🎬 YouTube Premium 家庭 Plan成員一位 只需
HK$148/年!
不用提供密碼、不用VPN、無需轉區
直接升級你的香港帳號 ➜ 即享 YouTube + YouTube Music 無廣告播放
2025年加密貨幣安全:避免駭客和詐騙的七個簡單方法
發現七個簡單且有效的習慣——強大的雙重身份驗證、安全的簽名、熱錢包與冷錢包的分離及恢復計劃——以阻止網絡釣魚、危險的授權和假冒支持等問題。
關鍵要點:
– 2025年上半年被盜的資金超過24億美元,已經超過2024年的總額。
– 日常陷阱如網絡釣魚、危險授權和假冒“支持”造成的損失遠超過高端的攻擊手法。
– 強大的雙重身份驗證、仔細的簽名、熱冷錢包的分離以及乾淨的設備能顯著降低風險。
– 擁有一個恢復計劃——包括撤銷工具、支持聯絡人和報告平台——可以將錯誤轉化為挫折,而不是災難。
加密貨幣的駭客事件仍在上升。僅在2025年上半年,安全公司就記錄了超過300起事件,盜竊金額超過24億美元,已經超過2024年的總盜竊金額。
一個主要的事件是Bybit的盜竊事件,被指責與北韓團體有關,這使得數字上升,但不應該成為唯一的焦點。
大多數日常損失仍然來自簡單的陷阱:網絡釣魚鏈接、惡意錢包授權、SIM卡交換和假冒的“支持”帳戶。
好消息是:你不需要成為網絡安全專家就能提高安全性。一些核心習慣(可以在幾分鐘內設置)能顯著降低風險。以下是2025年最重要的七個習慣。
1. 拒絕短信:在各處使用抗釣魚的雙重身份驗證
如果你仍然依賴短信代碼來保護帳戶,那麼你就暴露在風險之中。SIM卡交換攻擊仍然是罪犯盜取錢包的常見手段,檢察官持續查獲與此有關的數百萬資金。
更安全的做法是使用抗釣魚的雙重身份驗證(例如硬體安全密鑰或平台密碼)。首先鎖定最重要的登錄:電子郵件、交易所和密碼管理器。
美國的網絡安全機構如網絡安全和基礎設施安全局強調這一點,因為它可以阻止網絡釣魚和“推送疲勞”詐騙,這些詐騙可以繞過較弱的多重身份驗證。
將其與長且獨特的密碼搭配使用(長度勝過複雜性),將備份代碼離線存儲,並在交易所上啟用提款白名單,以便資金只能轉移到你控制的地址。
2. 簽名衛生:阻止資金被盜和危險授權
大多數人不是因為尖端攻擊而失去資金,而是因為一個錯誤的簽名。錢包盜竊者會誘使你授予無限權限或批准欺騙性交易。一旦你簽名,他們就可以不經請求反覆盜取你的資金。
最佳防禦是放慢速度:仔細閱讀每一個簽名請求,特別是當你看到“setApprovalForAll”、“Permit/Permit2”或無限的“批准”時。
如果你在嘗試新的去中心化應用程序,請使用燃燒錢包進行鑄造或風險互動,並將主要資產保存在單獨的保險庫中。定期使用像Revoke.cash這樣的工具撤銷未使用的授權——這很簡單,值得小額的燃料費用。
研究人員已經追蹤到由盜竊者驅動的盜竊事件急劇上升,特別是在移動設備上。良好的簽名習慣可以在問題發生之前打斷這一鏈條。
3. 熱錢包與冷錢包:將消費與儲蓄分開
將錢包視為銀行賬戶。熱錢包是你的支票賬戶——適合消費和與應用互動;而硬體或多重簽名錢包則是你的保險庫——專為長期安全存儲而設計。
將私鑰保持離線幾乎消除了所有對惡意軟件和惡意網站的暴露。對於長期儲蓄,將你的種子短語寫在紙上或鋼上:絕不要將其存儲在手機、電腦或雲服務上。
在轉移大量資金之前,先用小額恢復測試你的恢復設置。如果你有信心管理額外的安全性,考慮添加BIP-39密碼,但請記住,丟失它意味著永久失去訪問權限。
對於較大餘額或共享資金,多重簽名錢包可以要求來自兩個或三個不同設備的簽名才能批准任何交易,這使得盜竊或未經授權的訪問變得更加困難。
4. 設備和瀏覽器衛生
