先搞清楚:你拥有的到底是什么
很多人以为,买了 NFT 就是"那张图存进了我的钱包"。这个理解会让你把力气用错地方。
实际情况是:你买的那个 NFT,归属记录写在区块链上——某个地址持有某个合约里的某个编号,这件事由链上账本说了算,公开可查。图片文件本身往往存在链下(比如 IPFS 或项目服务器),NFT 真正确权的是"谁拥有这个编号"。
那你的钱包 App 是什么?它是钥匙。钱包里保存着控制你那个地址的私钥,私钥背后又对应一组助记词(通常 12 或 24 个英文单词)。换句话说:
所以"保管 NFT"这件事,真正要保的是助记词和签名权限,而不是某个软件或某张图。下面就按这个重心来讲。
助记词是命门,这样保管
助记词(也叫种子短语、恢复短语)是整套安全的核心。谁掌握它,谁就等于拥有这个钱包的全部资产。围绕它,只有几条规则,但每一条都不能破。
- 离线抄写,异地存放。创建钱包时把这组词抄在纸上,或刻在防火防水的金属板上,放进安全的地方(最好两份、分两处存)。不要只存一份,也不要全放在同一个抽屉。
- 永远不要数字化。不截图、不拍照、不存进相册或网盘、不发到微信 / 邮箱 / 备忘录、不存进密码管理器的云端。只要它进了联网设备,就有被偷的风险。
- 永远不要输进任何网站或聊天框。正规钱包只在你"恢复钱包"时让你输入助记词,而且是在钱包软件本地输入。任何网页、任何客服、任何弹窗要你输入助记词来"验证""同步""解锁""领取奖励",无一例外都是骗局。
- 别让别人看见你抄写的过程。包括摄像头、肩后偷看。也别在录屏、直播时不小心带出来。
顺带说一句私钥:私钥和助记词是同一层级的最高权限,处理原则完全一样——绝不交给任何人、绝不输入任何网站。
热钱包和冷钱包,怎么分仓
不是所有资产都得用同样的方式存。按"用得勤不勤、值不值钱"分仓,是普通人就能做到的实用安全策略。
| 类型 | 是什么 | 适合放什么 | 主要风险 |
|---|---|---|---|
| 热钱包 | 装在手机 / 浏览器、随时联网的钱包(如 MetaMask、Rabby) | 日常小额、要频繁互动 mint 和交易的资产 | 设备联网,木马、钓鱼签名、误授权风险较高 |
| 冷 / 硬件钱包 | 把私钥隔离在离线小设备里,签名在设备上完成 | 长期持有、价值高、不常动的 NFT 和币 | 挡得住偷私钥,挡不住你自己签恶意交易;需从官方买 |
常见的做法是用两个(或更多)钱包分工:
- "日常号"(热钱包):只放愿意承担风险的小额资产,专门用来连各种网站、参加活动、试新项目。万一中招,损失有限。
- "金库号"(冷 / 硬件钱包):放真正值钱、打算长期持有的东西。它几乎不主动去连陌生网站,需要转移时才上场。
这样即便日常号在某次互动里被恶意授权坑了,金库号因为很少签东西、又有硬件隔离,被波及的概率小得多。关于钱包类型怎么选、托管和自托管的区别,可以再读第一个钱包怎么选。
定期检查并撤销旧授权
在 NFT 世界里玩久了,你会在很多市场、很多 DApp 上签过 approve(授权)。授权的意思是"允许某个合约动用我钱包里的某种资产"——挂单卖 NFT、在交易所换币,都要先授权。问题是这些授权不会自动过期,而且很多默认是"无限额度"。
这意味着:你半年前为了卖一个 NFT 而授权过的某个合约,今天可能还握着动你资产的权限。如果那个合约本身有漏洞、或当初其实是个钓鱼合约,风险就一直挂在你头上。所以要养成习惯:
- 每隔一段时间检查一次授权。用区块浏览器(如 Etherscan)的代币授权页面,或 revoke.cash 这类工具,连上钱包查看这个地址给过哪些合约授权。
- 撤销不再需要的、不认识的、额度无限的授权。每次撤销是一笔链上交易,要付一点 Gas,但这点成本换来的是把"别人能动你资产"的口子关上。
- 大额操作前后都查一遍。尤其在新平台第一次挂单、第一次互动之后,回头确认自己到底授权了什么。
撤销授权是少数"事后还能补救"的安全动作,别嫌麻烦。和它配套的另一个习惯是签名前看清内容:钱包弹出签名时,花几秒看看它要做什么,看不懂就别签。
认出假客服、假官网、假客户端
就算你助记词守得严、授权管得勤,最后一道关常常败在"被骗去主动操作"。骗子最爱用的,是冒充可信对象。
