🚨接连两枪，黑客已经对准Crypto圈的信息源头——

前两天是 CMC，今天是 Cointelegraph，都被前端劫持，弹出验证钱包或空投页面，且无法关闭。

链上数据显示，CMC 已确认 39 位受害者，总损失约 1.85 万美金。

这笔钱不算多，但真正令人担忧的，是这种攻击的精准性与伪装性越来越强——许多人对每天刷的资讯网站毫无防备，信任感反而成了最大破绽。

📌散户一定要记住——

1⃣尽量不要在资讯网站连接钱包

即使是 CMC、Cointelegraph、The Block这种大站，也可能遭前端劫持。

看新闻就看新闻，尽量别连接钱包。所有钱包连接操作，只在官方 Dapp、官方链接页面进行。

2⃣使用带安全提示的钱包+插件

一些钱包和插件有“模拟签名风险”预警，一旦出现异常授权，会直接弹窗提示。

Rabby Wallet：自动模拟合约调用、标记钓鱼风险。
Wallet Guard / Pocket Universe 插件：签名前自动预警。
GoPlus Plugin：标记恶意合约，过滤钓鱼域名。

3⃣建立基本的操作习惯

用完任何网站后，断开钱包连接，不留长期开着的连接。

对于涉及授权的动作，务必确认对象和权限类型。SetApprovalForAll、Permit、delegate是高危动作，一定要确认清楚。

4⃣设备隔离，一机一用途，降低感染面

尽量不要在日常浏览器内连接主钱包去看空投、刷积分、点弹窗，做到一机一用，撸毛专机、存币冷机、操作热机，角色分清楚。

主力钱包：只存币、不连接、不乱签。
撸毛钱包：专门用来空投、铸NFT、刷任务，不存大额资产。
测试钱包：可以连接陌生项目做尝试。

还有，尽量用冷设备（旧手机或独立浏览器配置）处理敏感交易。

浏览器分 profile，不要拿撸毛的 Chrome 插件钱包干 DeFi 投资的大操作。