“一名黑客得到了我的助記詞，在 100 秒內(nèi)從我的 Metamask 錢包里偷走了價值 1200 美元的ETH。”

這是一位名叫Ty Cooper的Reddit用戶。不久前，他把錢包的助記詞(recovery phrase) 留在了 GitHub 的一個在線文件存儲區(qū)里，結(jié)果在不到兩分鐘內(nèi)，損失了價值 1200 美元的 ETH。更可怕的是，他還有一筆價值近700美元的 ERC20 代幣 (cETH) 鎖定在DeFi借貸協(xié)議 Compound 中，一旦他把資金從該協(xié)議中取出來，錢立刻會被發(fā)送到這個錢包里，而虎視眈眈的惡意機器人會瞬間轉(zhuǎn)走所有的ETH。

從某種意義上講，加密貨幣的交易在某種程度上是不可追蹤的，長期以來一直被吹捧為傳統(tǒng)貨幣的安全替代品，而其貨幣特性使得它們更容易受到黑客攻擊。這也是為什么在過去一年里，我們看到無數(shù)類似案例發(fā)生的原因，不僅有個人錢包賬戶被竊取，還有各種數(shù)字貨幣交易所遭到黑客攻擊，損失了數(shù)百萬美元。

此外，在以太坊網(wǎng)絡(luò)中，用戶需要支付一定的交易費用來轉(zhuǎn)移代幣。而這個時候，如果存在兩個人試圖同時轉(zhuǎn)移相同數(shù)量的 ETH，那么愿意支付更高交易費的那筆交易可能會更快被確認(rèn)。惡意機器人正是利用了這一點，每次自動提交更高的交易費，確保快速完成轉(zhuǎn)賬，竊取受害者錢包里的ETH。

雖然這種情況并不常見，但事實證明，黑客正在利用惡意的機器人程序，掃描用戶上傳至 GitHub 的內(nèi)容，搜尋加密貨幣私鑰和助記詞。

助記詞(recovery phrase) ——按特定順序設(shè)置的12個單詞的組合，允許錢包用戶恢復(fù)對加密錢包的訪問，可以說是私鑰的“最后一道防線”。如果有惡意分子獲得了你的私鑰或者助記詞，他們完全可以訪問你的錢包并獲取其中的資金。因此，警惕無意中把私鑰或助記詞上傳到公開的開源軟件庫(比如 GitHub)，或者任何其他公開的地方的行為。

此外，最好將助記符/私鑰的所有副本嚴(yán)格保持脫機狀態(tài)、非數(shù)字狀態(tài)。其次，嘗試將資金最大限度地存儲在Trezor / Ledger之類的硬件錢包中，或者是無法訪問的互聯(lián)網(wǎng)冷錢包中。