助大家更好地保护自己的资产，Drhash 整理了这份 Web3 钱包安全终极指南，请务必认真阅读并分享给身边的朋友！👇

🔐 1. 私钥和助记词：你的生命线

私钥和助记词是钱包的核心，任何人获取了它们，就等于完全控制了钱包。绝对不要将私钥或助记词截图发送给他人或者存储在云端（如微信收藏、Google Drive 等）。应当手写备份在纸上，并存放在安全的地方（如保险箱）。

切勿在不明网站或应用中输入助记词，即使是看起来合法的项目。

🛡️ 2. 使用硬件钱包

硬件钱包是目前最安全的存储方式，私钥永远不会离开设备。用户可以将大额资产存放在硬件钱包中，小额资产使用热钱包方便日常操作。

购买硬件钱包时，一定要通过官方渠道，避免买到被篡改的设备。

 🎣 3. 警惕钓鱼攻击

钓鱼网站是黑客最常用的手段之一，它们会伪装成合法的 DApp 或钱包页面。用户在使用某个网站时应当仔细检查网址，确保是官方域名，避免点击不明链接。

不要轻信社交媒体未建立信任关系用户发布的空投、奖励链接，这些很多都是钓鱼陷阱。

安装反钓鱼插件来识别恶意网站。

🔍 4. 定期检查钱包授权

使用 DApp 时，钱包会授权智能合约访问你的资产。这些授权可能会被恶意利用。需要定期使用工具检查并撤销不必要的授权。

只授权必要的权限，避免给 DApp 无限授权。

🔒 5. 启用双重验证（2FA）

对于中心化交易所或钱包服务，务必启用双重验证（2FA）。如使用 Google Authenticator 或 Authy 等工具，而不是短信验证（短信可能被拦截）。

记住备份 2FA 的恢复代码，以防丢失设备。

� 6. 小心社交工程攻击

黑客可能会伪装成客服、项目方或 KOL，通过私信、邮件或 Telegram 联系你，一定要多次确认对方信息，避免上当受骗。

牢记官方团队永远不会主动私信你，更不会索要钱包的私钥或助记词。

舞弊验证信息来源，通过官方渠道（如官网、Twitter）确认消息的真实性。

💻 7. 保护你的设备

安装杀毒软件，定期扫描设备，防止恶意软件窃取钱包信息。减少使用或避免使用公共 Wi-Fi 访问钱包或进行交易。

保持系统和浏览器更新，修复已知的安全漏洞。

🧩 8. 分散资产风险

不要将所有资产存放在一个钱包中，分散到多个钱包如硬件钱包、热钱包以降低风险。

对于长期持有的资产，可以考虑使用多签钱包以保护资产

🚨 9. 遇到被盗怎么办？

如果发现资产被盗，应当立即转移剩余资产到安全钱包。同时，弃用被盗钱包，不要抱有侥幸心理

对于被盗资金，使用工具（如 DeBank）追踪资金流向，可以向相关平台（如交易所、区块链浏览器）报告，尝试冻结资产。

🌐 10. 持续学习，保持警惕

Web3 世界日新月异，黑客的手段也在不断升级。应当保持学习，关注最新的安全动态。

加入可信的社区（如 Discord、Telegram），与其他人交流安全经验。

Web3 的世界充满机遇，但也充满风险。只有保护好自己的资产，才能在这个去中心化的未来中走得更远。

免责声明：本文章和网站中的任何内容都不构成专业和 / 或财务建议，网站上的任何信息也不构成对所讨论事项或相关法律的全面或完整陈述。

欢迎加入：

1. Dr.hash Telegram：https://t.me/DrHashClub

2. Dr.hash Twitter：https：//twitter.com/DrhashClub

3. Dr.hash 微博：https://weibo.com/u/2930535607