原文標題：《技術|從一個錢包被盜的案例，探討Web3的安全指南》 原文作者：Chris阿法兔

事件 2022年元旦假期的某個早上，小C準備寫代碼，繼續(xù)測試Web3js的鏈上合約交易。突然發(fā)現(xiàn)自己的測試賬號（Bsc鏈）在MetaMask歸零了，明明前一晚賬戶內(nèi)還有100usd，然后查完轉(zhuǎn)賬就發(fā)現(xiàn)：

錢都沒了，錢哪去了?

背景 技術出身的小C，最近在學習區(qū)塊鏈開發(fā)。本身是專業(yè)開發(fā)者，已經(jīng)很謹慎小心了，通常都是在測試網(wǎng)絡上跑，跑完之后，再會去正式網(wǎng)絡上部署，但是沒有意識到整個產(chǎn)業(yè)目前還處在相對混亂的階段，麻痹大意，順手習慣導致造成了損失。

損失是如何造成的？ 2021年的最后一天，小C偶然看到一個賬號很有趣（這個賬號有很多活躍的交易），就追蹤了他的一些鏈上交易，然后看到了一個非常有意思的項目（有很高的年化收益率），然后就鬼使神差地連上了自己的MetaMask，然后鬼使神差的進行了approve，因為一般Web3的項目就是這個流程，approve然后轉(zhuǎn)賬就結束了。

但是令人驚呆的一幕出現(xiàn)了：點完之后，整個網(wǎng)站突然卡死了（其實在卡死這段時間，盜取者就把錢轉(zhuǎn)走了），沒有任何反應，小C當時沒當回事，把站點給關了，去做其他事情了。

過了大概一天，小C只要你approve了，不需要私鑰理論上也可以把對應的錢全部轉(zhuǎn)走。

小C進行了下溯源，大概是在一個釣魚網(wǎng)站的approve出了問題，于是追溯該轉(zhuǎn)賬記錄。

如圖，可以看到，先是approve（授權）了一個合約，授權了釣魚合約能夠?qū)~號里面BUSD進行操作，而且是沒有數(shù)量限制的。

為什么會是BUSD呢？小C回憶了一下，一進入這個

熱點：錢包