安全 - 比特三棱镜

钱包 Drainer 是 2025-2026 年最猖獗的 Web3 攻击品类，专业化、SaaS 化趋势明显。本文不停留在"小心钓鱼"层面，而是从攻击链拆解开始，给出多签隔离、模拟交易预审、授权周期清理三条防线的完整流程，并附一份可执行的月度安全例行检查表。

2026 年 NIST 的抗量子加密标准已经走完正式化，比特币与以太坊核心圈也开始正式讨论迁移路径。这篇文章拆解 ML-KEM、ML-DSA、SLH-DSA 这几个标准在做什么，"先存后解"威胁有多现实，以及链上系统的迁移到底什么时候要开始动手。

把过去几年公开复盘的合约事故聚合起来看，会发现大多数损失并不是被新颖的零日漏洞造成的，而是反复掉进同一类老坑里。这一篇按"逻辑漏洞、经济模型漏洞、依赖外部数据漏洞、运维流程漏洞"四类梳理项目方最常踩的雷，并给出一套不算复杂但能挡住大多数事故的防御清单。

Ledger 2020 年数据泄露至今仍在被滥用——2025-2026 年出现了大规模仿冒 Ledger 和 Trezor 官方"激活信""新固件信"的邮件与实体信件钓鱼。本文从数据来源讲起，拆解三种典型骗术形态、识别细节、被骗后的应急步骤，并给出长期防御建议。

2025-2026 年 Chrome Web Store 上线了多起伪装成主流钱包或安全工具的假扩展案例，单次最高从用户钱包中转走 700 多万美元。本文拆解三起代表性案例的攻击手法、骗过审核的技巧、被发现的过程，给一份独立判断扩展是否可信的检查清单。

Passkey 钱包是 2025-2026 年钱包 UX 革命的核心方案，Coinbase Smart Wallet 是最大规模采用者。本文不复述营销话术，而是从密钥存储、设备同步、社交恢复、合约层、UI 欺骗五个攻击面把这套体系的防御边界讲清楚，并给出一份适配自己用法的风险建议。

智能合约审计是上线前最后一道把关。一文看懂审计到底审什么、常见漏洞类型、审计公司与自审计的差别，以及为什么"过审"也不等于绝对安全。

2024 年 MetaMask 用户因钓鱼累计损失超 5 亿美元。这篇文章拆开三种最常见的钓鱼攻击形态、几个真实案例、钱包内置的安全特性，以及用户端真正能挡得住的防御习惯，用一篇的篇幅讲清楚"工具能挡一半，习惯挡另一半"。

2023 年仅 SOL 链上就有数百次 Rug Pull，平均存活不超过 48 小时。本文拆解三种类型、八个红旗信号，并给出一套用工具做尽职调查的实操路径。

你以为新拆封就安全？二手或非官方渠道的硬件钱包可能在出厂前就被改装。这篇文章讲清楚硬件钱包供应链攻击的三种典型形态、几个真实事件、怎么验证开箱安全，以及选购渠道上的关键判断。

把这几条变成肌肉记忆，能挡掉绝大多数针对散户的骗局与盗窃——加密资产安全的实用清单。