- 假客服。正规钱包和市场基本没有"私聊找你"的客服。你在社群里发个求助,几分钟内私信你"帮你解决"的,几乎都是骗子。真正的支持只在官方支持页面、官方工单里。没有任何真客服会要你的助记词或私钥。
- 假官网。钓鱼站会把域名做得只差一两个字母,或买广告排在搜索结果最上面。养成习惯:常用站点存进书签,每次从书签进;不从搜索广告、不从私信链接、不从评论区链接进。
- 假客户端 / 假插件。只从官方网站或官方应用商店下载钱包,核对开发者名称和下载量。山寨钱包 App 和假浏览器插件会在你创建或导入时把助记词偷偷上传。
- 假紧急通知。"你的钱包有风险,立即点此迁移""限时领取,错过作废"这类制造恐慌或贪念的话术,目的就是让你来不及思考。越是催你快、催你急,越要停下来。
转账时逐字核对地址
把 NFT 或币从一个钱包转到另一个钱包,是保管过程里最容易出错、又最不可逆的一步。地址错一位,资产就发到了一个没人能找回的地方。两个坑要特别防:
- 抄错 / 看走眼。地址是一长串字符,肉眼很难逐位看准。很多人只对前后几位,中间被改了都发现不了。
- 剪贴板被替换。有一种木马专门监控剪贴板,你复制了正确地址,粘贴出来却被悄悄换成骗子的地址。这类攻击专坑"复制粘贴党"。
稳妥的做法:粘贴地址后,从头到尾逐段核对,至少比对前 6 位、后 6 位和中间几段,确认和你想发的目标一致;第一次给某个地址转账时,先发一笔极小额测试,确认到账无误,再转大额。想更稳一点,可以把地址放进校验工具比对格式和归属,减少肉眼漏看。
本站的以太坊地址校验工具就是用来做这件事的:把要转入的地址粘进去,先核对一遍再动手。这一步花不了一分钟,却能挡掉很多无法挽回的损失。
一张可照做的保管清单
把上面的内容压成一张清单,平时照着做就行:
| 动作 | 做到了吗 |
|---|---|
| 助记词离线抄写、异地存两份,从不数字化 | 是 / 否 |
| 从没把助记词输进任何网站、聊天框、客服窗口 | 是 / 否 |
| 高价值资产放冷 / 硬件钱包,日常互动用单独的热钱包 | 是 / 否 |
| 硬件钱包从官方渠道购买,不买二手、不用预设助记词的设备 | 是 / 否 |
| 每隔一段时间检查并撤销旧的、可疑的授权 | 是 / 否 |
| 钱包弹签名时,看清内容再签,看不懂就不签 | 是 / 否 |
| 常用站点存书签,从书签进,不点搜索广告 / 私信链接 | 是 / 否 |
| 转账前逐字核对地址,大额先小额试转 | 是 / 否 |
常见问题
我的 NFT 到底存在哪里?是在钱包 App 里吗?
不是。NFT 的归属记录在区块链上,谁拥有它由链上某个地址说了算。你手机或浏览器里的钱包 App 并不「装着」NFT,它装的是控制那个地址的钥匙(私钥,背后对应一组助记词)。换个设备、换个钱包软件,只要导入同一组助记词,就能继续支配同一个地址里的资产。所以真正要保护的不是 App,而是助记词。
助记词截图存在手机相册里安全吗?
很不安全。相册会同步到云端,手机可能中木马、可能被借用、可能丢失,截图里的助记词就等于明文钥匙暴露在联网环境里。正确做法是离线抄写在纸上(或刻在金属板上)异地存放,永远不截图、不拍照、不发到聊天工具、不输入任何网站或客服窗口。任何要你「验证」助记词的页面或人,都是骗子。
硬件冷钱包是不是买了就绝对安全?
硬件钱包能把私钥隔离在离线设备里,挡住木马偷私钥这类攻击,是很值得的一层保护。但它挡不住你自己签错交易:如果你在钓鱼网站上用硬件钱包确认了一笔恶意授权,NFT 照样会被转走。所以硬件钱包要配合好习惯——只从官方渠道购买、签名前看清内容、定期撤销旧授权、把高价值资产和日常互动的钱包分开。
资料来源
本文涉及的安全概念,你都可以在下面这些页面自行核对:
- ethereum.org/security —— 以太坊官方的钱包安全与防钓鱼指引
- Etherscan 代币授权检查 —— 查看与撤销某地址给过的授权
- revoke.cash —— 集中查看并撤销钱包授权的常用工具
- Ledger 官网 —— 硬件钱包厂商官方页面(仅作渠道参考)
- MetaMask 支持中心 —— 助记词与签名安全的官方说明
- Etherscan —— 用地址核对链上转账与合约交互