2024年刚接触加密货币，纯纯新韭菜一颗，所有内容只是自己学习理解的记录，希望能帮助比我还新的韭菜苗茁壮成长。

分享内容不保真不保对，但保证是我自己的真实理解，要是有大佬发现错误纰漏，还请帮忙指正，感激不尽。

如果你有关注区块链，那么相信你肯定知道前几天Sui链上的龙头DEX Cetus被黑客盗了几亿美金的事儿。（目前官方说已冻结1.6亿，不知后续会如何发展）

我在的几个群里都有群友中招，其中有人还是大仓位在里面。

这件事儿在Defi群里引起了大家的讨论，很多新入圈的朋友受到冲击比较大，吓得很多人认为Defi收益和风险不成正比不想玩了。

趁着这个事儿我觉得很有必要跟新人朋友们聊聊Defi里的风险，毕竟很多新人朋友（包括我自己）进圈之前都以为Defi是稳稳的幸福，而忽视了背后的高风险。

因为我也才开始没多久，经验并不多，所以只能浅谈一些我自己知道并且真实发生过的风险，希望能给比我还小白的朋友提个醒。

永远记住：收益和风险是成正比的，天上没有白白掉馅饼的好事儿。咱们要做的就是尽量了解风险，规避风险，保留收益。

ok，废话不多说，开始今天的主题。

Defi风险（1）: 私钥/助记词泄漏/遗忘

私钥泄漏应该是最最最低级的错误了，在注册钱包的时候，app就会提醒助记词一定不要粘贴复制，不要拍照，一定要抄写在纸上，抄写好后一定要认真核对。

但就是有人不听劝。有人把助记词存在word文档里，结果电脑里有木马；有人图省事儿，直接用手机给助记词拍照，结果云存储空间里照片被盗；有人抄完之后不认真核对，结果浏览器清了缓存需要重新输助记词登陆时发现助记词错误；有人抄写完助记词后不注意保存随手乱扔，结果要用的时候找不到。

有时候真的感觉大家是不是太有钱了，助记词这么重要的东西都能如此儿戏，那里面可是真金白银呀。

这类问题最好的解决方法就是生成助记词时，老老实实抄纸上，而且要抄两遍，不仅能防止抄错，还能做一个备份。

如果你打算认真玩Defi，那么我还建议你考虑配一个硬件钱包，因为它能保证在助记词被盗的情况下，资产依然安全。

我目前用的是onekey classic1，100美金不到，网上搜搜优惠码什么的还能再打折，花这点钱去给大资金钱包做个保护还是很有必要的。

相关阅读：币圈韭菜学习笔记 - 私钥/助记词/地址/钱包/交易所

Defi风险（2）：提币时不核对链

这个应该是新手最常踩的坑，我自己就中过招。

中招的原因无非就是对各种链不熟悉，对提币的流程不熟悉，导致提币前该核对的信息没有检查到位。

比如我踩坑那次就是想取回在Scroll链上质押的WBTC，当时看币安支持Scroll链，就想当然的认为OKX也支持。

结果提币提了半个多小时一点动静都没有，研究了半天，才发现OKX根本不支持Scroll链......也是这次踩坑让我把提币流程彻彻底底弄明白了，还好只有30U，算是花钱涨智商。

其他群友还发生过很多类似的情况，比如把Sei和Sui弄混的，某条链之前交易所支持后来又不支持的.....等等等等，总之就是提币前没有认真核对链对不对，支不支持。

一般一旦出现这种错误，钱基本上就找不到了。如果你的金额数量巨大，可以考虑在推上多@几个KOL帮你发声，说不定还能弄回来一点，但何必把自己弄到这个境地呢？

这类风险的解决方案就是提币前先弄清楚关于提币的基本常识，然后提币时一定一定多加检查核对。

如果有一些链你拿不准，先去网上搜；如果没找到靠谱的答案且你身边也没靠谱的人问，那就先用1U去测试，确定跑通没问题了后再转大额资金。

相关阅读：币圈韭菜学习笔记 - 认识区块链中的常用链

币圈韭菜学习笔记 - 手把手教你如何从交易所往钱包提币

Defi风险（3）：提币时不核对地址

咱们刚刚提到提币前如果拿不准，那就先用1U测试，然后再转大额资金。这本身是个好习惯，但是有的人在跑大额资金时会偷懒，直接去使用最近的提币地址，于是就容易踩到新的坑。

你们可以仔细看一下钱包里的交易记录，在你自己转账记录的后面，有时会出现另一个很相似的转账记录，比如下面这种。

看出来里面的套路了么？有人自己创建了一个叫BNB的币，然后广播你的地址给其他地址转账的信息，让你以为最近这比转账是你自己操作的。

造假转账的这个接收地址也很有深意，和真实转账记录的接收地址比，你会发现前6位“0x2c42”一模一样，后4位“840E”几乎一样，只是差了一个大小写。

如果你粗心不仔细检查地址，那很可能就把钱转进尾号840E的地址去了。这种类似的骗局在币安MPC钱包里非常多，只要你用过币安基本就会碰到。

好在现在钱包已经升级了很多，类似的骗局都会识别标注出来提醒你，但这也只能防止这种假币。

如果对方给你真转了0.000001BNB，而你也恰好正在两个钱包之间互相转账呢？只要你不认真核对地址，总会有那么一天，等你头晕脑胀的时候亲手把钱转进别人的地址里。

