创作者说 | 我与加密安全那些事

「创作者说」是 Foresight News 推出的一档对话专栏创作者栏目，我们会向每个月评选出的优秀创作者就市场热点话题发问并将收集到的结果整理成文，博采众议，发掘更具深度的思考。

撰文：Foresight News 2025 年 2 月优秀内容创作者

整理：Foresight News

在蓬勃发展却又波谲云诡的加密行业，安全事故如高悬的达摩克里斯之剑，时刻威胁着行业的稳定与发展。近期，Bybit 平台史诗级被盗事件，犹如一场破坏力巨大的风暴，不仅导致了高达 15 亿美元的经济损失，更如同一记重锤，击碎了公众对加密行业的信任。

这里恰似一座黑暗森林，机会遍地，但也危机四伏。对于我们投身其中每个人，保护资产安全都是一门必修课。

本期「创作者说」聚焦「 我与加密安全那些事」，我们邀请到了 2025 年 2 月 Foresight News 优秀创作者榜单中的 Daii、加密狗、佐爷歪脖山、岳小鱼的 Web3 产品之路、团子财经、Alpha Labs 和刘正要律师加入到本期讨论。

围绕「加密安全」这个话题，我们抛出了「你亲身经历过哪些安全事故？」「你采取了什么安全策略？」「如何看待黑客攻击造成的行业脆弱性」「用户如何保护自身资产安全」4 个问题，以下是我们收集到的答案。

1、近期一系列安全事故给加密行业带来了巨大冲击，加密安全也与我们个人息息相关。你有亲身经历过一些加密安全事故吗？请分享一下。

Daii：在加密世界，骗局无处不在，我自己也遇到过不少骗子。其中印象最深的一次是在 Discord 里。当我在社区提出问题时，一个陌生人主动联系我，声称可以帮助解决问题。乍一看，这似乎是热心社区成员的善意举动，但紧接着，对方发来一个链接，并要求我在打开后输入钱包的助记词或私钥。这种套路一眼就能识破——典型的钓鱼诈骗。

最简单的防骗原则就是：不要相信任何主动联系你的陌生人，尤其是在社交平台上。如果真的需要帮助，应该在官方渠道咨询，找那些有明确身份标识的管理员或支持人员。比如，上述骗子「Tom」并没有任何管理员标识，显然是冒牌货。

在这个行业，保持警惕是基本素养。只要有人要求提供助记词、私钥，或者让你访问可疑网站，99.9% 都是骗子。

加密狗：作为一个标准的「撸毛人」，资产被盗是常有的事情，最严重的是我被盗了 10 万美元，导致我后来不再用大额钱包参与链上交互。

有一次我听说一个新的 meme 币发布，我在 X 上搜发布相关链接，不小心搜到一个伪创始人账号，从伪账号的链接点了钱包签名，一瞬间所有资产全被转出。

佐爷歪脖山：记忆犹新的是 2022 年的 FTX 事件。当时初入币圈，曾在 FTX 存放部分资产，原本以为其老美国正星条旗的 + 华尔街的声誉足以保障安全，然而突如其来的两日破产让我着实损失不小。

此外，我还曾遭遇过一次黑客社工攻击，险些泄露推特账号，幸好及时发现异常并中止了操作，但是被推特官方误伤，被戴上了恶意标签好几天。

岳小鱼的 Web3 产品之路：刚入圈时，没有安全意识，点击到了一个钓鱼网站，要求我输入助记词才能使用，刚输了一个单词，突然意识到有问题。赶紧退出去，去官推找到了真实官网。现在回想，发现很多新人其实对私钥 / 助记词没有敏感度。一定要大力宣传私钥 / 助记词的重要性。

