翻译：团长（https://twitter.com/quentangle_）

我承认我喜欢DeFi加密货币投资 — 寻找新的产生收益的项目，并从一堆垃圾项目和庞氏骗局中识别出合法项目，这是一个让人乐在其中并且有利可图的挑战。但是，DeFi有一个明显的缺点 — 你必须使用像Metamask这样的非托管钱包来与DeFi交易所互动。Metamask做的很棒，并且准确执行了你想做的操作，但可惜在安全性方面严重不足。Crypto Facebook小组、Reddit、Discord和Telegram上有很多人讲述了他们的钱包被黑和被财产被全部转走的故事，很多都是价值数千美元的加密货币。我在网上认识一个人，尽管他是一个受过高等教育的、在其领域内全国知名的专业人士，但他犯了一些愚蠢的错误，将他的Metamask安全信息暴露给黑客。他在这次黑客攻击中损失了超过10万美元，可悲的是，即使这么大的数额也不足以让任何在线取证公司或执法机构对挽回损失感兴趣。使用Metamask这样的非托管钱包，你确实要靠自己来保护你的资金。

如果你在网上读到这些故事，你可能会认为每个使用Metamask的人都会被黑。但其实不是— 只有一小部分Metamask用户确实被黑了。此外，大多数被黑的用户都是对DeFi交易相当陌生的用户，他们还没有学会为保护Metamask钱包而必须采取的所有重要步骤。尽管被黑的事件经常会发生在老手身上，但这些情况更加罕见，通常是因为黑客利用的一个用户错误。从这个意义上说，使用Metamask很像从事跳伞或滑翔等冒险运动 — 你必须确保100%的时间做正确的事情。一个错误就会使你的账户自己消失。

是的，这也发生在我身上，因为我犯了一个愚蠢的错误。稍后再谈这个问题。

为了避免被黑客攻击（或者如果你已经被黑客攻击，则再次被黑客攻击），必须知道你必须采取的所有步骤来保护你的账户：什么该做，什么不该做，以及如何防止骗子接近你的账户。因此，让我们看看Metamask用户被黑的最常见方式，以及如何避免它们。

下载Metamask的钓鱼版本

这实际上是有点罕见的，但它确实发生了，当然必须避免。Metamask的官方网站是https://metamask.io。这是你应该下载和安装Metamask的唯一网站。众所周知，黑客会创建虚假的Metamask网站，并使用谷歌广告将这些网站显示在谷歌搜索结果的顶部。假网站有一个黑客版本的Metamask，让用户创建一个钱包并添加资金，就像真的一样，但随后将用户的资金发送到黑客的钱包。所以一定要使用官方版本的Metamask!

暴露你的助记词

人们被黑客攻击的最常见方式，无论如何都不能做的事，是允许钱包的助记词暴露。如你所知，当你创建Metamask钱包时，Metamask会向你展示一个12个单词的助记词，让你在紧急情况下恢复你的钱包。这12个单词的助记词实际上是保护这个钱包的私钥的可读性的展示方式。为了保护你的钱包，你必须绝对肯定地确定，你永远不会向任何人展示这个。这意味着以下几点。

• 当Metamask向你展示种子短语时，你要把它写在一张纸上，安全地存放在你居住的地方，或安全的地方。你可以把它存放在保险箱里，或存放在银行的保险箱里，或存放在只有你知道它在哪里的地方。如果你有其他人住在你的住所，如果你对他们没有100%的信任，不要让他们接近你的助记词。
• 不要以数字方式存储你的种子短语，即在你的电脑或手机上。黑客只要进入你的文件系统或云端备份，你的助产冲刺就会暴露。
• 不要用手机拍照你的助记词。黑客可以（而且已经）进入手机的照片集（通过黑进手机或黑进在线备份），只需搜索任何带有种子词的照片。一旦找到助记词，Game Over。
• 不以数字形式存储助记词的唯一例外是一个值得信赖的高度安全的密码管理器或密码管理器服务，如Dashlane或1Password。这可能是可以的，尽管有许多业内行家不赞成使用这种方法。但我认为这可能是可以的，但这取决于你。

但是，仅仅在创建钱包时保护你的助记词是不够的！你必须不断地警惕黑客和钓鱼欺诈者试图窃取你的助记词。用户被黑的一个常见方式是，当他们为他们发现的一些新项目加入一个Discord或telegram服务器。有大量的骗子潜伏在这些地方，只是在等待一个新人（你）开始问问题。他们一看到你，就会以最快的速度给你发DM，甚至给你打电话，为你提供 “技术支持”。他们的账户名称让他们看起来像是项目的官方技术支持，经常窃取和使用真正项目创始人的名字。你必须记住，**任何官方的技术支持或项目创始人都不会给你发私信！**郑重得说，永远不要回应。永远不要回应任何假装是某个项目方的人 — 只要删除信息并继续做你的事（或者随时告诉骗子滚开，这取决于你）。

这些假的技术支持骗子的操作方式是，首先给你一个印象，他们是官方的，然后说服你连接到一些特殊的网站，以 “验证你的钱包”或采取一些类似的听起来的行动。千万不要这样做! 当然，如果你读了前一段，你就会知道首先不要和这些人聊天，但如果由于你的判断失误，你确实与这样的人进行了对话，千万不要连接到他们给你的任何网站，并且永远不要出于任何原因给出或输入你的助记词！这是很重要的。有很大比例的Metamask黑客是由于没有经验的用户被这样的方式欺骗的结果。

请注意，这类钓鱼诈骗可以通过几种通信渠道发生，包括电子邮件、Telegram和Discord。Telegram和Discord的风险尤其大，因为这些平台的匿名性质使其成为无良骗子的理想平台。在这些服务上聊天，讨论合法的项目问题并提出问题是可以的，只是千万不要点击任何链接或回答和DM，因为看起来一点都明智。我很少回答Telegram上的DM，而且只回答在Telegram聊天中与我有过互动的人的DM。我绝对不会在 Discord 上回答任何形式的 DM。

恶意软件和键盘记录器

确保你的电脑免受病毒、恶意软件和键盘记录器的侵害也是非常重要的。我们大多数人使用电脑的目的是多种多样的，其中一些目的（让我们直接点说）会更阴暗一些。电脑是工作、教育、写文件、给家人发邮件等的好工具，但它也是玩游戏、看色情片、分享文件等的好平台。后面的一些网站可能试图用病毒或恶意软件感染你的电脑。使用杀毒软件和反恶意软件，如Malwarebytes，以保持你的电脑始终干净，这是至关重要的。有些甚至有许多硬核的加密货币投资者甚至会有一台电脑完全专门用于加密货币交易，而将另一台电脑用于所有这些其他风险用途。

被感染的电脑有几种方式可以导致你的钱包被黑：