作者：INSIGHTFUL

编译：深潮TechFlow

本指南无法保证任何内容，并不是从加密或网路安全专家的角度编写的，而是基于多个来源和个人经验的持续学习成果。

例如，我自己在刚进入这个领域时就曾因害怕错过FOMO和贪婪而受骗假直播诈骗和假MEV 机器人诈骗，因此我花时间认真学习、设置和理解安全性。

不要成为那个因为失去一切或大量资产而被迫学习安全的人。

所有类型的钱包、代币或NFT 的骇客攻击或妥协大致可分为两类：

代币批准实际上是允许智能合约存取并移动您钱包中特定类型或数量的代币的权限。

例如：

作为背景讯息，基本上以太坊网路上的一切，除了ETH，都是ERC20 代币。

ERC20 代币的一个特性是能够授予其他智能合约批准权限。

如果您想进行核心DeFi 互动例如交换或桥接代币，这些批准在某个时候是必需的。

NFT 分别是ERC721 和ERC1155 代币；它们的核准机制与ERC20 类似，但适用于NFT 市场。

MetaMask (MM) 的初始代币批准提示提供了几条信息，其中最相关的是：

在完整详情下拉选单中，我们看到一个额外的资讯：批准功能。

所有ERC20 代币必须具有ERC20 标准所概述的某些特性和属性。

其中之一是智能合约可以根据批准的数量移动代币的能力。

这些批准的危险在于，如果您将代币权限授予恶意智慧合约，您的资产可能会被盗或耗尽。

许多DeFi 应用程式预设会提示您对ERC20 代币进行无限制批准。

这样做是为了改善用户体验，因为它更方便，不需要未来可能的额外批准，从而节省时间和gas 费用。

允许对无限数量的代币进行批准可能会让您的资金面临风险。

手动将代币批准设为特定数量，可以限制该dApp 在未签署新的更大额度批准之前，能够移动的代币最大数量。

这样可以降低您在智能合约被利用时的风险。如果您对某个dApp 授予了无限制的批准，而该dApp 出现漏洞，您可能会失去所有已批准的代币，这些代币来自持有这些资产并授予该批准的钱包。

例如，Multichain WETHWETH 是ETH 的ERC20 代币包装就曾经遭遇过这样的漏洞。

这个常用的桥接因滥用先前的无限代币权限而被攻击，导致用户资金被盗。

以下是一个范例使用Zerion 钱包，展示如何将预设的无限制批准更改为手动批准。

setApprovalForAll用于NFT

这是一个常用但潜在危险的批准，通常在您想出售NFT 时授予值得信赖的NFT 市场。

这使得市场的智慧合约能够转移您的NFT。因此，当您将NFT 出售给买家时，市场的智慧合约可以自动将NFT 移至买家那里。

此批准授予对特定集合或合约地址的所有NFT 代币的存取权限。

这也可能被恶意网站或合约用来窃取您的NFT。

经典的钱包帐户缩水在FOMO 免费铸造的情况下是这样的：

批准需要支付gas 费，因为它们涉及交易处理。

签名则无需gas ，通常用于登入dApp，以证明您对该钱包的控制权。

签名通常是低风险的操作，但仍可能被用来利用先前授予的对像OpenSea 这样的可信网站的批准。

对于ERC20 代币，您还可以透过无gas 的签名来修改您的批准，因为最近在以太坊上引入了允许功能。

如果您使用像1inch 这样的去中心化交易所DEX，可以看到这一点。

在给予任何批准时要谨慎，确保您知道自己在批准哪些代币以及对哪个智能合约可利用etherscan。

限制您的核准风险：

热钱包透过您的电脑或手机连接到互联网，密钥和钱包凭证在线上或本地储存在您的浏览器中。

冷钱包是硬体设备，密钥在完全离线的状态下生成和存储，并且物理上靠近您。

考虑到一个Ledger 的价格约为120，如果您有超过1000 的加密资产，您可能应该购买并设定一个Ledger。您可以将Ledger 钱包连接到您的MetaMask (MM)，以便在保持一定安全性的同时享有与其他热钱包相同的功能。

Ledger 和Trezor 是最受欢迎的选择。我喜欢Ledger，因为它与浏览器钱包类似于Rabby 和MM的兼容性最好。

始终从官方制造商网站购买，切勿在Ebay 或Amazon 上购买可能会被篡改或预先安装恶意软体。

确保您收到物品时包装是密封的。

第一次设定Ledger 时，它会产生一个助记词。

只能将助记词写在实体纸上，或在未来将其写在钢板上，以确保您的助记词短语防火防水。

绝对不要拍摄或在任何键盘包括手机上输入助记词这会将助记词数位化，您的冷钱包将变成不安全的热钱包。

加密资产并不是储存在硬体钱包上，而是在由助记词短语产生的钱包中。

助记词片语1224 个单字是所有的一切，必须不惜一切代价保护和安全。

它提供对所有在该助记词短语下产生的钱包的完全控制和存取权限。

助记词不是特定于设备的，您可以将其“导入”到另一个硬体钱包中作为备份如果需要。

如果助记词遗失或损坏，且原始硬体钱包也遗失、损坏或被锁定，您将永久失去对所有资产的存取权。

有多种助记词储存方法，例如，将其分成多个部分，增加部分之间的物理距离，存放在不明显的地方例如，冰箱底部的汤罐，您财产地下的某个地方等 。

至少您应该有23 份副本，其中一份应为钢制，以防水和火灾。

私钥类似于助记词短语，但仅针对一个特定钱包。它通常用于将热钱包汇入新的MetaMask (MM) 帐户或在自动化工具如交易机器人中使用。

除了原始的24 个单字助记词，Ledger 还提供一个可选的额外安全功能。

密码短语是一项高级功能，可将您选择的最多100 个字元的第25 个单字新增至您的复原短语。

使用密码短语会产生一组完全不同的地址，这些地址无法仅透过24 个单字的恢复短语存取。

除了增加安全层，密码短语在您受到威胁时还能提供合理的否认。

如果使用密码短语，请务必安全储存或准确记住它，逐个字元并区分大小写。

这是针对5 扳手攻击这种身体威胁情况的唯一和最终防御措施。

为什么要经历这么多麻烦来设定硬体钱包？

热钱包将私钥储存在连接到网路的位置。

透过网路被欺骗、误导和操纵以泄露这些凭证是极其简单的。

拥有冷钱包意味着，骗子需要物理上找到并获取您的Ledger 或助记词才能存取这些钱包及其内部资产。

助记词一旦泄露，所有热钱包及其中的资产都将面临风险，即使那些没有与恶意网站或合约互动的资产也不例外。

过去人们透过热钱包遭遇骇客攻击助记词短语泄漏的常见方式包括：