第14章 钱包保命术:助记词、批准权限与 Revoke 清单

某空投合约:永不过期;

某未知合约:可花费任意代币。

“把这些全部Revoke,然后按需小额重新批准。”张三说,“以后凡是无限额,一律改为**交易所需额度+5%**缓冲。”

四、签名安全:别在看不懂的签名上“闭眼确认”

只签‘明确动作’:swap、approve(指定额度)、cancel。

警惕 Permit/SetApprovalForAll:这些往往给对方花钱/转NFT的许可;

模拟交易:尽量使用带模拟/仿真的钱包或前端;

域名与链ID核对:钓鱼站的 UI 可以一模一样,域名不会。

五、一次“陷阱空投”的自救

深夜,钱包里凭空多了几个奇怪代币,界面提示“可领取额外奖励”。一世差点手痒去点。

张三提醒:“别点、别授权、别卖**。很多‘空投’本身就是诱饵,合约里埋了毒——你一卖或一签,它就把你钱包掏空。”

他让一世:

标记可疑代币(自定义标签“DoNotTouch”);

过滤其交易显示(有些钱包支持屏蔽);

定期Revoke所有新近授权;

留证:把代币合约与来源地址记进黑名单。

六、设备与浏览器卫生

浏览器:单独“交易配置文件”,仅装必要扩展;

系统:定期更新;禁止从不明渠道装应用;

网络:敏感操作优先有线或自家网络;公共WIFI不签名;

反钓鱼:交易所反钓鱼码;邮箱二次验证;短信不点链接。

爽点来得悄无声息:几天后,群里有人被“空投奖励”吸走整仓;一世的“DoNotTouch”标签安安静静躺在那儿——像一盏他自己点亮的路灯。