给加密货币用户的两条建议。 首先，使用完全开源的钱包。部分或伪开源的钱包不算数。完全开源意味着内部人员几乎不可能做阴暗的事情，构建过程是公开可验证的。 为了防御供应链攻击，仅仅锁定依赖版本和使用 SRI 检查是不够的。你还需要锁定 js 变量，在沙箱中运行代码，并强制执行严格的 CSP 规则。只允许白名单中的出站请求。其他任何请求都被阻止。这可以防止像种子短语这样的敏感数据被发送到伪造的服务器。 其次，使用硬件钱包。软件钱包中只保留少量资金。将大额资金存储在硬件钱包中以隔离风险。软件钱包提供灵活性，硬件钱包提供安心。 同样的规则也适用。它必须是开源的。如果一个钱包声称是开源的，但几年没有更新其代码库，那就不是真正的开源。这意味着在你的设备上运行的代码并不是你所看到的。钩子可能隐藏在里面，在未经同意的情况下转储你的种子，并通过中间件上传到他们自己的服务器。一些供应商绝对有能力做到这一点。 始终尊重安全。自由是有代价的。无论你是用户还是钱包团队，黑客总是在那里。 保护好自己。