“技术再强,钱包一漏,万事皆空。”张三把桌面清出一块干净地儿:“今天搭你的三层钱包架构,再给你一张‘Revoke生存卡’。”
一、三层钱包架构:把钱装进不同的“屋”
冷层(冷钱包\/硬件钱包)
用途:长期持仓、NFt高价值藏品、备用金库;
设备:硬件钱包(多厂商备份)、离线助记词保管;
规则:只出不进的批准;大额转出需双人\/双设备确认(你与“未来的你”=清单复核)。
温层(手机\/桌面热钱包)
用途:日常交互、小额deFi;
规则:额度与权限严格上限;每周Revoke检查;
风险:浏览器插件\/移动端钓鱼页面。
交易层(交易所账户)
用途:法币出入金、现货撮合;
规则:只保短期操作资金;启用2FA\/反钓鱼码\/登录白名单;异地与大额提现延迟。
“层级隔离=错误不会穿透。”张三说。
二、助记词与私钥:你不是在“记一串词”,你在记一扇门
备份:手写两份,分地点密封;严禁云盘\/邮箱明文;
验证:新建钱包后用只读模式导入另一设备,验证地址一致;
社工防护:任何“工作人员”索要助记词=骗子;官方不会要。
紧急预案:丢失设备\/怀疑泄露→立刻迁移资产至新地址(冷层预留迁移表)。
三、批准权限(Allowance):隐形漏勺
“一次授权,可能就是永久开闸。”张三让一世打开Allowance查看器(或钱包内置授权页),列出近90天对合约的批准记录:
某dEx路由合约:无限额;
某空投合约:永不过期;
某未知合约:可花费任意代币。
“把这些全部Revoke,然后按需小额重新批准。”张三说,“以后凡是无限额,一律改为**交易所需额度+5%**缓冲。”
四、签名安全:别在看不懂的签名上“闭眼确认”
只签‘明确动作’:swap、approve(指定额度)、cancel。
警惕 permit\/SetApprovalForAll:这些往往给对方花钱\/转NFt的许可;
模拟交易:尽量使用带模拟\/仿真的钱包或前端;
域名与链Id核对:钓鱼站的 UI 可以一模一样,域名不会。
五、一次“陷阱空投”的自救
深夜,钱包里凭空多了几个奇怪代币,界面提示“可领取额外奖励”。一世差点手痒去点。
张三提醒:“别点、别授权、别卖**。很多‘空投’本身就是诱饵,合约里埋了毒——你一卖或一签,它就把你钱包掏空。”
他让一世:
标记可疑代币(自定义标签“doNottouch”);
过滤其交易显示(有些钱包支持屏蔽);
定期Revoke所有新近授权;
留证:把代币合约与来源地址记进黑名单。
六、设备与浏览器卫生
浏览器:单独“交易配置文件”,仅装必要扩展;
系统:定期更新;禁止从不明渠道装应用;
网络:敏感操作优先有线或自家网络;公共wIFI不签名;
反钓鱼:交易所反钓鱼码;邮箱二次验证;短信不点链接。
爽点来得悄无声息:几天后,群里有人被“空投奖励”吸走整仓;一世的“doNottouch”标签安安静静躺在那儿——像一盏他自己点亮的路灯。
七、把“保命术”写进Sop
《Sop·钱包安全 v1》:
三层架构:冷\/温\/交易层,跨层限额;
Revoke周检:周日固定时间清授权;
小额授权:交易所需额度+5%;
签名白名单:只签 swap\/approve\/cancel;permit\/SetApprovalForAll需二次确认;
陷阱空投流程:标记→屏蔽→Revoke→黑名单;
紧急迁移:模板与新地址提前备好。
章末·课后小抄
层级隔离让错误不穿透;
无限额=隐形开闸,一律小额短时授权;
看不懂的签名不签;空投别碰、别卖、别授权;
周检Revoke,把安全当成例行巡检。
可执行表·Revoke生存卡
冷\/温\/交易层地址:冷__ 温__ 交__
最近90天授权列表:合约\/额度\/时间\/是否Revoke(是□ 否□)
小额授权规则:本次所需__ +5%
陷阱空投处理:标记□ 屏蔽□ Revoke□ 黑名单□
设备卫生:交易配置文件□ 系统更新□ 反钓鱼码□
紧急迁移演练:已演练□ 计划日期__
复盘与更新:__