土狗千万条，安全第一条！ 链上冲狗安全手册，为每个辛苦的冲狗人，带来温暖，带来呵护，带来心灵的按摩！ 请@出你认为最需要冲狗手册的人，轻抬手指，为他送去温暖🐶 被@次数最多的人，GoPlus不单会提供1对1安全指导，我个人还会送出 2000GPS助学基金，帮助他学有所成，训狗有方！ 冲狗第一式：合约检测 Token资产基于去中心化合约发行，恶意攻击者可以通过控制合约权限，实现但不限于这些恶意行为：貔貅、RUG盘、小池子/LP未锁仓、超高买卖税等。 所以，在冲狗前，务必使用DexScreener、GMGN、AVE、Dextools等行情软件查看Token合约安全信息，这些产品均接入GoPlus Token安全API，并且动态更新，用户可以查看Token的Owner权限是否丢弃、是否可以增发、是否锁仓/燃烧LP池子，是否有买卖税、黑名单、防巨鲸等全部信息。 建议选择Token合约信息项全部安全的MEME：不是貔貅、合约已开源、Owner权限已放弃、没有买卖税、没有黑名单，且LP池子锁仓或销毁的MEME，至少不会在合约风险层面卷走你的资金。 冲狗第二式：警惕老鼠仓 关注筹码结构，有利于用户识别老鼠仓和阴谋集团，注意排名靠前的持币地址，进一步观察他们筹码的来源，如果筹码过于集中，阴谋集团操控币价的可能性提高。如果大量小额地址，地址生成时间，交易记录相近，可能是老鼠仓用于分散筹码，伺机出货。 目前GoPlus安全API已经提供完整Holder信息，可以在之前提到的行情软件中查看。 冲狗第三式：留意尾号攻击 链上地址真的很烦，对碳基生物很不友好，基本靠复制黏贴，历史记录来使用，而攻击者巧妙利用这点，通过生成同尾号地址，向你发送Token，来误导你向假地址转账。 比如你向A转了10U测试币，攻击者通过扫链，捕捉到这笔交易，就会通过相同首尾号的地址向你转一笔钱，当你正式打款的时候，看到最新一条记录就是攻击者的，如果一时疏忽，直接使用地址，U就直接打给攻击者了。 目前GoPlus安全插件，可以第一时间识别尾号攻击地址，并给出警告。 冲狗第四式：识别地址投毒 很多朋友都经历过自己的地址里莫名其妙多了代币，价格还很高，心中偷摸一算，好大一笔钱，迫不及待去卖出，发现无法在常用平台卖出，只能通过指定平台，指定软件才能卖出，如果真的尝试在这些地方卖出，那毫无意外，丢钱是必须的。 同样，不出意外的，GoPlus安全插件，可以识别这些有毒Token，并给出警告。 冲狗第五式：别点钓鱼链接 这可能是大家最常见的诈骗行为了，不管是在X上，DC里，TG上，搜索引擎里，或者是在黄网上，盗版资源网站里，攻击者通过伪造留言，账号，官网，客户端软件等方式，混淆用户理解，引导用户点击攻击合约，窃取用户签名，授权，私钥。 但受限篇幅，我们暂不展开，之后会专门出一集《演员的自我修养——那些戏精上身的钓鱼网站》来详解 同样的同样，GoPlus安全插件已支持钓鱼网站检测，第一时间帮你识别戏精。 冲狗第六式：谨防窃取私钥 现在直接在网上给攻击者输入私钥的行为确实少了，但攻击者也从简单的“我，秦始皇，打钱”进化出了各种针对私钥的攻击方式，在GoPlus接到的用户求助中，私钥丢失仍然是最主要的被盗原因。 除了私钥保管不当，多人共用同一地址这种明显错误外，还有假App，问题插件，线下攻击等方式，频率明显提高，之后都会分出单独的案例讲。 困了，先写到这，写多了你们嫌烦，也给冲狗手册一些进步的空间，更多内容，下半部再聊。 最后，记得@那个最需要你关心爱护的人，2000GPS等着Ta😁

社工，木马，拿到owner权限的说法，我不太认同，负责自动提币的人信任度够高，电脑肯定也是做好隔离的，针对这些对象发起社工，木马，不会比派个特工去线下直接签容易。 同样内鬼的说法我也不是很认同，一次提这么多钱，明显攻击方式不可复用，转这么大一笔钱到了链上，其实那都去不了，就被各安全公司，金融机构标记了，不好出来，如果是可复用的攻击方式，没必要一次搞这么大，所以内鬼的可能性不大。 问题是不是出在第三方服务上？这个需要再看看