一、私钥 / 助记词相关损失
1. 自己遗失(单点保存、长期不管)
情景:
- 助记词只写在一张纸上,放在抽屉/书里,几年后搬家、整理时丢失。
- 用旧手机/旧电脑生成的钱包,以为“以后还能打开”,结果设备损坏、账号密码忘记、2FA 丢失。
案例要点:
- 早期 BTC/ETH 玩家:2013–2016 年挖到/买到币,金额不大就扔一边;后面牛市一看自己钱包里其实有几百万、上千万,但已经找不到助记词。
- 某人把助记词拍照存在旧 iPhone,后来手机坏掉/忘记 iCloud 账号,照片完全拿不回。
教训 / 防范:
- 助记词必须多地点离线备份,且定期确认备份还有效。
- 不要把助记词绑定在「某个设备」或「某个账号」上,以为那个东西永远不会出问题。
2. 被家人 / 室友 / 伴侣盗取
情景:
- 助记词写在纸上/本子上,放在家里显眼位置,被身边人拍照/抄走。
- 把冷钱包、硬件钱包放在家里,PIN 简单或直接记在钱包盒子上。
案例要点:
- 某人家里有冷钱包,给伴侣看过资产截图,后来感情破裂,对方利用记住的 PIN 或抄下的助记词转走资产。
- 合租室友偷看桌面上的助记词纸条/照片,一次性转走全部余额。
教训 / 防范:
- 冷钱包 ≠ 绝对安全,物理和社交维度同样重要。
- 不要让任何人知道你具体有多少资产和助记词存放位置。
- 对大额资产,考虑用多签钱包,避免单人转出。
3. 助记词/私钥存在线上:云笔记、邮箱、聊天记录
情景:
- 把助记词存在:印象笔记、Notion、微信聊天记录、Telegram 自己发给自己、邮箱草稿、Google Docs、iCloud 备忘录等。
- 这些账号在几年后因为弱密码/撞库/钓鱼被盗。
案例要点:
- 某人把助记词存在 Gmail 草稿箱;几年后邮箱被盗,攻击者自动搜索 “seed phrase / 助记词 / mnemonic” 关键词,把所有钱包转空。
- 某人为了方便,在 QQ/微信聊天里把助记词发给自己,结果电脑中木马,聊天记录被读取。
教训 / 防范:
- 「线上 = 不安全」,任何连网服务都不适合保存明文助记词。
- 如果一定要用云存储,应使用强加密工具(如本地用密码压缩/PGP 加密),上传的是加密后的文件,且密码记在完全独立的地方。
4. 存在电脑 / U 盘 / 本地文件,被病毒 / 木马拿走
你已经写了「放在电脑里遇到病毒被黑」,可以再展开成几个具体模式。
情景:
- 助记词存为 txt / doc / screenshot 在桌面或某个文件夹,电脑经常下破解软件、盗版软件。
- 下载安装所谓 “钱包管理工具/矿工软件/币价监控软件”,实际上内含木马。
案例要点:
- 木马专门扫描本地包含
seed / mnemonic / private key / 钱包等关键词的文件,打包上传给攻击者。
- 或者监控剪贴板,当发现是地址时自动替换为攻击者地址,用户复制粘贴时无察觉。
教训 / 防范:
- 不在日常上网的电脑中保存明文私钥/助记词。
- 专门准备一台“干净电脑”只用于钱包操作,系统重装后不装乱七八糟的软件。
- 转账前必须检查收款地址前后几位,而不是只看前 4 位。
二、网络钓鱼 / 恶意授权 / 假网站
1. 空投钓鱼:伪装成热门项目 / 官方的假网站
这一点你已经有一句话,我帮你分解扩展,方便你写成多个子章节。
情景:
- 推特 / TG / Discord 上看到“官方空投领取”、“Claim Airdrop”、“治理代币空投”等链接。
- 网站域名和 UI 都做得非常像真实项目,只是在结算时要求你签署
permit、setApprovalForAll之类的授权。
- 用户以为只是“签个消息”,结果是给对方整个钱包的资产授权。
案例要点:
- 某人凌晨看到“Layer2 大项目空投”,一口气在多条链上与合约交互,结果所有链上的稳定币和蓝筹资产次日全部被转走。
permit授权不需要再次签名即可被调用,攻击者一旦拿到,就可以在之后任意时间转走资产。
教训 / 防范:
- 任何要你**无限授权(unlimited allowance)**的操作都要格外小心。
- 对于大额仓位,尽量使用只读钱包地址参与交互,真正的大额资产放在另一地址。
- 不从不明来源链接进入 DApp,只从项目官网、官方推特/Discord 固定入口进入。
2. 假钱包 / 假 App / 假浏览器扩展
