Security
书签规则:如何在 Web3 冲浪而不被钓鱼
执行摘要:90% 的加密黑客攻击发生是因为用户点击了错误的链接。黑客购买谷歌广告并冒充支持人员。本指南将教你“书签规则”以及如何验证合法域名。
Midjourney 提示词 (Prompts)
/imagine prompt: A search engine results page, the top result is a trap door disguised as a legitimate link, "Google Ad Scam" --ar 16:9/imagine prompt: A browser address bar magnifying glass focusing on a tiny difference (e.g., 'binance' vs 'binance-secure'), "Typosquatting" --ar 16:9/imagine prompt: A lighthouse shining a beam on a safe path through a stormy digital ocean, "The Bookmark Route" --ar 16:9
1. 谷歌广告 (Google Ad) 陷阱
你在 Google 上搜索 "Metamask" 或 "Ledger Live"。
第一个结果看起来是正确的。你点击了它。
这是一个骗局。
黑客购买 Google 广告,将他们的假网站置于真实网站之上。如果你从假网站下载钱包,它会要求你提供助记词或安装恶意软件。
解决方法: 永远不要点击“广告”或“赞助”结果。始终寻找下方的自然搜索结果。
2. "书签规则"
在加密世界中,永远不要手动输入 URL,也永远不要使用 Google 搜索敏感网站(交易所、DeFi 协议)。
- 找到一次: 前往项目的官方 Twitter/X 页面(例如 @Uniswap)。
- 点击简介中的链接: 大多数合法项目都会把官方链接放在那里。
- 收藏它: 在你的浏览器中创建一个名为“加密安全”的文件夹。
- 只使用书签: 下次你要交易时,点击书签。不要 Google 它。不要输入它。
3. 沉默即安全 (Discord/Telegram)
如果你加入一个加密项目的 Discord 服务器,你很可能会收到私信 (DM)。
“你好,我是客服。你需要验证钱包来解决你的问题。”
经验法则:
- 管理员 永远不会 先私信你。
- 客服 永远不会 索要你的助记词。
- 客服 永远不会 让你点击链接来“同步”你的钱包。
前往你的 Discord 隐私设置,关闭 “允许来自服务器成员的私信”。这可以阻断 99% 的社会工程攻击。
4. 验证 URL (拼写混淆/Typosquatting)
黑客使用“同形字符 (Homoglyphs)”——看起来像英文字母但其实不是的字符。
- 真: coinbase.com
- 假: cọinbase.com (注意 'o' 下面的点)。
始终检查 URL 栏。如果你的浏览器显示“不安全”,或者域名看起来稍微有点不对劲,请关闭标签页。
结论
互联网是一个雷区。你的浏览器书签就是你的地图。坚持走你验证过的路,忽略发到你私信里的捷径。
相关阅读: 如果你连接了 Deepfake CFO (深度伪造 CFO) 或被 杀猪盘 (Long Con) 欺骗,书签也救不了你。务必验证 人 以及 URL。
