掌握七个简单易行且经过验证的安全习惯——包括启用强多重身份验证、安全签名操作、冷热钱包分离以及制定详细的恢复计划——可以有效防范钓鱼攻击、恶意授权以及虚假客服等常见威胁，从而保障你的数字资产安全。

加密安全指南

关键要点：

• 2025年上半年，数字资产被盗金额已超240亿美元，超过了2024年全年的总数。

• 日常常见陷阱如钓鱼链接、恶意授权、虚假客服等造成的损失远远大于利用复杂漏洞的攻击。

• 启用强大的双重身份验证、谨慎签名操作、冷热钱包分离以及使用干净设备，都能显著降低风险。

• 制定完整的恢复计划——包括撤销授权工具、可信支持联系人和举报渠道——能够将错误转变为可控的挫折而非灾难。

安全公司数据显示，2025年上半年，黑客攻击事件持续增长，被盗金额超过24亿美元，涉及300余起事件，已超越去年全年水平。

其中，最主要的案件为朝鲜团伙所为的Bybit盗窃案，虽推高了整体数据，但应避免将其视为唯一焦点。

绝大多数日常资产损失仍源自简单的陷阱：钓鱼链接、恶意授权、SIM卡交换以及虚假“客服”账号等欺诈手段。

值得庆幸的是，普通用户无需成为网络安全专家，也能通过一些核心习惯在几分钟内大幅提升安全水平，降低风险。

以下是2025年最值得关注的七大安全习惯：

1. 摒弃短信验证，采用抗钓鱼的多重身份验证

如果你仍然依赖短信验证码保护账户，风险极高，因为短信易被劫持或冒充。

SIM卡交换攻击仍是常用手段，执法部门不断查获与此相关的数百万资产。

更安全的方案是使用抗钓鱼的双重身份验证方式，如硬件安全密钥（YubiKey）或平台提供的安全通行密钥（FIDO2等）。

优先保障你的邮箱、交易所账户和密码管理器的登录安全。

据美国网络安全机构（如CISA）强调，此措施能有效防止钓鱼及“推送疲劳”式诈骗，绕过较弱的多因素认证（MFA）措施。

建议使用长而独特的密码短语（比单纯的复杂密码更有效），离线保存备用验证码，并仅在交易所中设置提币白名单，确保资金只能转至你的控制地址。

提醒：2025年上半年，针对加密用户的钓鱼攻击增加了40%，虚假交易所网站是主要渠道。

2. 确认签名操作的安全性：避免资金被盗和恶意授权

多数资产损失其实源于错误签名而非高端漏洞。攻击者诱导用户签署授权请求，获取无限权限，导致资金被反复转移。

常见的签名请求包括“setApprovalForAll”（全权限授权）、“Permit/Permit2”等，一旦签署，即可由黑客多次操作资产，无需再次授权。

防范方法是放慢签名流程：每次操作都要仔细阅读请求内容，确保没有欺诈行为。

在使用新去中心化应用（DApp）时，可以用临时钱包（如试用钱包）先进行少量试金动作，主资产存放在隔离的安全钱包中。同时，利用工具如Revoke.cash定期撤回未使用的授权，操作简便且费用低廉。

据追踪研究，移动端的签名行为风险最高，良好的签名习惯能大大减少资产被盗的可能性。

3. 分离热钱包与冷钱包：管理资产像银行账户一样规范

合理管理钱包，等同于管理你的银行账户：

• 热钱包（在线钱包）适合日常交易和快速使用；

• 硬件钱包或多重签名钱包是保险库，专为长期存储和高安全性设计。

将私钥离线存储几乎完全免疫恶意软件和网络攻击的威胁。

存储助记词时，建议用纸质或钢板保存，切勿上传云端或存于手机或电脑中。

为验证恢复流程安全，建议用少量资金进行测试，确保安全无误。如有高安全需求，可考虑设置BIP-39密码，虽然密码丢失等于资产无法找回。

对于大额资产或由多人管理的资金池，建议采用多重签名钱包：需要多台设备共同授权，安全性更高。

值得注意的是，2024年统计显示，私钥泄露事件占所有盗窃案件的43.8%。

4. 设备与浏览器的安全设置

设备的安全配置与钱包安全同样重要。

确保系统、应用及时更新，以修补已知漏洞。开启自动更新功能，必要时重启设备以应用补丁。

尽量减少浏览器插件数量——多个攻击发生在插件被劫持或恶意插件植入时。建议用专用浏览器或单独配置的浏览器进行加密操作，以避免个人日常使用环境中的数据泄漏（如Cookies、会话信息等）。