解决方案就是每次转账前仔细核对地址，粘贴复制也一样要仔细核对地址，因为黑客还能劫持你的剪切板，甚至还有群友反馈设置白名单都没用，真的是只有想不到没有做不到。

Defi风险（4）：碰到“假币”

是的，你没看错，虚拟货币也有假币，我第一次知道的时候也是一脸震惊。

这里的假币其实分好多种，比如上面提到过的那个假BNB，那种就是骗子用一模一样的名字发个假币，然后摆明了来骗，来偷袭。

还有比如Trump当时刚上链的时候，各种同名Trump币满天飞，就是赌你着急忙慌做p小将时，没功夫仔细检查合约地址。

还有一种假币是貔犰币，就是只能买，不能卖，也是明目张胆的骗。

避免碰到假币的方式就是交易前仔细检查合约地址，在CoinMarketCap、CoinGecko等权威平台去查，然后自己手动比对，尽量别去推上搜，推上骗子也一大堆，全是钩子，就等着你张嘴咬呢。

Defi风险（5）：被钓鱼

咱们接着说钓鱼，如果你去推特上问合约地址的话，大概率会有一堆骗子主动私信你提供假币合约地址，还有人会给你发假的链接，只要你点了链接给予授权，那资产分分钟被转走。

那种假链接要么是冒充官网的，要么是冒充空投的，五花八门，无奇不有。

比如下面这个群友就点了冒充官推发的假空投链接，损失2个ETH。

除了推，tg和discord也是重灾区，你只要敢在官方discord提个问题，一个个热情洋溢的“官方工作人员”会主动联系你，给你提供各种你需要的链接，你要是天真的以为项目方服务真好，那结局也只能是呵呵呵了。

避免这类风险的方法很简单，那就是除非这个人你非常信任，不然所有主动联系你给你发链接的一律先视为骗子。所有链接都先去多方查验，交叉确认，确认无误后再点。

如果在某项目确实有大家都解决不了的问题，那么直接去discord上提工单，别去公共频道直接问。真的官方工作人员可不会那么热情的，几天以后能回复你工单都不错了。

除此之外，我还建议你给浏览器上装个ScamSniffer ，这样也能帮你过滤一遍可能的钓鱼链接。

注意：绝大多数人资产被盗都是因为点了钓鱼链接，然后给了授权。真正因为助记词丢失而导致的被盗事件是非常少的，所以即使你有硬件钱包，也仍然要特别注意不要被钓鱼，不然硬件钱包也没什么用。

Defi风险（6）：项目方rug跑路

有些小项目方会虚假包装自己的产品，然后随便发个不知道从哪儿抄的白皮书，再从推上找一些kol摇旗呐喊，等你投钱进去后，直接卷款跑路。

这种骗局其实比较容易避免，选项目的时候看看项目团队有没有实名公开，有没有知名投资机构，tvl高不高，代码有没有通过审计等。

以上条件如果全部满足，那基本不会出现rug的情况，以上条件如果有多条不满足，那基本确认骗子无疑。

Rug项目是非常好规避的，真正让人头疼的是下面这种风险。

Defi风险（7）：项目方被黑

如果你对计算机编程稍微有些了解，你就应该知道程序越复杂，bug就越多的道理。

智能合约也是这样，每个项目的代码中都可能隐藏着这样那样的bug，只是有些bug无伤大雅，有些bug尚未被发现，而这些bug可能就是黑客的攻击点。

除了bug外，项目方还有可能面临社会工程学方面的黑客（就是从真实社会里通过线下的人际关系去黑）。

从Defi开始以来，各种项目方被黑的事件就层出不穷，比如咱们开头说到的Cetus，我自己真实参与过的KiloEx，还有前几个月知名交易所Bybit被盗等等。

看看下面这个老哥踩过的坑，你就知道这种事儿有多常见。

这种情况咱们作为普通用户真的很难规避，我能想到最好的解决方案就是紧跟大部队，你要相信有钱的大佬们比你更在乎资金安全，他们在重仓一个项目前会用尽一切方法确认这个项目靠不靠谱。

所以TVL越高的项目，说明大佬们越认可，也间接能说明越安全。

如果一个项目暴雷，里面大佬越多，被埋资金越多，那么这个事儿被各方协作解决的可能性也就越大。

除此以外就是咱们参与项目的时候千万别all in，务必把资金分成几份，有些钱只参与安全性极高的协议，收益低点无所谓，有些钱可以去参与高风险项目，就算真被雷了也不至于伤筋动骨。

关于仓位管理我没法给出特别具体的建议，因为这跟你个人的风险偏好，赚钱能力等有非常强的关系，我只能说千万别all in。

另外，建议你养成一个项目玩完就revoke掉相关所有授权的习惯，避免陈年项目突然暴雷导致的风险。

虽说项目被黑的事件层出不穷，但也能看到相比于Defi刚出来的时期，现在已经好了很多，很多出事儿的项目最终也都有一个还算不错的结局。

我相信随着区块链行业的不断发展，被黑的事件会越来越少，并且大多数都能有一个妥善的解决方案。

相关阅读：兴高采烈去取U，结果KiloEx说它被黑了

怎么样？看完上面这些风险，你还敢来加密货币世界愉快地玩耍么？

在享受高收益之前，你有做好应对高风险的准备么？

最后，慢雾团队的著作《区块链黑暗森林自救手册》和罗曼.罗兰的一句话送给大家。

世界上只有一种真正的英雄主义，

那就是在认清生活的真相后依然热爱生活。

如果你觉得我的内容对你有帮助，还求多多点赞转发支持，给点正反馈好鼓励我继续写下去。