掌握七个简单易行且经过验证的安全习惯——包括强化双重身份验证、签名安全、冷热钱包分离及制定详细的恢复计划——可以有效地防范钓鱼攻击、恶意授权以及虚假客服等各种常见威胁，有效保障个人资产的安全。

关键要点：

• 2025年上半年加密资产被盗金额已超过240亿美元，超过了2024年全年的总和。

• 日常中的钓鱼、恶意授权以及假“支持”渠道造成的损失远超复杂漏洞利用所带来的风险。

• 采用强大的双重身份验证、谨慎签名、冷热钱包分离以及使用干净的设备能显著降低损失风险。

• 制定应急回暖计划——包括撤销权限的工具、可信的联系方式以及举报渠道——可以让错误变成教训而非灾难。

根据安全企业的统计，2025年上半年加密货币相关的黑客事件持续增加，总被盗金额超过24亿，涉及逾300起事件，已超越去年全年数据。

调查显示，此次事件中由朝鲜相关团体发起的Bybit盗窃案尤为引人关注，推动了整体数据的飙升，但用户不应因此忽视其他潜在威胁。

大多数日常的资产损失源于简单的陷阱：钓鱼链接、被恶意授权的钱包、SIM卡交换、虚假的客服账号等。

令人欣慰的是，即使不是安全专家，普通用户也能通过几个核心习惯（只需几分钟设置完成）显著提升账户安全水平，降低被攻击的风险。

以下是2025年最值得掌握的七个安全习惯：

1. 放弃短信验证：采用抗钓鱼的双重身份验证

如果依然通过短信验证码保护账户，安全风险极大。

SIM卡交换攻击依旧普遍，犯罪分子利用此手段盗取钱包资产，相关案件中涉及数百万美元的资产被窃取。

应选择更安全的验证方式，比如硬件安全密钥（如YubiKey）或平台提供的通用密钥，称为抗钓鱼的双重身份验证（2FA）。

重点保护最重要的登录入口，如邮箱、数字货币交易所和密码管理器账户，避免单点失守带来的巨大风险。

根据美国国家网络安全局（CISA）等机构建议，启用强而长的独特密码短语，并储存好备用验证码（离线存放），同时在交易所设置提币白名单，只允许信任地址转账。

值得一提的是，2025年上半年针对加密用户的钓鱼攻击增长了40%，虚假交易所网站成为主要攻击渠道。

2. 保障签名安全：避免资金被盗和滥用授权

很多资金丢失并非由于技术漏洞，而是因为签名时的疏忽或误操作。

黑客常常诱导用户对欺诈性交易签名，尤其是“setApprovalForAll”或“无限授权”等请求，一旦用户授权，黑客即可无限制转走资金，且无需再次同意。

防范措施包括：放慢签名速度，仔细阅读每项授权请求，避免盲目签署重要权限。

首次使用新应用（DApp）时，建议用临时钱包进行测试操作，主钱包资产存放在隔离的保险库中。此外，定期使用Revoke.cash等工具撤销未使用的授权，也能有效降低被滥用的风险，且操作简便、手续费低廉。

