夜雨聆风
把私钥写在代码里让我一天血亏10w
事情的经过是这样的,之前我刚接触链上的时候,那个时候manta刚预热,我就买了一些eth,存到manta网络去获取NFT,还搞了一些乱七八糟的其他项目,然后刚好有个朋友问我能不能写撸毛的脚本,我就顺手拿这个号的私钥来做签名测试,当时也没想对私钥加密啥的,就那么水灵灵的把代码提交了
然后还没到24小时,我就发现我的钱包被盗了,一开始还没反应过来时因为代码的问题,我还以为是不小心点了钓鱼网站,然后我就把一些授权取消了就没管了,紧接着,一些质押在链上合约里的钱也被黑客搞出来转走了,直接给我钱包都清空了,基本上只要往这个钱包转gas,没两秒就被转走了,给了我一点小小的黑暗森林震撼
总结一下应该吸取的教训吧
1、私钥类的一定不要明文编码在代码中,用配置文件或者做一层以上加密比较好
2、做加密链上项目时一定要从钱包就开始做风控,一个项目一个单独的钱包,不要把鸡蛋都放在一个篮子里
3、感觉钱包不安全的时候,不要多想,直接把资产转移到一个新钱包
4、评论区有个大佬提到了,再加一条吧,把助记词之类的截屏放在相册也是不安全的(包括在社交软件直接明文传输),想备份助记词的话可以手抄写在纸上,或者用一台不联网的设备来备份
#crypto #踩坑 #学习日常 #黑客 #教训
然后还没到24小时,我就发现我的钱包被盗了,一开始还没反应过来时因为代码的问题,我还以为是不小心点了钓鱼网站,然后我就把一些授权取消了就没管了,紧接着,一些质押在链上合约里的钱也被黑客搞出来转走了,直接给我钱包都清空了,基本上只要往这个钱包转gas,没两秒就被转走了,给了我一点小小的黑暗森林震撼
总结一下应该吸取的教训吧
1、私钥类的一定不要明文编码在代码中,用配置文件或者做一层以上加密比较好
2、做加密链上项目时一定要从钱包就开始做风控,一个项目一个单独的钱包,不要把鸡蛋都放在一个篮子里
3、感觉钱包不安全的时候,不要多想,直接把资产转移到一个新钱包
4、评论区有个大佬提到了,再加一条吧,把助记词之类的截屏放在相册也是不安全的(包括在社交软件直接明文传输),想备份助记词的话可以手抄写在纸上,或者用一台不联网的设备来备份
#crypto #踩坑 #学习日常 #黑客 #教训
