您的 Metamask 是如何被黑客入侵的。

注：本文为翻译稿件，作者为Medium的Marc Ilgen。

我欣然承认我喜欢 DeFi 加密投资，从大量垃圾项目和庞氏骗局中寻找新合法项目并确定其能产生收益是一项令人愉快且有利可图的挑战。但是 DeFi 有一个明显的缺点，你必须使用像 Metamask 这样的去中心化交易所托管钱包来与 DeFi 交易所进行交互。是的，Metamask 运行良好，完全符合您的要求，但遗憾的是它在安全性方面存在严重不足。加密类的 Facebook 群组、Reddit、Discord 和 Telegram 挤满了人，讲述了他们的钱包被黑客入侵和资产被席卷一空的故事。事实上，我认识一个朋友，尽管他在他的领域是一名受过高等教育和全国知名的专业人士，但他依然无法逃脱被愚弄，将自己的 Metamask 安全信息暴露给黑客。朋友承认在这次黑客攻击中损失了超过 100,000 美元。然而可悲的是，即使是这么大的金额也不足以让任何在线取证公司或执法机构有兴趣试图追回资金。但是使用 Metamask 等非托管钱包，您是可以真正独立地保护自己资金的。

如果经常听到此类故事，您会感觉到几乎所有使用 Metamask 的人都会被黑客入侵。但事实并非如此。只有一小部分 Metamask 用户确实被黑客入侵了。此外，大多数被黑客入侵的用户都是对 DeFi 交易相当陌生的用户，他们尚未了解保护 Metamask 钱包必须采取的所有重要步骤。是的，更老练的用户仍然会遭受黑客攻击，但这种情况很少，并且通常涉及黑客利用的一个用户错误习惯。从这个意义上说，使用 Metamask 很像参加跳伞或悬挂式滑翔等冒险运动，您必须确保 100% 的时间都正确地做每一件事。一个错误可能会毁掉您的帐户。

是的，它也发生在我身上，因为我犯了一个愚蠢的错误。稍后再谈。

为了避免被黑客入侵（或者如果您已经被黑客入侵，则避免再次被黑客入侵），了解您必须采取的所有步骤来保护您的帐户非常重要：该做什么，不该做什么，以及如何防止诈骗者靠近您的帐户。因此，让我们来看看 Metamask 用户被黑客入侵的最常见方式，以及如何避免它们。

下载 Metamask 的诈骗版本

这实际上有点罕见，但确实会发生，当然必须避免。 Metamask 的官方网站是 https://metamask.io。这是您应该下载和安装 Metamask 的唯一站点。众所周知，黑客会创建虚假的 Metamask 网站并使用Google广告将这些网站显示在 Google 搜索结果的顶部。这些个假网站有一个黑客版本的 Metamask，你若下载，使用上和正版无异，它允许用户创建一个钱包并像真版本一样添加资金，但是它可以将用户的资金发送到黑客的钱包。你添加多少资金都最终归零。所以请始终使用 Metamask 的正式版！

泄露你的助记词

人们被黑客入侵的最常见方式，就是钱包的助记词泄露。如您所知，当您创建 Metamask 钱包时，Metamask 会向您显示一个 12 词语的助记词，可让您在紧急情况下恢复您的钱包。这 12 个单词的助记词实际上是以可读方式显示的保护此钱包的私钥。为了保护你的钱包，你必须绝对肯定永远不会向任何人展示这些。注意以下内容：

1.当 Metamask 向您显示助记词时，请仅将其写在一张纸上，并将其安全地存放在您居住的地方或安全的地方。您可以将其存放在保险箱中，或存放在银行的保险箱中，或者只有您知道它在哪里的地方。没有 100% 可以信任的人，请不要让他人靠近您的助记词。

2.不要以数字方式存储您的助记词，例如存储在您的计算机或手机上。黑客只需访问您的文件系统或云备份，您的助记词就会被泄露。

3.不要用你的照相手机给你的助记词拍照。访问手机的照片集（通过破解手机或通过破解在线备份）并搜索其中包含助记词的任何照片。一旦找到助记词，游戏就结束了。

4.不以数字形式存储助记词的唯一例外是值得信赖的高度安全的密码管理器或 Dashlane 或 1Password 等机密管理器服务。这可能没问题，尽管也有许多知识渊博的人回避这种做法。我认为这可能没问题，但这取决于你。

