慢雾创始人余弦：助记词/私钥等敏感信息交给对安全不够负责任的钱包来守护简直就是讽刺

金色财经报道，慢雾创始人余弦在X平台发文表示，今天慢雾和MistTrack收到至少四起stETH被盗跨链到Blast主网的案子。其特征都是从明显有痕迹的地址（包括交易所）打一点ETH手续费到被盗地址，然后把stETH跨链到Blast主网并进行后续转移，最后将受害者地址剩余的一点点ETH转移到不同的ETH地址上。已知损失超100枚stETH，恐怕是群体事件。这些受害者的助记词/私钥肯定是泄露了，攻击者埋伏到Blast主网启动。 此前消息，Scam Sniffer监测显示，某地址因交互（点击了签名授权）虚假Blast空投网站损失了逾10枚质押在Aave上的BTC以及一些PANDORA，损失总额约为717,817美元。

4月29日消息，慢雾创始人余弦在 X 平台发文表示，用系统自带输入法是一种减少攻击面的好习惯（当然，如果系统输入法被发现有风险而迟迟不解决，那也得注意）。另外，助记词/私钥这种超敏感信息就不应该触网。

8月18日，OKLink安全审计团队发布推文称经过审计，欧易Web3钱包未将用户的私钥或助记词上传外部服务器。此前，慢雾安全审计也已经发布同样安全审计结果。据欧易相关负责人介绍，其Web3钱包私钥或助记词完全本地加密存储，只有用户可以解密，不触网，无泄漏风险。 据介绍，欧易Web3钱包是最全面的异构多链钱包，包含数字货币钱包、链上交易、NFT 市场、DApp 探索4大板块。支持30+公链、1000+Defi协议。

金色财经报道，慢雾创始人余弦在社交媒体上发文表示，硬件安全密钥(Security Key)是安全认证的标配之一，在2FA场景下可以很好对抗钓鱼网站，因为服务端可以验证签名是否来自预期内的域名。这种安全机制比其他类似的2FA靠谱多了。安全性：Security Key 2FA > Authenticator 2FA > SMS 2FA。虽然便利性是倒过来的。

金色财经报道，慢雾创始人余弦在X平台（原推特）表示，Vitalik推特号还真是被SIM Swap攻击了，几个细节：手机SIM卡是T-Mobile的，这个在暗网可能5K美金就可以做一次SIM Swap攻击；这个手机号虽然没拿来做 2FA，但是被用于重置了推特权限，之前他没意识到还能这样；他忘记什么时候添加的手机号。 从这可以学习到：没验证过的安全机制不是靠谱的安全机制；任何人都有踩坑的时候；人会撒谎，更别提代表人的社交账号，可能你看到的账号动态已经不是这个人本身的意愿，一定要保持怀疑且持续验证，尤其看到一个陌生链接。

金色财经报道，慢雾创始人余弦于 X 就 CoinStats 遭攻击一事发文表示：“这个 App 挺早前用过，方便看目标钱包的资产情况，这类应用挺多，就不点名了。有些是有自己的钱包功能（非得碰这个雷区），允许用户创建钱包及后续使用。我挺好奇的是 CoinStats Wallet 原则上是用户自托管的，私钥是如何成规模地泄露的，官方说法是其中的 1.3%。这种成规模泄露，且比例有限，原因是可以推测出来的，但这里就不说了。等官方披露细节。” 今日早些时候消息，CoinStats 遭攻击致 1590 个加密钱包受影响，提醒用户立即转移资金。