defi world如何确保您的资金安全？

加密货币的牛市也是黑客和罪犯的天堂

作为本次行业爆发的领头羊，德孚自去年下半年崛起以来，已经全面激活了整个行业，构建了德克斯、放贷、预言机、资产跨链桥等一整套德孚生态，成功运营了Uniswap、复合、AAVE等一批优质项目，等。截至6月6日，仅以太坊锁定的数字资产价值就高达；608.7亿美元。

伴随着这些新项目和新生态的兴起，行业新的阴暗面也随之诞生。闪电贷款攻击、新规诈骗、科学家垄断等各类安全事件层出不穷。

据国家区块链脆弱性数据库监测，2020年共发生103起DeFi安全事件，主要中心化在DeFi爆发后的时期。仅去年11月，就发生了25起影响更大的国防安全事件。现在，随着DeFi向BSC、heco、Solana、fantom等低成本公链的扩展，各种风险和安全问题都转移到这些新的公链上。

根据peckshield态势感知平台的数据，仅今年5月，行业内就发生了46起突出安全事件，其中25起涉及DeFi，损失高达2.8亿美元。

平衡计分卡已成为安全事故的高发期。

5月20日，松饼兔遭遇经济漏洞袭击，导致松饼价格暴跌，在短时间内从200元跌至4元，几乎为零；5月28日，BSC链上的DEX协议julswap遭到flash-loan攻击，julb短期跌幅超过95%。同一天，BSC公链的另一家DEX公司burgerswap也遭到闪贷攻击，432874多个汉堡被盗，价值约330万美元；5月30日，AMM协议腰带融资也遭到了闪电贷款的攻击，损失达620万美元。

对于已经处于信息劣势的普通用户来说，这些潜在的安全隐患使其生存环境更加恶劣。因为他们不能靠权威的监督，只能靠自救和安全的风险防范意识的培养。

那么我们怎样才能在DEFI的海洋中安全航行呢？如何在黑客的竞技场上保护钱包的资产？哪些标准和安全措施可供参考？

如何安全使用钱包？

“钱包还在，货币不见了。”这是数字货币投资者最大的悲哀。

不久前，一款名为LCS的钱包被曝光，通过在后端恶意收集用户的助记符，进行自我监控，窃取用户资产。

但是当用户导入助记符时，他们会将它们上传到接口portal-api-v3.lcs.world/user/importwallet以窃取用户的助记符。虽然他们声称是一个去中心化的钱包，但实际上他们是一个真正的中心化钱包。

截至发稿时，已从钱包被盗地址转移了近190 ETH（价值50万美元），还有少量资金被其他用户转移。

事实上，这种风险是很难防范的。最好的办法是不要在不确定钱包是否安全的前提下随意使用新的钱包产品，不要随意将资产账户导入陌生的钱包。尽量选择国际知名的主流钱包。

如果这种风险难以识别，我们可以控制钱包在使用WiFi产品时的过度授权。

众所周知，当我们使用DeFi产品时，我们将涉及数字资产的交互。第一步是授权批准。一般来说，为了避免用户重复授权，开发者会默认设置智能合约授权的最大代币数，但也会出现过度授权，即不限制最大代币数，合约可以随意调用。

在此之前，一个名叫Jhon的twitter用户遇到了这种授权合同被网络钓鱼的情况，这让他一夜之间偷走了价值14万美元的uni。其中一个重要的原因是，他赋予了合同无限使用代币的权利。

作为DeFi的参与者，你每天给很多钱包打电话，授权很多协议。您如何确定您过去是否有过这种过度授权？这里有一个方法，你可以参考。

首先，登录以太坊浏览器；https://ETHerscan.io/ 点击〖更多〗按钮，进入代币审批界面。

然后，输入需要查询的地址。查询之后，您可以清楚地看到您授权了哪些项目方和货币。

如果要取消授权，还需要连接钱包，点击左上角的“连接到Web3”登录钱包，然后通过后面的“撤销”栏取消。要取消，你还需要支付一定的汽油费。因此，如果您是知名的授权项目方，或者您经常使用产品和代币，我们不需要取消，否则取消后我们可以再次致电合同，会有额外的GAS FEE。

因此，为了避免钱包过度授权，在使用DeFi产品时，不妨仔细阅读授权声明，避免可能的风险。

钱包安全最重要的是助记词的安全。我不在这里重复了。大兴还为您的日常钱包使用整理了一些安全建议

尽量选择拥有大量用户的主流、国际知名的数字钱包，谨慎使用新钱包。另外，一定要从钱包的官方网站下载应用，以免误将应用下载到钓鱼网站

如果一定要使用新推出的钱包产品，要注意钱包应用的代码是否开源，是否通过了安全审核，团队中是否有CSO或安全负责人。这些都可能影响钱包在不断迭代升级过程中的安全性是否得到保证。

始终确保钱包助记符的安全，不要随意将助记符或私钥导入陌生的平台或钱包。

注意钱包密码的安全性，特别是在参加各种空投活动时，要警惕需要您授权才能用钱包密码登录的物品。

定期清理钱包中的授权管理。如果您已经授权了一些DeFi合同，并且有一些顾虑，不确定是否会有风险，您也可以通过一些工具取消它们，比如approved.zone；1.现金

Defi安全指南

在DeFi轨道上，比较常见的风险有：清算风险、自由损失风险和智能合约风险。前两类是资产波动造成的自然损益，属于交易层面，与宏观市场的关联性较大；后一类属于技术层面。

6月2日，央视cctv13新闻频道曝光了一种涉及技术层面的诈骗形式。在这份长达12分钟的报告中，详细介绍了相关的欺诈流程，即在Uniswap平台上任意发布虚拟货币后，只能通过修改代码进行买卖，最后通过清算流动性逃跑。

普通用户很难从技术层面区分此类攻击和欺诈行为，可以说是防不胜防。对于普通投资者来说，如果不懂技术，只能从项目方和社区发展的角度来判断自己的好坏

首先，查询项目详细信息。比如白皮书，官方推特，电报，不和和博客。这些工作可以帮助你做出判断，看看这个项目是否是欺诈，并尽可能通过这些渠道核实相关信息。

检查智能合约。通过对智能合同的发布和验证，我们可以发现一些项目的线索，特别是如果一个项目在发布前24小时才发布智能合同，可能说明项目方有事要隐瞒。

心情好的时候，不要随便冲进合同地址。在以前的动物货币市场中，合同地址在街上飞来飞去证明了保持理性的重要性。

利用来自可信网站的信息，如coingecko、coinmarketcap等，对社区传递的信息持辩证的态度。

对于DeFi产品，始终注意池中的流动性。一般来说，资金的多少直接关系到项目的生死存亡和未来。当TVL大大降低时，我们需要提高警惕

永远记住，高回报总是与高风险相匹配。投资前，做好风险预期，避免浮躁情绪，不要高估自己的能力，不要低估资本利剑的锋利。不要等到一盏明灯熄灭，你却被困在了午夜。