情景:
- 在 App Store/Google Play 上搜索“MetaMask”、“Phantom”、“OKX”等,下载到名称非常相似但其实是钓鱼钱包。
- 在浏览器插件商店搜索“钱包助手”、“Gas 优化插件”,结果是恶意扩展,能读写页面内容。
案例要点:
- 假钱包在创建钱包时偷偷上传助记词;或者在你导入助记词时直接发送给攻击者。
- 假扩展拦截你发送的交易,把收款地址改成攻击者地址,而界面上显示的还是原来的。
教训 / 防范:
- 永远通过官方网站获取下载链接,不要在商店里搜索关键字乱点安装。
- 安装后检查开发者信息、下载量、评价和更新时间。
- 对大额转账,习惯性用第二个设备(手机/硬件钱包屏幕)核对地址和金额。
3. 搜索引擎广告钓鱼 / 伪造官网
情景:
- 谷歌/必应搜索“某交易所名 + login”、“某 DeFi 项目名”,点了顶部广告位(Ad)。
- 钓鱼站通常域名与官网极为相似(多一个字母、换后缀)。
案例要点:
- 输入账号密码 + 2FA 验证后,页面提示“登录失败”,但你的所有币已经被盗。
- 或者钓鱼站要求你“重新输入助记词验证身份”。
教训 / 防范:
- 不要在任何网页输入助记词/私钥,正规平台绝不会这么做。
- 对于交易所类站点,最好把官网地址加入浏览器书签,只从书签进入。
- 注意浏览器地址栏的 HTTPS 证书信息和完整域名。
三、中心化交易所 / 托管平台风险
1. 交易所跑路 / 破产
情景:
- 小交易所高返利、零手续费,吸引大量用户充值。
- 实际上用用户资金去做高风险交易/违规操作,亏损后选择关网跑路。
- 大交易所也可能由于挪用客户资金、风控极差导致破产(FTX)。
案例要点:
- 平台突然关闭充值/提现,公告“维护”,之后再无消息。
- 政府/司法介入清算后,用户资产只能按照极低比例赔付。
教训 / 防范:
- 一定要分散交易所风险:至少两家头部平台 + 冷钱包。
- 不在任何交易所长期存放超过自己“可承受损失”的资金。
- 对高利息理财产品保持怀疑:收益越高,风险基本一定更高。
2. 监管 / 法律风险导致被冻结
情景:
- 交易所因涉嫌洗钱、偷税、非法运营,被当地监管调查。
- 平台配合调查,冻结部分或全部用户账户,短期无法提现。
案例要点:
- 某些地区的监管突变,导致本地用户资产集体被冻结、需要复杂的身份审查才能部分提取。
- 用户并没有违法,只是恰好用到了被重点审查的渠道。
教训 / 防范:
- 分散司法辖区风险(不同国家、不同监管环境)。
3. 账户被盗:密码 + 邮箱 + 手机同时被攻破
情景:
- 邮箱密码、交易所密码都类似 / 一样,用了很多年没改。
- 攻击者通过撞库/钓鱼拿到邮箱权限,然后重置交易所密码、关闭短信/谷歌验证。
案例要点:
- 用户发现账号无法登录,邮箱里有大量“安全提醒”和“密码已修改”邮件。
- 资金已被转成稳定币,分批次提到多个外部地址。
教训 / 防范:
- 邮箱安全 = 交易所/金融账户安全的地基。
- 所有跟钱有关的账号,一律使用不同的长密码 + 2FA(Authenticator)。
- 对大额账户,最好启用提币白名单 + 冷却时间(比如新增提币地址 24 小时后才能用)。
四、智能合约漏洞 / 协议被黑
1. DeFi 协议被攻击(闪电贷、预言机操纵等)
情景:
- 用户把资产存入某个看起来很正规的 DeFi 协议:借贷、稳定币、挖矿、收益聚合器等。
- 协议合约有逻辑漏洞/价格预言机可被操纵,被攻击者通过复杂交易抽走资金池大部分资产。
案例要点:
- TVL 较高的项目也可能在几年后被发现漏洞,一次性损失数千万甚至上亿美元。
- 用户资产虽然“在自己地址里”,但底层是一个有漏洞的合约控制,最终资产无法取回或严重贬值。
教训 / 防范:
- 合约 audit ≠ 绝对安全,特别是新项目/小团队项目。
- 尽量选择老牌、经过时间考验、TVL 和用户数长期稳定的协议。
- 对于大额资产,分散不同协议 / 不把全部资产压在单个合约上。
2. 跨链桥被黑
情景:
- 用户把资产从主网桥到某条侧链 / 新公链。
- 跨链桥的合约或多签管理被攻破,桥上锁仓的资产被一次性盗走。
案例要点:
- 多起著名攻击事件都是桥被黑,资金池被抽走。
- 桥上的资产被盗后,你在目标链上拿到的“映射代币”变成了无任何抵押的空气币。
教训 / 防范:
