https://udn.com/news/story/121591/5930339
90万积蓄全没了！他玩虚拟货币惨遭骇客入侵 “两疏失”血本无归
2021-12-01 17:36 联合新闻网 / 综合报导
近两年来比特币价格水涨船高，不少民众想靠虚拟货币翻身，却容易忽视了其背后包括匿
名性、跨国性等衍生出的高风险。一名25岁网友在脸书分享自身惨痛经验，表示接触虚拟
货币近一年，日前却遭骇客入侵，市值达90万的积蓄一夕全没了，也提出自己在投资上的
疏失，以此警示所有投资人。
原PO在脸书社团“爆料公社二社”发文表示，自己日前在使用 MetaMask 钱包（俗称“小
狐狸钱包”，为储存虚拟货币的线上钱包）遭骇客入侵，由于加密货币是浮动的，详细金
额难以估计，恐造成70至90万元的损失。
原PO表示，自己平时非常警惕，不随意进入钓鱼网站、电脑定期扫毒等，但某天却发现钱
包中的加密货币遭骇客转为他种虚拟货币、以不同网站分两笔汇出。原PO事后反省认为犯
了两疏失：一、把所有钱都统一放在一个篮子（意指钱包）；二、没有使用硬钱包（冷钱
包）储存虚拟货币，也发现国外早有许多网友发生过同样案例。
然而托管货币的线上钱包仅需12个英文字母即可登入，在 MetaMask 登入及转帐也不会留
下任何IP，因此原PO可能求助无门，找回这笔积蓄的机率极低。
根据《维基百科》介绍，随虚拟货币蓬勃发展，因应不同的使用情况也发展出不同类型的
钱包，常见可分为“热钱包”（线上钱包）及“冷钱包”（离线钱包）两种类。热钱包可
将虚拟资产储存于浏览器、手机APP上，虽然方便性高、容易操作，安全性却较低；冷钱
包则需借由类似USB的硬件设备储存虚拟资产，只有进行交易时才会连网，大大增加了其
安全性，但较不方便操作，且硬件本身价格也不低。
评论：
虾皮一堆卖冷钱包的有没有危险性阿...

意思是狐狸钱包有资安漏洞？

应该是被键盘侧录吧

天知道是不是某天连上钓鱼网站自己没注意

搞半天 交易所钱包最安全 还有2FA

交易所最大风险就是倒闭，但是会一群人陪你一起

他这个是自己上了钓鱼网站 按了approve才被领光的

我也都这样用而已，确认权限前都要看一下

财产分coinbase ftx 币安 max 币托 五家存放 总不会全爆炸

鸡蛋不要放在同一个篮子 交易所硬件钱包各放一些

大币长HOLD 分几家交易所放+1 小币才用狐狸

怕.jpg

主要是他没用冷钱包啊

再approve啊

出金/转移都要OTP或验证码(auth/email) 请问怎么盗的

楼上这是metamask

去年小狐狸有山寨的google插件

懂了..结果放交易所还真的比较安全= = 分散放前几大的

我自己是放币的官方钱包里==

买coolwallet 来放应该安全吧？

90又不是什么大钱

用离线钱包真的要知道自己在干嘛 要不然很容易被盗 中木马

买冷钱包 你怎么知道厂商有没有备份你的随机乱数

楼上是被害妄想？

我是觉得 操作钱包 可以选一台干净的电脑 只单纯操作币然后别乱点网站...蛮多人钱包中钓鱼网站被木马骇的常用工具网站直接官网存起来 要用直接点用搜寻的 可能前几个有机会跳出假的 网址要再三确认==

真要安全还是自己写冷钱包吧 存USB用树莓派离线签

我现在是比较想知道交易所钱包的风险XD

90也算是很有感的金额吧 还是会痛的放交易所搞不好都比钱包安全 当然不比冷钱包啦

担心交易所就尽量用前几大的交易所吧相对安全，倒了也有人陪 XD

备份乱数urrr 会怕自己掷骰子阿==

冷钱包也有客户名单流出 引导到木马网站的前例 非妄想最安全还是用钱包生成工具 拔掉网络头关掉wifi 完成后直接摧毁作业系统

全球最大交易所版上都不推ZZZzzz 人家还成为华人首富

用冷钱包产生的注记词可以在加一个自己设的passphrase 可以设特殊字符 就算硬件有备份也猜不到你自己设的passphrase

都不安全，分散风险才是对的，反正创钱包又不用钱

用冷钱包，电脑、手机中毒、骇客入侵，也没关系，只要你SOP作好，就没事。这就是为何要买冷钱包~~~

去中心化代表自己要有保护资产的能力

什么12个英文字母，英文单字啦！助记词稍微研究一下有90万还不研究冷钱包，这个是没有风险管控意识

自己写冷钱包怎么知道compiler有没有被埋后门，建议要操作钱包的时候用纸笔把签名算出来再key到电脑广播出去

2fa 还会有风险吗 连手机都被盗？

2FA假如用Email和短信的话都有被盗的可能用Google Autheticator又回到私钥不要外流https://tinyurl.com/yckrayje交易所最大的风险还是倒闭与封帐，封提款用DeFi本来就要有比用CeFi更高的资安意识因为用DeFi就算用硬件钱包结果乱授权合约还是一样被盗基本上只要钱包地址被授权智能合约就不能再视为冷钱包

原本用MEW最近也买了两个冷钱包不放交易所钱包 之前币宝真的傻眼

签过合约就可能外露私钥了吗？

私钥不可能外露，签合约只有可能把权限全给了别人

了解了，硬件钱包永远不要玩Defi，幸好我都是分开放硬件钱包是拿来HODL一辈子的

智能合约的复杂性非一般人可以验证的甚至很多通过审计的智能合约也是被骇所以我认为相信智能合约授权跟丢CeFi风险性差不多

智能合约风险更高吧，开发者随时都能跑路，找都找不到

你认为交易所就找得到？币安的总部到现在还没人找到ㄝhttps://tinyurl.com/yckrcwy8应该不会两个月就盖好总部了吧

请问像Ledger这种硬件钱包玩Defi还是有可能被骇吗?

至于那个币宝，继续丢给日本人装死中无论用哪一种钱包，要看清楚智能合约授权的类型并不会因为你用硬件钱包授权就无效了，那谁要用

了解，授权要看清楚才可以按，谢谢大大

就算是用硬件钱包，授权到钓鱼网站的智能合约照样有效很常见的就是钓鱼乱空头token，然后导到钓鱼网站

defi网站要注意域名 别被钓了 不然就从defillama找项目在加到我的最爱

昨天看过他的钱包地址，他明明就授权一些奇怪的东西....还说他没乱碰

自己人偷的吧

至少知道CZ是谁，defi一堆开发者连脸长啥样都看不到连打官司的机会都没有

DeFi的确很多匿名开发者，随便乱丢只会被rug pull

逻辑怪怪，定期扫毒感觉重视资安，却没有想到要用冷钱包？

不管看了多少被偷的案列 最后看到的结果几乎都是自己乱授权 热冷硬件都一样被偷光光

因电信业者的SMS 2FA被骇，电信业者没被告、要赔偿吗?

贪心乱授权，天天想要暴富 只能说活该

用热钱包感觉不如放币安

就看你觉得币安倒闭跟电脑坏掉谁的发生机率高了

我就买点币安币放币安就好