然而，仅在创建钱包时保护您的助记词是不够的！您必须时刻警惕黑客和网络钓鱼诈骗者试图以其他方式窃取您的种子短语。用户被黑客入侵的另一种常见方式是当他们加入 Discord 或电报服务器以进行他们发现的一些新项目时。有很多骗子潜伏在这些地方，只是在等待一个新人（你）开始提问。他们一看到你提问题，就会尽快给你发私信，甚至打电话给你，为您提供“技术支持”。他们的帐户名称使他们看起来像是该项目的官方技术支持，他们经常使用真实项目创始人的名字。您必须记住，任何合法的技术支持或项目创始人都不会私信您！

这些虚假的技术支持诈骗者的运作方式是首先给您一种他们是合法的印象，然后说服你连接到某个特殊网站以“验证你的钱包”或采取一些类似的行动。永远不要这样做！当然，如果你阅读了上一段，你就知道一开始就不要和这些人聊天，但如果你因判断失误而最终与这样的人交谈，永远不要点击他们给你的任何网站或链接，永远不要出于任何原因输入你的助记词！很大一部分没有经验的用户是以这种方式遭受攻击的。

请注意，此类网络钓鱼诈骗可以通过多种通信渠道发生，包括电子邮件、电报和Discord。Telegram 和 Discord 的风险尤其大，因为这些平台的匿名性使其成为不道德诈骗者的理想平台。可以在这些服务上聊天以讨论合法的项目问题并提出问题，只是永远不要点击任何看起来很可疑的链接或答案和私信。我很少在 Telegram 上回复私信，并且只回复我在 Telegram 聊天中与之互动过的人。我绝对不会在 Discord 上回答任何形式的私信。

恶意软件和键盘记录器

确保您的计算机免受病毒、恶意软件和键盘记录程序的侵害也非常重要。我们大多数人将计算机用于各种目的，其中一些目的（让我们面对现实）比其他目的更阴暗。计算机是工作、教育、文档编写、给家人发电子邮件等的好工具，但它也是玩游戏、共享文件等的好平台。后者的一些网站可能会尝试用病毒或恶意软件攻击您的计算机。使用防病毒软件和 Malwarebytes 等反恶意软件始终保持计算机清洁是至关重要的。许多认真的加密投资者甚至会拥有一台完全专用于加密交易的计算机，并将另一台计算机用于所有这些其他有风险的用途。

受感染的计算机可以通过多种方式导致您的钱包被黑客入侵：

1.骗子可以在您的机器上安装键盘记录软件，并可以记录您的击键，包括您的密码。如果用户可以访问您的密码，则您的钱包现在可供诈骗者使用，并且很可能被掏空。

2.即使诈骗者不使用键盘记录器来获取您的密码，诈骗者也有可能访问存储您的助记词和私钥的加密文件。 如果诈骗者将此文件下载到他自己的机器上，那么如果您没有选择一个非常安全的密码，他将可以使用暴力密码猜测软件来获取您的密码。我仍然无法想象有多少人会使用“12345”或“Joe123”等容易猜到的短密码。

从中得出的一个关键结论是，必须让您的密码不可猜测。始终使用包含大小写字母、数字和符号的长密码。始终确保您的密码长度为 12 个或更多字符，越多越好。密码中的每个额外字符都会使猜测密码变得更加困难。正如您在下面的图表中看到的，即使同时使用大小写和数字和符号，暴力破解 7 或 8 个字符长的密码也很容易，但暴力破解 15 个字符长的密码需要很长时间。请务必始终使用长密码！

诈骗交易

一些诈骗网站使用的另一个技巧是首先让您连接到他们的网站，然后要求您签署一项或多项交易或者是授权，以便他们使用您的代币。是的，所有合法的分布式交易所 (DEX) 也要求您这样做。但是请注意，默认情况下，诈骗网站的这些请求中的每一个都要求您授权该网站从您的钱包中花费无限量的代币。一些诈骗网站使用它来掏空您的钱包并将您的代币发送到他们自己的钱包。一些诈骗网站诱使您允许该网站使用您钱包中的所有其他代币，而不仅仅是您尝试兑换的代币。

为避免这种情况，您必须首先确保您正在与合法网站进行交互。如果该网站看起来有问题，请在您彻底研究并确信该网站是合法的之前不要签署任何交易。您还可以随时编辑交易以允许该网站仅花费您可用代币的一小部分。twitter 上的这个 Pro Tip 更详细地解释了这个过程，在 Youtube 和其他地方也有大量的教程。如果您设置这样的自定义支出限制，至少限制了黑客可能对您造成的损害。

