Ux

你一般不会在 Google 的搜索结果里点个链接，就在这个陌生的页面里操作 5 万美金的转账对吧？ 但我们每天在 Crypto 世界里做的事，本质上就是这个流程：打开网页 → 连接钱包 → 点授权/签名 → 资产不可逆地转出去。出了事，没有“撤回”、没有“冻结”、也没有“客服介入”。 ...

15亿美金的教训 就在不到一个月前，可能是史上金额最大的黑客盗窃事件发生了：黑客接管了 Bybit 的一个存有 50万枚 ETH 的 Safe 多签钱包，并立即进行了资金的转移和清洗。经过几天的调查，事情的原因浮出水面：黑客掌控了 Safe 团队的某个工程师的前端发布权限，在 Safe Web App 中注入了一段恶意代码。这段代码只针对 Bybit 多签的几个管理人的钱包生效，在他们发起转账交易时替换了实际签署的交易逻辑，于是即便页面上展示的是正常的转账交易，但是他们实际签署的是把 Safe 钱包的逻辑切换成黑客版本的授权交易。因此，即便他们转账的金额并不大，黑客还是能够把整个钱包的资金席卷一空，而不只是拿走他们要转的钱。 ...