硬件钱包用户应关闭盲签（Blind Sign）功能，因为该功能会隐藏交易细节，一旦被欺骗，可能增加风险。

尽可能使用干净、最新的设备进行敏感操作，避免在已安装大量软件的手机上进行资产操作，缩小攻击面。

5. 转账前务必核实：地址、网络和合约

转错地址是资产损失最常见的原因。每次转账前务必核对收款地址和使用的网络（如ETH、BSC等）。

首次转账建议先做少量测试（多支付点手续费换取安心）。对于代币（Token）或NFT交易，建议通过项目官方渠道、权威数据平台（如CoinGecko）和区块浏览器（如Etherscan）验证合约地址。

与智能合约互动前，要审核代码或确认所有权，避免“钓鱼合约”。

切勿手动输入钱包地址，要复制粘贴并核对首尾字符，以防止剪贴板劫持或伪造地址。

避免直接从旧交易记录复制地址，避免尘埃攻击或伪造地址误导你重复使用被攻陷的钱包地址。

注意“空投领取”相关网站，尤其要求异常授权或跨链操作时，要特别警惕。如有疑问，应暂停操作并通过官方渠道验证链接合法性。若已授权可疑合约，应立即撤销授权再行操作。

6. 社会工程防御：警惕情感操控、任务陷阱与冒充诈骗

最危险的骗局往往来自人的心理弱点，不是技术漏洞：

恋爱和“杀猪盘”骗局通过伪造关系和虚假交易平台，诱使受害者不断投入资金或支付所谓的“解锁费”。

招聘骗局多利用社交平台（如WhatsApp、Telegram）发放微任务或小额奖励，逐步引导受害者陷入存款骗局。伪装的“客服”可能假装需要共享屏幕或窃取助记词。

识别的关键在于：正规机构和客服不会向你索要私钥，不会引导你访问仿冒网站，也不会让你通过比特币ATM或礼品卡转账。如遇此类情况，应立即终止联系。

2024年“杀猪盘”骗局相关充值次数同比增长210%，但每次充值的金额有所下降。

7. 备份与应急预案：提前做好风险应对准备

即使再谨慎的人也难免犯错。关键在于事前做好准备，将风险控制在可承受范围内。

建议离线保存一份“应急卡”，列明关键恢复信息：官方支持联系方式、可信授权撤销工具和举报渠道（如联邦贸易委员会FTC或FBI的互联网犯罪投诉中心IC3）。

遇到问题时，应立即报告，包括交易哈希、钱包地址、金额、时间以及相关截图。这些信息对于后续调查非常重要，虽然不能保证资金的快速追回，但可以帮助限制损失程度。

遇到极端情况：快速应对策略

误点恶意链接或误发资金后，应立即行动：将剩余资产转移到自己完全控制的新钱包，使用信誉良好的工具（如Etherscan Token Approval Checker或Revoke.cash）撤销旧授权。

修改密码，启用抗钓鱼的双重身份验证，退出其他会话，检查邮箱设置，确保没有异常转发或过滤规则。

之后，联系交易所或平台标记相关地址，向执法机构（如IC3）或本地监管机构举报。提供交易哈希、钱包地址、时间戳和截图，有助于案件追查，即使追回可能需时数月。

核心经验教训：坚持这七大安全习惯（加强MFA、签名注意事项、钱包冷热分离、设备安全、转账核查、社会工程警惕以及完善恢复机制），能大幅降低日常加密资产面临的风险。逐步完善，从升级2FA到养成谨慎签署的习惯，现在开始准备，能帮助你在2025年避免严重损失。

相关报道：Solana ETF竞争白热化，Bitwise以0.20%的低费率“全力出击”。