Solana 安全最佳实践:用这些技巧守住你的资产
想象一下,某天你打开 wallet,准备查看里面的各种数字资产,结果发现它们都不见了。这不是网络故障或显示错误,而是有人攻破了你的密钥,把所有资产一卷而空。
这是所有人都不愿面对的场景。没人想经历这种事,而Web3 在给我们自由和无数好处的同时,也让我们暴露在风险之下。所以你必须了解 Solana 安全实践,才能保护好自己(让这种情况永远停留在假设里)。
接下来这篇文章会带你过一遍那些必须遵守的技巧,帮你把 Solana 资产组合彻底排除在风险之外。
真实安全案例分享
在 Smithii,我们始终重视用户的安全,但这并不能阻止那些心怀不轨的人试图钻空子。最近,我们的一位用户就被骗走了手里的 $SOL。
事情是这样的,我们看到了一个 Reddit 论坛帖,讲述了一位用户因为使用了我们的 launchpad,被人转走 2.9 $SOL 的经历。按事件顺序梳理,这位用户:
- 用我们的 Solana 工具成功创建了一个 token。
- 遇到一些疑问,于是加入官方 Discord 寻求解答。
- 往自己的 wallet 里充了 2.8 $SOL,10 分钟后资产就消失了。
- 联系了所谓的“我们的技术负责人”说明情况,对方建议他再往 wallet 里充一笔同样金额的资金来“解决问题”。
- 把整件事发到了 Reddit 上。
我们当时立刻建议他在我们唯一的官方 Discord 服务器开个 ticket 来讨论这件事。他照做了,结果发现之前接触的那个人只是冒充我们团队成员。这位用户被自称“Smithii 技术负责人”的人误导,被要求去另一个网站验证他的 wallet。
接下来发生了什么?他把 wallet 的访问权交了出去,资产被一扫而空。更过分的是,对方还让他再充更多 $SOL,好继续骗走。
我们的支持团队封禁了这个 scammer,并向用户解释了整个安全状况,还给了他一天的 PRO 权限,让他可以重新创建 token 而不用支付我们 dApp 的 fees。这一点用户自己也在 Reddit 上更新了被骗事件的后续里说明了。
这种情况,虽然这样复盘看似一眼就能识破骗局,但它比你想的要常见得多。所以你必须遵守 Solana 以及其他任何区块链和 Web3 生态里的安全实践。没错,这里有更多机会和自由,但也让我们面对特定的风险。
Solana 安全实践:怎么做才能避免踩坑?
想在 Solana 生态(以及整个 Web3)里保持安全,我们建议你照着这些技巧来。说真的,你应该把它们变成日常习惯。
把 Seed Phrase 写在纸上,绝对不要分享
Seed Phrase 是创建 wallet 时生成的一串由 12 到 24 个随机单词组成的唯一密钥。谁拿到这串密钥,谁就掌控了你的整个 wallet,所以最稳妥的做法就是把它抄在纸上并妥善藏好。别随身带着,也别让它出现在显眼的地方,必须放在绝对安全的位置。
把 Seed Phrase 以数字形式保存是非常糟糕的主意,因为操作系统和云存储服务可能通过各种方式被攻破。
另外要记住,Seed Phrase 只属于你自己,别人不需要知道。无论是客服、活动、airdrop 还是其他平台,都不需要这串信息来给你提供任何服务。
使用不止一个 wallet
最好的 Solana wallets 都支持你创建多个 wallet 并用同一个账号管理。我们建议你用一个 wallet 来存放资产(如果是 cold wallet 就更好了),另一个用于日常的小额交易,再准备一个用来连接各种平台或做测试。
如果所有操作都只用一个 wallet,一旦连接到假网站或中了 phishing,你就完全暴露了,可能会丢光所有资产。更稳妥的做法是,用一个空的 wallet 去连接那些可信度存疑的 dApps,并用极少量资产来做测试。
万一这个 wallet 出问题,你只需要把它删掉再建一个新的就行,不会牵连到其他 wallet,也不会被一锅端走所有 token。
想再往上提一个档次?用两个不同的浏览器,在每个浏览器里分别用不同的 Seed Phrase 创建一个 wallet。其实,把一个 wallet 连到一个 dApp 上并不会让对方获取其他已连接 wallets 的访问权,但这是一种万无一失的账号隔离方式。
Cold Wallet,终极安全屏障
Cold wallet 是一种把 private keys 完全与互联网隔离的 wallet。它是一种硬件或设备,用来保存你的资产,只有在使用时才能进行转账。也就是说,没人能远程访问你的 wallet。
另一方面,这种方式安全性极高,但也“拖慢”了交易授权的流程,所以把它当成日常使用的 wallet 并不是好主意。再加上还有可能丢失硬件设备或恢复短语的风险,而里面装着你所有的 assets。
连接之前,先核查平台
你在进行交易或连接 dApp 时随手确认的那条授权,可能就藏着未经你同意就把资金转走的指令或权限。
有时,诈骗平台不会立刻触发这些指令,而是等到你账户里有一定数量的资产再动手,让你先放下戒心。为了避开这类骗局,我们建议你按照以下核查技巧来保障 Solana 的安全:
- 核查平台 URL,有些镜像平台看着像正版,但 URL 会露馅。常见的特征是网址里带“vercel”或“development”,或者用一些很少见的域名(比如 .xyz,或者 blogspot 这类免费域名)。
- 连接前先做调研。比如,我们有独立审计和 TrustPilot 上的评价。如果某个让你直接连接 wallet 的网站既没有评价,也对自己的可信度毫不在意,那大概率就是 scam。
- 把官方网站存到收藏夹,别轻信搜索引擎,因为它有时会把诈骗页面以“推广”形式排在官方网站前面。
- 测试完一个 dApp 后,立即断开 wallet 并撤销相关权限。
没人会通过私信给你提供 support
就像前面那个真实案例里看到的,我们的一位用户误以为对方是 Smithii 团队成员,结果资金被一扫而空。绝对不要接受任何通过 DM 提供的 support,尤其是你根本没主动求助的时候。我们的团队不会要求你去其他地方验证 wallet,也不会索要 private keys 或你的 seed phrase。
如果你的 wallet Solana 被攻破了,该怎么办?
遵守这些 Solana 安全实践,能让心怀不轨的人无法触碰到你的资产。万一你发现 wallet 出现了异常活动,请按以下步骤处理:
- 别慌,迅速行动,也许还来得及保住资金。
- 新建一个 wallet,把资金转过去。不要转到旧 wallets 或其他可能同样被攻破的 wallet。
- 截图并记录事件经过,以便举报这个骗你资产的网站或个人。
- 删除被攻破的wallet。虽然你可以撤销已授予的权限,但最稳妥的做法是重新创建一个。
- 复盘自己做错了什么,认真反思,避免以后再掉进同样的陷阱。
crypto 社区一直在举报盗币事件和钓鱼网站。比如 Phantom 就维护着一份经过验证的安全 dApp 名单,Smithii Tools 也在其中。它还会屏蔽用户举报的可疑页面。如果你访问的诈骗网站已经被 Phantom 标记,就会弹出警告并阻止访问,如下图所示。
关于 Solana 安全实践的总结
把这些建议变成习惯,时刻牢记 Solana 以及整个 Web3 的安全最佳实践。守护资产和账户访问权限是你自己的责任,所以一定要做足防范,避免资金被人掏空。
别忘了订阅 Smithii 的 newsletter,第一时间掌握 Solana 的最新动态,并把我们的页面加入收藏,更安全高效地管理你的 Web3 项目。