你的設備設置和錢包一樣重要。更新可以修補攻擊者依賴的漏洞,因此啟用操作系統、瀏覽器和錢包應用的自動更新,並在需要時重新啟動。
保持瀏覽器擴展的數量最少——幾個高調的盜竊事件是由於劫持或惡意附加組件造成的。使用專門的瀏覽器或僅用於加密的配置文件有助於防止cookie、會話和登錄信息洩漏到日常瀏覽中。
硬體錢包用戶應默認禁用盲簽名:這會隱藏交易詳細信息,如果你被欺騙,會使你面臨不必要的風險。
盡可能在乾淨的桌面上處理敏感操作,而不是在裝滿應用的手機上。目標是保持最小、更新的設置,並盡量減少潛在的攻擊面。
5. 發送前驗證:地址、鏈、合約
失去加密貨幣的最簡單方法就是將其發送到錯誤的地方。在點擊“發送”之前,始終仔細檢查收件人地址和網絡。
對於首次轉賬,先進行小額測試付款(額外的費用值得這份安心)。在處理代幣或非同質化代幣時,通過檢查項目的官方網站、可靠的聚合網站如CoinGecko和Etherscan等瀏覽器來驗證你擁有正確的合約。
在與任何合約互動之前,尋找經過驗證的代碼或所有權徽章。永遠不要手動輸入錢包地址——始終複製並粘貼,並確認首尾字符以避免剪貼板替換。避免直接從交易歷史中複製地址,因為粉塵攻擊或偽造條目可能會誘使你重用受損的地址。
對於要求不尋常授權或跨鏈操作的“空投索賠”網站要特別謹慎。如果感覺不對,暫停並通過官方項目渠道驗證鏈接。如果你已經授予可疑授權,請立即撤銷它們再繼續。
6. 社交工程防禦:浪漫、任務、冒充
最大的加密詐騙往往不是依賴代碼,而是依賴人。浪漫和“豬屠宰”計劃建立假關係,並使用虛假的交易儀表板顯示虛構的利潤,然後迫使受害者存入更多或支付虛構的“釋放費”。
工作詐騙通常從WhatsApp或Telegram上的友好消息開始,提供微任務和小額報酬,然後轉變為存款計劃。冒充“支持人員”的人可能會試圖與你共享屏幕或誘使你透露你的種子短語。
真正的支持永遠不會要求你的私鑰,將你發送到類似的網站,或要求通過比特幣自動取款機或禮品卡進行付款。當你發現這些紅旗時,立即停止聯繫。
7. 恢復準備:讓錯誤可控
即使是最小心的人也會犯錯。災難與恢復之間的區別在於準備。
保持一張短的離線“緊急卡”,上面記錄你的密鑰恢復資源:經過驗證的交易所支持鏈接、可信的撤銷工具和官方報告平台,如聯邦貿易委員會和FBI的互聯網犯罪投訴中心(IC3)。
如果出現問題,請在報告中包含交易哈希、錢包地址、金額、時間戳和截圖。調查人員通常通過這些共享細節連接多個案件。
你可能不會立即恢復資金,但有一個計劃可以將完全損失轉化為可管理的錯誤。
如果最壞的情況發生:接下來該怎麼辦
如果你點擊了惡意鏈接或錯誤發送了資金,請迅速行動。將任何剩餘資產轉移到你完全控制的新錢包,然後使用像Etherscan的Token Approval Checker或Revoke.cash這樣的可信工具撤銷舊的授權。
更改你的密碼,切換到抗釣魚的雙重身份驗證,登出所有其他會話,並檢查你的電子郵件設置是否有你未創建的轉發或過濾規則。
然後升級:聯繫你的交易所標記目的地址,並向IC3或當地監管機構提交報告。包括交易哈希、錢包地址、時間戳和截圖;這些細節幫助調查人員連接案件,即使恢復需要時間。
更廣泛的教訓很簡單:七個習慣(強大的多重身份驗證、仔細的簽名、熱冷錢包的分離、保持設備的乾淨、發送前的驗證、警惕社交工程以及擁有恢復計劃)可以阻止大多數日常的加密威脅。
從小處開始:今天就升級你的雙重身份驗證並加強簽名衛生,然後逐步建立起來。現在的少許準備可以在2025年避免災難性的損失。
這篇文章不包含投資建議或推薦。每一項投資和交易行為都涉及風險,讀者在做決定時應進行自己的研究。
以上文章由特價GPT API KEY所翻譯及撰寫。而圖片則由FLUX根據內容自動生成。
