作者：Ye Su

Bybit 被盗 15 亿美金后，信用良好的 infini 又被黑客攻击。

我在几年前也曾因黑客遭受重大损失。今早公司正在做内部安全培训，分享一下亲身教训和防范指南：

近两年的新兴作案方式

1. 好友冒充（Social Engineering）

黑客常通过伪装客服、知名人士、朋友、投资机会等方式获取你的私钥或助记词，保持警惕，不点击陌生链接。

这是最难防范的攻击，我们公司被黑客仿冒 Twitter/Tg 进行私信诈骗，黑客通常冒充，以约电话会，聊投资机会为由，发送假冒的 deck，zoom 链接和网址向你植入病毒。

2. 内部渗透

朝鲜黑客的终极杀招，由某头部 cex 的创始人的亲身分享。黑客通过投简历，进入公司潜伏工作，通常在资产管理，安全架构或者财务部门。在半年之后，实施内部作案。

3. 相似地址

黑客可以在几秒钟内生成前 5 位和后 5 位完全相同的地址，比如 10 个以 0x1234 开头，56abc 结尾的地址。

黑客通常模仿大额钱包的交易，用相似地址钓鱼，务必转账核对 Txid 和地址中间至少 5-6 位，最好每一步核对。

4. 公共 WiFi

避免使用公共 Wi-Fi，防止因恶意软件、木马导致资产被盗。Wi-Fi 可以直接黑进设备，酒店，派对甚至别人家的 wifi 都要谨慎。尽量多用自己的热点。

原则建立

1. 零信任原则

在区块链世界中，不要轻易相信任何人或工具，所有交易和签名操作都应经过独立验证，确保来源可信。

即使你 homie 私信找你垫付一笔钱，也要跟他电话/视频/线下确认。

2. 君子不立危墙之下

有传言（被盗/亏空），第一时间远离风险发生的位置，保证安全的情况下， 再考虑其他问题。

永远不要相信“大而不倒”。FTX 倒闭，ArkStream 和我都因为第一天提款躲过一劫。

剩下的基本防范操作，大家可以参考慢雾的区块链黑暗森林自救手册。

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。