Discord 或 Telegram 上的虚假/诈骗空投促销活动

当您发现一个您可能有兴趣投资的新 DeFi 项目时，您通常会加入该项目的 Discord 或 Telegram 频道以获取更多信息。这些可能是很好的信息来源，但除非您小心，否则它们也会使您面临大量潜在的骗局。我可以保证日复一日，你会打开你的 Discord 应用程序，会看到一堆私信宣传一些“空投”或“代币赠品”或其他一些推广活动，要求您将钱包连接到某个网站以领取免费奖励。私信推广和虚假网站的域名与您项目的域名相似，但又不同。这些私信和推广绝对是一个骗局！太多的人还在被这些东西骗。您对这些私信唯一应该做的就是立即删除它们。我从不在 Discord 上打开私信，除非在极少数情况下，我在主频道上与某人聊天，足以知道他们是真实的，并且他们要求给我发私信。当他们开始要求我去随机链接或连接到另一个站点时，我会停止并删除对话。Telegram 也是如此。不要打开陌生私信，也不要将您的钱包连接到任何空投或赠品网站！否则你会被骗！

灰尘攻击

人们被骗的另一种方式称为“灰尘攻击”，骗子会向您发送一些您从未听说过的垃圾币代币。这些代币与恶意智能合约代码相关联，当您尝试出售这些垃圾币或尝试以任何其他方式处置它们时，这些代码会掏空您的钱包。我怀疑这是 Metamask 不会在您的帐户中显示令牌的原因之一，除非您明确添加它们。只有在区块链浏览器（etherscan、bscscan、snowtrace 等）中输入您的钱包地址时，您才会看到它们。如果您在钱包中发现未知或不熟悉的代币，除非您确定这些代币来自合法项目，否则您可以忽略它们。

使用硬件钱包避免这些问题

当然，任何认真的加密投资者都会告诉你，通过将硬件钱包连接到你的账户，上述问题几乎可以完全消除。需要注意的是，Metamask 中使用的钱包地址是硬件钱包地址，而不是 Metamask 地址。将新的硬件钱包连接到现有的 Metamask 钱包提供了非常小的额外保护，始终将硬件钱包地址导入 Metamask 并使用该地址。同样，在 Youtube 和其他地方有很多关于如何正确执行此操作的教程。

我更喜欢的硬件钱包是 Trezor Model T。是的，它比它的主要竞争对手（Ledger Nano X）稍微贵一点，但我发现它对用户更加友好。Ledger 很笨重，并且在 Trezor 正常工作时经常无法正常工作。

保持警惕

可悲的是，诈骗者继续设计新的方法来破解你，你有责任了解如何最好地保护你的钱包。我想说的是，如果采取上述所有措施，您的钱包并非将永远不会被黑客入侵，但是，上述步骤使其可能性大大降低。黑客与安全专家（和用户）之间的战争升级永无止境，因此您必须继续保持谨慎，并确保您永远不会做任何愚蠢的事情。

这导致我……

当我做了一些愚蠢的事情并被黑客入侵时

是的，它发生在我身上，因为我做了一些愚蠢的事情。我是一名长期的软件开发人员，现在是区块链开发人员，去年我通过 Udacity 区块链开发人员纳米学位课程磨练了自己的技能。作为该计划的一部分，我们创建了几个涉及区块链技术的项目。对于所有这些 Udacity 项目，学生必须将他们的项目文件上传到 Github。因为我没有太注意并且只使用了一个测试网钱包，所以我上传的一个文件包含了我在开发计算机上用于开发的 Metamask 钱包的助记词。这从来没有任何资金，所以我并不担心。

但一年后，出于某种我不记得的原因，我决定向那台计算机上的 Metamask 钱包发送一些真正的 AVAX。我早就忘记这是我的开发钱包和开发机器，钱包很可能被盗用了。从我上传那个文件到我发送 AVAX 的那一年左右的时间里，一个黑客发现了暴露的助记词，并监控了那个钱包地址，看是否存在资产。当我确实做了一些愚蠢的事情并发送了一些 AVAX 时，黑客的耐心当然得到了回报。随着 AVAX 到帐，然后几分钟或几秒钟内很快消失到某个陌生的钱包地址。我花了几分钟的时间才知道发生了什么。

承认错误的重要性

这引出了我的最后一点，即如果您真的被黑客入侵了，重要的是把您的自我放到一边，去弄清楚您做错了什么。我在网上看到太多人想要责怪Metamask或责怪黑客。这些人没有弄清楚自己做错了什么，最终再次被黑客入侵。帮自己和加密社区的其他人一个忙，即总是花时间和精力去弄清楚你到底做错了什么。我们越是共同努力弄清楚这些黑客是如何发生的，就越容易互相帮助，也就越容易避免被黑客入侵。

原文链接：https://medium.com/coinmonks/how-your-metamask-got-hacked-probably-795abca4534a

翻译：千帆