团子财经：近些年到是没有，我印象最深的一次是 21 年打金潮，当时涌出来很多链游打金项目 axs、milit、baby 等等之类，本质都是去挖矿，当时我们源点工作室大概整了有几百个钱包去做，但是热度不长久，刚进的时候回本周期一周，第二天就变十天了后来越来越长。感觉不对马上撤退，但是授权这一块没有注意官方的推，简直是一模一样，也是怪自己没有仔细检查，导致钱包全数被黑，好的一点是当时黑客技术好像不是很牛逼，币还需要一个一个去转，第一时间我发现钱包币少了就明白是被盗了，然后争分夺秒的和黑客在抢着转币，挽回了一点损失。

Alpha Labs：个人主要链上会多一点，之前在某项目空投时候误点链接，钱包被盗。前段时间的 ADS 事件，下载了黑客入侵的小狐狸钱包，导致好几个项目颗粒无收。

Bybit 其实被曝出来的时候，我上面也有资产，但是看完他的储备之后还是相信他们的，事实也是确实处理的很棒。

刘正要律师：作为 web3.0 律师，我自己虽未亲身经历一些加密安全事故，但是我在执业中遇到不少客户经历过各种加密安全事故。举两个案例：

第一个是有一个客户 A 持有 200 多个 ETH，其在一次转账中将这些钱转给了爱人手机里的小狐狸钱包，但是转入的当时就立马被转走到一个陌生地址中。通过向妻子了解才知，妻子手机里的小狐狸钱包是她自己在网上搜索引擎中找到的一个链接下载的。A 后来找搞技术的朋友检查这个软件后，发现软件还是有后门的。我们只能建议 A 去报警处理。

第二个案例是助记词泄露。B 曾经将自己虚拟货币钱包助记词拍照保存，该手机相册有线上云同步功能。后来 B 的钱包被他人使用助记词恢复并将其中的资产转移，总额近 1000 万元人民币，B 报警后警方不予受理。我们团队帮助 B 整理证据后发现 B 的朋友、同事、家人、可能潜在的「黑客」等都有机会接触到 B 的助记词。在法律上很难溯源资产被盗的证据链路（技术上完全可以，但成本巨大），B 最终只能自担风险。

2、为保护自身加密资产安全，你采取了什么策略？

Daii：安全第一，分散存储。我采取的核心策略是使用多个钱包，避免把所有资金集中在一个地方。

具体来说，我会使用：

• 热钱包（Hot Wallet）：用于日常交易，但金额控制在较小范围，即使丢失也不会造成重大损失。
• 冷钱包（Cold Wallet）：主要存储长期持有的资产，比如比特币（BTC）。冷钱包离线存储，能最大程度降低黑客攻击的风险。
• 多签钱包（Multisig Wallet）：对于较大金额的资产，采用多签钱包提高安全性，避免单点故障。

此外，我建议大家定期备份钱包的助记词，并存放在安全的离线环境中，确保私钥绝不接触互联网。这些措施虽然会增加一点管理成本，但相比可能的损失而言，绝对是值得的。

加密狗：作为用户，我资产被盗后，我用了以下工具防止二次被盗：

（1）取消授权工具：https://revoke.cash/zh

（2）按照防钓鱼插件：https://x.com/PeckShieldAlert 、https://x.com/PocketUniverseZ 、https://x.com/realScamSniffer ；防钓鱼插件虽然不能实质性解决被钓鱼的风险，但是可以自动识别部分钓鱼网站。

我总结了 10 款安全工具，大家可以参考：https://x.com/JiamigouCn/status/1666317317658251265

佐爷歪脖山：大额资金肯定是使用硬件钱包，主力是 Ledger，将私钥完全隔离于网络环境。其次，我尽量减少在交易所的资金存放，仅保留少量用于短期交易的资产，大部分转移至冷存储。当然，双重认证（2FA）也是必须的，包括推特等平台也是，并且注意把谷歌验证器设置为离线状态，不要云同步。

岳小鱼的 Web3 产品之路：资产隔离：大额资产用冷钱包，热钱包则是分了多个钱包，包括撸空投钱包、冲土狗钱包。

团子财经：不动资产，比如比特币、以太坊，大部分都是在硬件钱包里面，少量是在交易所做波段使用。为所有加密资产账户启用双因素认证。至于钱包基本是隔一段时间换一个新的，根据钱包授权来看，授权的多了就会换。吃过亏后现在基本外部链接不会轻易去点，除非是官方媒体发出来的或者是官方推发出来的。

