长推：一个加密OG的安全防盗建议

注：本文来自@tmel0211 推特，MarsBit整理如下：

总是有朋友抱怨资产莫名其妙被盗了，前提还是很懂计算机网络技术，安全防护意识还很强的情况下。why？

若是纯小白被盗也就当交认知税了，可一个web3 OG浸淫币圈数载，自认都已经熟稔黑暗森林生存法则，竟也还能被盗？

接下来的Thread，换个角度思考下你的“安全意识”真的到位了吗？

我在过往往参与的被盗案件中，受害者不乏有当CTO的技术大牛，有身经百战的链上交互大师，甚至不乏也有安全行业从业者。大部分技术牛人都难免因一时疏忽遭遇被盗，何况普通人呢？

这些大牛都是安全认知的巨人为何却成了防护行动的矮子，这背后其实涉及复杂的安全攻防心理学博弈过程。

其实“安全意识”不仅仅是一种认知gap，更是一次次践于行的触网自律行为。

比如：一句采取适当防范措施，你能否每次私钥生成时严格执行手抄备份；一句保持警惕心态，你是否每点开一个未知链接，都细心识别并加以防范？

如果做不到绝对的行为自律，那懂得那么多，迟早还是逃不开被盗的命运。

安全攻防本质上是投入成本与产出收益的问题，黑客偏爱的受攻击目标有如下特性：

1）资产越多，越容易被盗；若黑客发现一个邮件和一个对应巨额资产地址，邮件就会成为接踵而至钓鱼、理财诱惑、商务合作等社会工程攻击的切入点。因此，大户请务必隐藏身份，避免成为黑客不计成本攻击的目标。

2)交互越多，越容易被盗；很多web3重度交互用户，不加辨识去交互潜在空投的不可信网站，甚至搞签名、留邮箱等操作，结果为了一顿猪脚饭，为以后被一锅端埋下隐患。

黑客可通过“水坑攻击”等来精准锁定参与网页交互的用户，为其设备植入恶意木马，用户在不知不觉中成了被针对攻击的对象。

3)花活越多，越容易被盗；不少用户为防项目方女巫审查，采用了指纹浏览器、云服务器、代理虚拟IP服务等，纯抗女巫这些技术无可厚非，但其却带来了更复杂的网络环境，若任何一个上游供应链从中作祟或被攻击，对黑客而言可是难得的精准攻击目标群。

因此添加花活可以，但务必要同时加强防护等级。

4)习惯越差，越容易被盗；有的用户习惯用生日关联密码，并作有规律的密码组合拓展。

若黑客获取了你的邮箱地址等隐私信息，就可能通过社工库获取更多隐私信息，进而基于你的惯用密码来撞库破解其他密码，比如有道云，文件夹密码等从而实施私钥窃取。社工库请自行去查，一定大跌眼镜！

5）人越高调，越容易被盗；虽没具体统计过，看似普通的社会工程学攻击肯定是加密资产被盗重灾区，别一盗就想当然以为被朝鲜黑客盯上了，普通人根本无高级APT的攻击待遇，反倒警觉下平时有没有跟身边人漏财，快递外卖地址有没有保护，网络隐私痕迹是否处理干净等。谨小慎微，低调才是硬道理。

综上，你似乎感觉到了，区块链安全科普文几乎等同于生态参与劝退文，因为参与的深度越大，被攻击风险就越高，这似乎无解。

但区块链本来就是丛林探险，我们要博的也是投入风险和产出收益的概率，我给普通用户的建议是，既然难做到高段位防护，不如学会遁形规避，尽可能别进入黑客的攻击视野范围。

以下给几条建议，或许可降低莫名其妙被盗的概率。

1）设定冷热钱包的资产阈值，默许热钱包被盗在承受范围内；

2）只点击主流人群背书后的链接，别相信你会是宠儿；

3）别轻易泄露隐私，尤其是忌招摇漏财；

4）小心身边的人，社工渗透成功率最高；

5）熟读 @SlowMist_Team 区块链黑暗森林自救手册。

我们习惯了安全公司推送的各类安全警示，是否思考过躲在暗处的黑客是如何抓住用户的薄弱点实施攻击的呢？

其实根本没有莫名其妙的攻击，只是恰巧黑客的攻击方式超出你的认知范畴而已，有些是你看不懂的，有些是你意想不到的，更多的是你明白但却疏忽的。

备注：附慢雾黑暗森林安全自救手册，https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md 。

另外借 @Kuigas 丰老师的楼，大家有任何被盗疑问可以留贴，我看到后也会参与并协调必要的资源帮忙。

https://twitter.com/KuiGas/status/1663869932566876163