研究显示，移动端的签名误操作日益频繁，养成良好的签名习惯对阻断黑客的攻击链极为关键。

3. 热钱包与冷钱包：合理划分存储与支出

钱包管理应与银行账户一样，合理分工以提升安全性。

• 热钱包：如同支票账户，适合日常交易和快速操作。

• 冷钱包：如硬件钱包或多重签名钱包，是资产的“保险箱”，专为长期安全存储设计。

私钥离线存放极大降低被黑客远程攻击的风险，应避免存放在手机、电脑或云端。建议将助记词写在纸张或金属板上，妥善保存，不要存于容易丢失或被黑的设备上。

在操作大额资金前，可先用少量测试转账，确保恢复流程无误。若条件允许，还可以设置BIP-39密码，尽管这会增加丢失密码的风险，但能在一定程度上提升安全性。

对于需要多人管理的资金池，建议使用多重签名（Multi-Sig）钱包，需多个设备或持有人共同签名，才能完成交易，大幅提高防盗能力。

根据统计，2024年因私钥泄露造成的资产被盗比例已达43.8%，强调私钥管理的重要性。

4. 设备与浏览器的安全维护

设备的安全配置关系到钱包安全。

确保操作系统、浏览器和钱包软件都启用自动更新，及时修补安全漏洞；尽量避免使用大量插件，以免插件被植入恶意代码或被劫持。

建议使用专用或隔离的浏览器环境进行加密操作，防止登录信息和cookie被泄露到日常浏览中，增加攻击难度。

硬件钱包用户应关闭盲签（Blind Sign）功能，避免隐藏交易内容，减少被诈骗的风险。

日常操作中，应在干净、最新的设备上处理敏感信息，避免在手机或不受信任的设备上进行关键交易，从而最大程度降低被攻击的可能性。

5. 转账前的仔细核实：地址、网络与合约

转错地址是资产损失的重要原因。每次转账前务必核查收款地址和所用网络是否正确。

首次转账建议先进行小额试转，支付一些手续费以确保无误。涉及代币或NFT时，应通过官方渠道、可靠的区块链浏览器（如Etherscan）验证所用合约的准确性和所有权。

与合约交互前，应检查代码是否经过审计，或通过第三方认证。切勿手动输入地址，建议复制粘贴后确认末尾字符的正确性，避免剪贴板被篡改导致的攻击。

避免直接从交易历史复制地址，防止“尘埃攻击”或伪造记录误导。对于“空投”活动或需要授权的网站，要特别警惕异常的请求，必要时暂停操作并确认链接可信度，避免授权可疑合约甚至跨链操作带来的风险。如发现已授权有风险的合约，务必立刻撤销权限再进行下一步操作。

6. 社会工程攻击的识别与防范：情感、任务与冒充

很多诈骗都利用人的心理弱点，比如伪造恋爱关系、“杀猪盘”、虚假交易平台、微任务招聘、冒充客服等手段诱骗受害者上钩。

快捷识别方法：真实的客服不会索要私钥，不会引导你访问仿冒网站，更不会要求通过比特币ATM或礼品卡支付。如遇到类似请求，应即刻停止联系，勿轻信任何承诺或指引。

据统计，2024年“杀猪盘”被骗的充值次数同比增长约210%，但平均每次充值金额显著下降，说明受害者逐步警觉，但仍需加强防范意识。

7. 充足的恢复预案：让错误变得可控

即使是最谨慎的人也有可能犯错。预先做好准备可以将潜在的灾难降至最低。

建议离线保存一份“应急卡”，列明关键的恢复资源，如官方客服联系方式、可信的撤销授权工具和举报渠道（如联邦贸易委员会、FBI的IC3网站）。

出现问题时，应及时提供交易哈希、钱包地址、金额、时间戳及相关截图作为证据，帮助追踪和处理相关案件。这些信息常被执法机构用以关联案件或追查嫌疑人。

虽然资金不能立即追回，但完善的应对策略能最大程度减少损失，将损害控制在可承受范围内。

应对最坏情况的后续措施

若误点恶意链接或误转资金，应立即行动：将剩余资产转移到新生成的完全控制的钱包，利用Etherscan Token Approval Checker或Revoke.cash等工具撤销旧有的权限，阻断黑客的进一步操作。

更改账户密码，开启抗钓鱼的双重认证，退出所有会话，并检查邮箱设置，确认未被篡改或自动转发邮件。

联系交易所或平台，标记受到攻击的目标地址，向相关执法或举报机构（如IC3）提交详细报告，包括交易哈希、钱包地址、时间和截图，以便追踪和阻截后续攻击行动。

核心经验总结：遵循这七个安全习惯（强化MFA、谨慎签名、冷热钱包分离、设备安全、转账前核查、社会工程防范和恢复预案），能够大幅降低日常遭受攻击的风险。

从简单优化自己的2FA和签名习惯开始，逐步完善安全措施，2025年能帮你避免重大财产损失，安心迎接未来的挑战。

相关推荐：Solana ETF竞争加剧：Bitwise以0.20%的超低费率“认真”切入市场