- 尽量使用官方/头部项目推荐的桥(同时也要警惕“官方桥风险”)。
- 对于非必要的链,不要桥入大额资产,只小额尝试。
- 分散链上位置,避免所有资产都依赖同一个桥的安全。
五、社工 + 骗局类
1. 冒充客服 / 官方人员骗取验证码 / 助记词
情景:
- Telegram、Discord 上有人自称“交易所客服 / 官方工作人员”,说你账户异常需要验证。
- 让你发验证码、截图谷歌验证、甚至直接要你提供助记词。
案例要点:
- 对方通常会提供伪造的工牌、假官网链接,看起来很专业。
- 受害者完全以为是在“配合官方排查问题”,一步步把隐私信息交出去。
教训 / 防范:
- 官方不会主动 DM 你;真正的客服会要求你通过工单/官网渠道联系,而不是私聊。
- 任何索要验证码、2FA、助记词的“客服”都是骗子。
- 在群里遇到“私聊你的人”,一律当骗子处理。
2. 高收益理财 / 币圈庞氏盘
情景:
- 承诺“日息 1%”、“月息 30%”、“稳稳赚不赔”,经常配合各种“导师带单”、“内部消息”。
- 早期确实按时打钱,进一步诱导你加大本金,最后平台关网或跑路。
案例要点:
- 很多庞氏盘都披着“DeFi/挖矿/量化交易”的外衣,本质就是新钱还旧钱。
- 参与者在崩盘前会短暂盈利,但最终大部分人会血本无归。
教训 / 防范:
- 任何保证高收益且无风险的,都可以默认是骗局。
- 真正的量化 / 做市 / DeFi 收益率不会长期远高于市场普通风险资产。
- 不要把对方“之前准确预测行情”当作可信的证据,很多是事后 P 图/删帖包装出来的。
3. 会议 / 线下聚会中的设备被植入木马
情景:
- 参加线下币圈会议,有人热情帮你“装钱包”、“教你撸毛”、“送你冷钱包”。
- 安装过程中偷偷记录你的助记词或修改软件版本。
案例要点:
- 有人免费赠送硬件钱包,但包装已经被打开并预先设置好(植入恶意固件)。
- 用户把资金转入新钱包后不久,就被全部转走。
教训 / 防范:
- 硬件钱包只从官网或官方渠道购买,收到后确认封条完好。
- 设置/导入助记词的过程尽量在完全独立的环境自己完成,不让任何人在旁边。
六、操作失误类(非攻击,但照样损失)
1. 转错链 / 转错地址 / 使用不兼容链
情景:
- 把 ERC-20 代币转到了只支持 BTC 的交易所充值地址。
- 把资产从某条链转到一个实际上属于其他币种的地址格式(比如把 ETH 主网的币转到某 L2 的专用地址)。
- 或者地址输入错多位,直接打到不存在的人那里。
案例要点:
- 有些错误可由平台帮忙找回(但通常费用高+不一定成功)。
- 大部分情况下,链上转账是不可逆的,转错就等于“自焚”。
教训 / 防范:
- 大额转账前永远先转一笔小额测试交易。
- 注意区分:BTC / ETH 主网 / 各 L2 / BSC / Solana 等链,搞清资产真正所在链。
- 转账填写地址时多次核对,最好使用二维码扫描或从可靠来源复制。
2. 手续费设置错误 / Gas 不足导致交易卡死,引发连锁问题
情景:
- 在链上清算/搬砖的关键时刻,因为 gas 设置过低交易迟迟不上链,被对手盘抢跑。
- 某些复杂操作中,用户误点取消/重复签名,导致一系列无法预料的状态。
案例要点:
- 清算机器人之间竞争时,gas 设置太低错失机会,导致自己仓位被清算。
- 某些合约一旦调用失败却仍然扣除费用,大量失败交易消耗了不少资金。
教训 / 防范:
- 对于关键交易(清算、平仓、大额转账),适当提高 gas,确保快速打包。
- 不熟悉合约交互时,先小额试验、看说明,再做大额操作。
七、冷钱包自身相关案例
1. 冷钱包 + 钓鱼授权 = 资产照样被转走
情景:
- 用户自认为“我已经用冷钱包,很安全”,于是大胆在各种 DApp 上无限授权。
- 冷钱包只是把私钥离线保存,但授权的逻辑完全在链上,合约只要有权限就能转走资产。
案例要点:
- 某人把冷钱包连接到新项目 DApp,看到是硬件钱包签名就完全放松警惕。
- 签名几次
approve后,攻击合约在他离线时就把所有代币转走了。
教训 / 防范:
- 冷钱包解决的是私钥存储安全问题,不是逻辑安全问题。
- 任何钱包(热/冷)都要减少「无限授权」,定期用专门工具(如 revoke.cash 等)清理授权。
- 大额资产适当分层存储:一部分在纯冷存储地址,不参与任何 DApp 交互。