给加密用户的两条建议。 首先，使用完全开源的钱包。部分开源或假开源不算。完全开源意味着内部人员几乎不可能做不正当的事情，而且构建过程是公开可验证的。 为了防御供应链攻击，仅仅锁定依赖版本和使用SRI检查是不够的。你还需要锁定JS变量、在沙盒中运行代码，并强制执行严格的CSP规则。只允许白名单中的外部请求，其他请求全部阻止。这可以防止敏感数据（如助记词）被发送到伪造的服务器。 其次，使用硬件钱包。软件钱包里只存少量资金，大额资金存储在硬件钱包中以隔离风险。软件钱包提供灵活性，硬件钱包带来安心。 这里同样适用一个规则：必须是开源的。如果一个钱包声称是开源的，但其代码库多年未更新，那就不是真正的开源。这意味着运行在你设备上的代码并不是你看到的代码。可能隐藏了钩子，未经你的同意就窃取你的助记词，并通过中间件上传到他们自己的服务器。一些厂商绝对有能力做到这一点。 永远尊重安全。自由是有代价的。无论你是用户还是钱包团队，黑客总是存在。 保护好自己。