不要乱授权、不要乱授权、不要乱授权，重要的话说三遍。

Alpha Labs：分散原则 + 定期安全检查。

分散原则主要是冷钱包 + 交易所分散，将资金进行规划分开，避免黑天鹅事件被一锅端。链上安全的话比如安装 DefiLlama 检测插件，定期解除钱包的授权管理，防止黑客入侵的火绒安全软件等。

刘正要律师：对于小额资产可以放在交易所或者手机 APP 钱包，但是大额的加密资产一定要放到冷钱包中。

3、Bybit 等重大安全事故暴露了加密行业一定的脆弱性，加密货币因隐私性、交易不可回溯等特性成为黑客的乐园，你如何看待这个问题？

Daii：安全问题的确是加密行业面临的核心挑战之一，也正是许多新用户望而却步的重要原因。

针对中心化交易所（CEX），我始终建议：不要长期存放大额资金，尽量只在需要交易时短暂存入。CEX 看似便利，但其本质是一个「黑箱」，用户对资金几乎没有控制权，一旦遭遇黑客攻击或平台跑路，后果往往极其严重。

对于 DeFi 领域，智能合约的安全性至关重要。虽然 DeFi 提供了去中心化的金融服务，但许多项目的代码审计仍然存在漏洞。我个人的建议是：

• 对单个项目的投入不超过资金总额的 5%，这样即便某个协议被黑，也不会对整体资产造成毁灭性打击。
• 关注项目的审计报告，但不盲目迷信审计，因为审计并不代表 100% 安全。
• 优先选择头部 DeFi 协议，比如 Aave、Uniswap 等，这些项目的安全性相对更有保障。

对于新手，我的建议则更加简单直接：采用定投策略购买比特币（BTC），并存入冷钱包。冷钱包 + 比特币的组合是目前最安全、最抗风险的方式之一。我曾专门制作过两个零基础教程，帮助初学者安全入门。

虽然，加密行业的安全风险无法完全消除，但通过合理的资产管理、分散存储、冷钱包保护，我们可以最大程度地降低潜在损失，确保资产安全。

加密狗：网络安全不管是在 Web2 还是 Web3 都是重点防护对象，仅 2024 年 Web3 领域因黑客攻击、钓鱼诈骗和项目方 Rug Pull 造成的总损失达到了 24.91 亿美元。

Bybit 作为行业前 5 的 CEX，安全性做的已经非常到位了，他采用的是「多签钱包 + 冷钱包」这种目前行业内最安全的资产保管手段了。他们用很多大型团队使用的 Safe 多签钱包，设置 3/3 叠加签名、私钥物理隔离，这种模式在技术上是无懈可击的。

但黑客采用的是社会工程学攻击，直接定位了多签的几个签名人，入侵签名者的电脑，替换「恶意签名」，将钱转走了。

从 Bybit 被盗能看出，黑客会包括发钓鱼邮件、植入恶意软件，或者利用签名者个人的安全习惯漏洞（比如用弱密码、没开双重验证）来入侵设备。

好在 Bybit 扛住了这次损失，如果 Bybit 扛不住，就是又一个 FTX，甚至直接将我们行业都拖入新一轮的熊市。

佐爷歪脖山：Bybit 近期涉及 15 亿美元的重大安全事件，再次凸显了加密行业在安全领域的脆弱性。Safe 确实应该背主要的锅，但是 Bybit 在单独的冷钱包放了太多资产也难辞其咎，不过值得称道是 Ben Zhou 的应对非常及时和公开，还有没听 CZ 的主意，避免了成为第二个 SBF。

岳小鱼的 Web3 产品之路：Crypto 行业就是黑暗森林，每个人既是猎人，也是猎物。这个时候，要非常重视安全，尤其是中心化交易所，托管了大量用户的大量资产，非常容易被黑客盯上，因此需要更高安全性的资产管理体系。这是一个系统工程，有很多可以做的。

