“一名黑客得到了我的助記詞，在 100 秒內(nèi)從我的 Metamask 錢包里偷走了價(jià)值 1200 美元的ETH。”

這是一位名叫Ty Cooper的Reddit用戶。不久前，他把錢包的助記詞(recovery phrase) 留在了 GitHub 的一個(gè)在線文件存儲(chǔ)區(qū)里，結(jié)果在不到兩分鐘內(nèi)，損失了價(jià)值 1200 美元的 ETH。更可怕的是，他還有一筆價(jià)值近700美元的 ERC20 代幣 (cETH) 鎖定在DeFi借貸協(xié)議 Compound 中，一旦他把資金從該協(xié)議中取出來(lái)，錢立刻會(huì)被發(fā)送到這個(gè)錢包里，而虎視眈眈的惡意機(jī)器人會(huì)瞬間轉(zhuǎn)走所有的ETH。

從某種意義上講，加密貨幣的交易在某種程度上是不可追蹤的，長(zhǎng)期以來(lái)一直被吹捧為傳統(tǒng)貨幣的安全替代品，而其貨幣特性使得它們更容易受到黑客攻擊。這也是為什么在過去一年里，我們看到無(wú)數(shù)類似案例發(fā)生的原因，不僅有個(gè)人錢包賬戶被竊取，還有各種數(shù)字貨幣交易所遭到黑客攻擊，損失了數(shù)百萬(wàn)美元。

此外，在以太坊網(wǎng)絡(luò)中，用戶需要支付一定的交易費(fèi)用來(lái)轉(zhuǎn)移代幣。而這個(gè)時(shí)候，如果存在兩個(gè)人試圖同時(shí)轉(zhuǎn)移相同數(shù)量的 ETH，那么愿意支付更高交易費(fèi)的那筆交易可能會(huì)更快被確認(rèn)。惡意機(jī)器人正是利用了這一點(diǎn)，每次自動(dòng)提交更高的交易費(fèi)，確?？焖偻瓿赊D(zhuǎn)賬，竊取受害者錢包里的ETH。

雖然這種情況并不常見，但事實(shí)證明，黑客正在利用惡意的機(jī)器人程序，掃描用戶上傳至 GitHub 的內(nèi)容，搜尋加密貨幣私鑰和助記詞。

助記詞(recovery phrase) ——按特定順序設(shè)置的12個(gè)單詞的組合，允許錢包用戶恢復(fù)對(duì)加密錢包的訪問，可以說(shuō)是私鑰的“最后一道防線”。如果有惡意分子獲得了你的私鑰或者助記詞，他們完全可以訪問你的錢包并獲取其中的資金。因此，警惕無(wú)意中把私鑰或助記詞上傳到公開的開源軟件庫(kù)(比如 GitHub)，或者任何其他公開的地方的行為。

此外，最好將助記符/私鑰的所有副本嚴(yán)格保持脫機(jī)狀態(tài)、非數(shù)字狀態(tài)。其次，嘗試將資金最大限度地存儲(chǔ)在Trezor / Ledger之類的硬件錢包中，或者是無(wú)法訪問的互聯(lián)網(wǎng)冷錢包中。