区块链数字钱包发生过那些安全事件？

“私钥丢失”

部分用户使用钱包时，会习惯性将私钥截图保存在手机，但当手机出现了丢失或者损坏，助记词可能永远无法复原；部分用户有一定安全意识，会将助记词手写一份，但当该份助记词丢失时，助记词也可能无法复原。

“伪装客服骗取私钥”

攻击者伪装为客户潜伏在社群中，当有用户出现转账或者提取收益求助时，攻击者及时联系用户协助其处理，通过耐心的解答，发送伪装成去中心化网桥的工单系统，让用户输入助记词解决其交易异常，攻击者拿到私钥后盗取资产，拉黑用户。

“恶意软件”

黑客以某些加密货币资源的名义，将应用程序添加到Google Play商店，或者通过网络钓鱼的方式，欺骗用户下载该应用程序，该应用程序实则为一个恶意软件，当下载、启动该应用程序后，攻击者即可控制受害者电话或者手机，然后允许攻击者窃取帐户凭据，私钥等更多信息，导致钱包被盗。

“钱包升级”

攻击者通过社会工程学收集到用户邮箱，确定用户经常使用的钱包app，对其定向攻击，发送伪造的官方app升级邮件，下载后使用与官方无异，但是会收集用户信息，私钥助记词等。

“二维码盗币事件”

攻击者将预先准备好的恶意二维码发送给用户，攻击者诱导用户使用钱包扫描二维码进行转账，用户输入指定金额后确认转账交易（实际运行的是用户approve授权给攻击者USDT的过程），随后用户钱包大量USDT丢失（攻击者调用TransferFrom转走用户USDT）。

“在线云平台账号被盗”

多数人将秘钥/助记词通过截屏、拍照或者拷贝粘贴，然后同步保存在云端，例如通过邮件、QQ、微信、网盘、笔记等进行传输或存储，攻击者会通过攻击这些云端平台账号，从而盗取私钥/助记词。

“获取空投盗币事件”

攻击者伪造成交易平台或者DeFi/NFT项目，攻击者通过媒体社群发起可明显薅羊毛的空投活动，攻击者诱导用户使用钱包扫描二维码或者签署交易领取空投， 随后受害者账户大量资金被转走。（攻击者在空投交易中写授权，使得受害者将资金授权给攻击者预先写好的地址）

“网络钓鱼窃取私钥”

攻击者通过克隆一个知名区块链项目，通过精心设计成同原始真实项目一模一样的假项目钓鱼网站，对于精心设计的这个钓鱼网站，普通用户无法辨别真假，通过各种渠道发布这些信息，以假乱真，这样即可轻易引诱用户访问钓鱼网站并引导他们输入帐户密码或密钥，盗取用户钱包中数字资产。

“其他钓鱼攻击”

攻击者利用各种热点，比如NFT发售、nft预售、合约升级，项目更换网站、特价nft、中签等为由，发送钓鱼邮件，内含精心模仿的官方网站、预售平台，app下载链接等，用户稍不留意就会掉入攻击陷阱。