团子财经：黑客乐园这是我们无法改变并且也不能避免的事情，所以我们能做的就是不要亡羊补牢，一定要防患未然，Web3 的世界充满机遇，但也充满风险。只有保护好自己的资产，才能在这个去中心化的未来中走得更远。我们源点资本近期也在投研多个安全方面的项目，后续或许也会去做安全方面的产品。

Alpha Labs：任何行业在初始发展阶段都会迎来各种打击，个人支持去中心化做法。

如果因为自己代码上的问题或者检查不小心而造成安全事故，最后却要通过中心化做法解决这些事情，这样的做法只会让黑客更加猖獗。从另一个角度来看，发生这样的事情也是一个提醒，让机构或者团队更用心负责的保护用户的资产，才能更好的促进行业的发展。

刘正要律师：加密行业的安全基石永远是依靠强硬的网络技术，而不是中心化的政治、法律等力量。从这个角度来看，币圈从某种意义上看的确是「黑暗丛林」，只要你技术够强够硬，似乎就是可以在币圈肆无忌惮的横行霸道，危害他人，但同时也可能被更厉害的人收割。

这是加密行业的本质特征决定的：去中心化、匿名性、交易不可回溯等等。这也是目前很多人参与加密交易的原因。如果中心化的因素过多地介入加密行业，我相信很多人反而会远离币圈。

从「自我安慰式」的心态来考虑 Bybit 事件，它会让我们思考对于交易所如何构建更加安全、可靠的交易系统，使得加密行业的交易更加安全。不过从 Bybit 的立场来看，10 多亿美元的学费真的是天价了。

加密行业不仅是黑客的「乐园」，也是正向的行业建设者们的乐园，两者彼此制约，甚至相互促进。

4、保护资产安全最重要的是什么？请给普通加密用户一条建议。

加密狗：Web3 资产转出后不可拦截不可回溯，损失是无法立刻挽回的，作为行业从业者，我们还是要时刻提高安全防范意识，不要轻易详细来路不明的链接。

为了保护好自己的资产，大额资产最好采用冷钱包保存，日常交互的在线钱包，最好在浏览器上安装防护插件，遇到钓鱼链接时能够及时发现危险预警。

佐爷歪脖山：链上黑暗森林，唯有枪杆子握在自己手里才能长久。

加密货币的隐私性和交易不可回溯特性，是其去中心化理念的重要支撑，但也为黑客提供了操作空间。

从链上洗钱到针对跨链桥的攻击，这些特性在某种程度上被恶意利用，加剧了追责的难度，Vitalik 推的 Safe 出了问题沉默不语，现在又推和政府合作的 RailGun，以后大家多相信自己，少迷信权威。

岳小鱼的 Web3 产品之路：最重要的就是资产隔离，可以采用冷、温、热三层钱包体系：冷钱包放大额资产（70%），温钱包放流动性资金（20%），热钱包放小额链上交互资产（10%）。

团子财经：大家可以用我上面的策略就行，自己平时多注意，多检查。如果是资金体量不大的也不想麻烦的那就放到币安欧易就可以的。在交易所的要注意一下你的邮箱以及谷歌验证器，每笔交易都值得小心谨慎地确认和验证。

Alpha Labs：分散性原则，未来无法预知，分散资金管理才能最小化出现黑天鹅事件的亏损。

比如私钥的分开存储。长期看好资产的冷钱包存储，交易所之间的资金职能划分如合约 + 现货 + 其他等等，分开使用交易所减少暴雷损失。

刘正要律师：构建自己的「安全舒适区」：建议普通用户不要轻易尝试一些新东西，而是根据现有的成熟技术来保护自己的加密资产。

拿最为常见的出入金的交易场景为例：即使是再熟悉的交易对手，也要把每一次交易当做第一次，认真做好对方的资金、身份等的审核。