-
作者帖子
-
-
【钱包安全】
太长不看版:注意安全,不要随便在不了解的网站上签名和授权,btc一层的钱包交互相对简单,但二层有智能合约,瞎授权是非常危险的。—–三种情况下钱包的交互风险——-
BTC钱包 一层交互
BTC一层没有智能合约,暂时不存在授权后被盗走钱包里资产的问题。
(电脑中木马以及私钥没保管好丢失这些情况不算,这种情况哪个链的钱包都无解)
最大的风险是你签名的时候没有看清楚,不小心亲手签名把资产烧了/误转给平台/被乱扣费等,只要你看清楚了签名的input和output,基本上不会有其他风险。关于签名前做好input检查的教程此前写过:见楼下回帖
常规EVM钱包在EVM链上交互
在未知的网站上签名/授权,强大的智能合约可能被盗走钱包里所有的资产。所以EVM老OG们都非常谨慎,因为被各种五花八门的钓鱼网站教育过(官网高仿网站、看起来是Free Claim实际上一签名就被清空钱包、山寨项目套壳骗签名等等),整体警惕性还是比较高的梅林二层项目交互
如果你用的是EVM钱包(小狐狸、OKX的EVM钱包等),风险同上一条。如果你用的是BTC钱包生成的AA钱包,在不清楚来源的网站上签名/授权时,需要保持一万分的警惕。
如果你稀里糊涂用btc钱包操作了签名,将你的AA钱包授权给网站,
最坏的情况下,你AA钱包里的二层资产可能被全部盗走(质押的不算,这部分暂时转不了),但不影响你一层的BTC钱包里的资产。因为智能合约只能控制你的AA钱包资产,无法反向控制你在btc钱包的一层资产。
也因此,这种情况下,你在unisat钱包里操作移除已连接的网站,是没有用的,它只代表你的unisat钱包在一层上和网站的连接关系。无意影射任何平台或项目,只是今天看到大家讨论钱包安全,所以发出来提醒大家注意安全,防患于未然。
接下来几个月梅林上一定会有无数的项目出现,大家在心态和知识储备上都要尽快准备起来
-
交易签名的时检查input主要查什么?(本文最后教大家如何与被投毒的交易共存)
1. 检查有没有用到小额utxo(防投毒+防多UTXO导致网络费过高)
2. 检查input里有没有混进去铭文,避免误转/烧铭文。
正常的情况
1. 打铭文/转账时:input只签名btc, 不涉及铭文。(而且通常只有1-2个utxo)
2. 挂单时:input里只有你要挂单的铭文,没有其他的utxo
3. 购买时:input里提示to sign的都是你的utxo,还有一些不用你签名的铭文,那都是卖家的,后面没有to sign字样。
异常情况
1. 如果你在新平台支付,当你在支付/打铭文时,input里应该只有btc UTXO, 一旦出现铭文,立马拒绝签名,否则你的铭文会在签名被转走,轻则转到项目方地址,重则当网络费烧给矿工
2. 当你在支付时,有很多很多UTXO出现在input,你这笔支付的网络费会出奇得高,因为input的数量会直接增加交易size。 这时候最好是用其他钱包付,或者从交易所再转一笔钱进来支付。 待链上费率较低时再合并这些零碎的utxo.
最后,如果你的钱包被投毒了(在mempool点space查到自己名下有极低费率的unconfirmed交易)
不想放弃这个地址的前提下,可以通过每次签名检查UTXO来尽量避免被拖累。
第一步:确认带毒utxo. </span> 先在memspace里定位到低费率的交易,找到自己地址在这笔交易里接收到的金额 – 如果是绿色的箭头,那你钱包里带毒的utxo就是这个(比如下图第一行的,带毒utxo金额为734聪) – 如果是红色的,说明这个utxo已经被你用在别的交易里了,点红色箭头往下找交易,一直找到绿色箭头的为止,把utxo金额记下来),暂时假设你找到的金额是734聪。
第二步: 每次支付/购买时,在input里反复检查是否有带毒UTXO.
因为unisat及其他钱包不显示utxo的聪编号,所以只能通过utxo金额来核对,如果某个utxo的金额和第一步找到的带毒utxo一致,很可能就是同一个(例如第一步的734聪) 如果出现马上拒绝签名,否则你签名的这笔会和投毒交易构成cpfp, 共享费率,一起上不了链。 今天这篇可能有点复杂,大家有看不懂的在评论区提问好啦~ (注:本文中投毒交易指个位数极低费率的交易,带毒utxo指被关联在低费率交易里的utxo, 都不是专业术语,只是为了方便大家理解打的比喻,谢谢)
-
防不胜防的
-
-
作者帖子