Hyperliquid 錢包安全：OneKey 最佳實踐

了解你嘅 Hyperliquid 錢包風險面

喺最佳實踐之前，了解你實際使用嘅「可攻擊」面會有所幫助：

• 前端風險：網絡釣魚網站、假嘅「支援」連結、惡意廣告、克隆域名。
• 簽名風險：錢包彈出視窗，要求你唔完全理解嘅訊息簽名或交易。
• 授權風險：無限嘅代幣授權，靜靜咁將消費權授予合約。
• 網絡配置風險 (HyperEVM)：添加錯誤嘅鏈參數或使用唔受信任嘅 RPC 端點。
• 操作風險：設備惡意軟件、剪貼簿劫持、憑證重用、弱嘅電郵安全。

安全主要係減少幾多呢啲面同時暴露。

最佳實踐（附帶「點解」）

1) 由 URL 衛生開始（因為大多數「駭客攻擊」都係網絡釣魚）

Hyperliquid 明確警告用戶驗證 URL 並避免假嘅應用程式。佢哋仲聲明喺任何應用程式商店都冇官方嘅 Hyperliquid 應用程式——任何聲稱有嘅都係詐騙 (Hyperliquid 支援指南)。

要做啲乜

• 將官方交易頁面加入書籤，之後只使用書籤。
• 永遠唔好相信交易 URL 嘅「贊助」搜尋結果。
• 預設將 DM、「帳戶被標記」訊息同埋「恢復服務」視為敵對。

點解有效

• 如果攻擊者可以欺騙你喺假頁面上簽名或輸入密碼，佢哋就唔需要破解密碼學。

2) 使用錢包分段：熱交易，冷儲存

一個簡單嘅規則：你嘅主要錢包唔應該係你嘅交易錢包。

推薦設置

• 冷錢包：長期持有，好少連接到 dApp。
• 交易錢包：只有你交易保證金/抵押品所需嘅資金；連接到 Hyperliquid 同埋相關嘅 dApp。
• 可選嘅 burner 錢包：測試新合約、未知連結、實驗性空投。

點解有效

• 如果你嘅交易錢包被盜用（錯誤嘅簽名或授權），損失會被限制。

3) 將每個簽名視為具有約束力嘅授權

好多用戶低估簽名，因為「佢唔係交易」。實際上，簽名通常用作授權，如果系統設計得唔好，簽名可以被重播或喺意想不到嘅情況下使用。類型化結構數據簽名 (EIP-712) 等標準嘅存在係為咗令簽名更加透明，但係用戶仍然需要閱讀佢哋簽署嘅內容 (EIP-712)。

要做啲乜

• 喺任何提及以下內容嘅提示上放慢速度：
  • Approve、SetApprovalForAll 或無限消費
  • 「簽名以繼續」但冇解釋清楚嘅操作
• 如果你嘅錢包可以喺安全螢幕上顯示詳細資訊，請依賴該螢幕，而唔係網頁。
• 如果任何嘢睇落「通用」（冇域名上下文、唔清楚嘅消費者、無法讀取嘅意圖），請拒絕。

點解有效

• 最昂貴嘅攻擊通常係「用戶批准」嘅，因為提示被偽裝成登入或驗證步驟。

4) 盡量減少授權並定期撤銷

代幣授權係 DeFi 中最常見嘅長期風險之一。喺你停止使用 dApp 之後，單個無限授權仍然可能好危險。

要做啲乜

• 首選精確授權（只批准你需要嘅嘢）。
• 每月進行清理：使用信譽良好嘅工具（例如 Revoke.cash）撤銷舊嘅授權。

點解有效

• 撤銷會減少未來合約漏洞或惡意升級路徑嘅「爆炸範圍」。

5) 鎖定真正嘅「Root 帳戶」：你嘅電郵同埋設備

錢包安全唔只係喺鏈上。如果攻擊者控制咗你嘅電郵，佢哋通常可以轉移到交易所帳戶、SIM 卡交換、社交帳戶同埋冒充支援。

要做啲乜

• 使用強 MFA（盡可能首選通行密鑰或驗證器應用程式，而唔係 SMS）。
• 保持 OS 同埋瀏覽器更新。
• 為加密貨幣使用專用嘅瀏覽器配置文件（最少嘅擴展程式，冇隨機插件）。
• 永遠唔好將助記詞儲存喺螢幕截圖、筆記應用程式或雲端硬碟中。

點解有效

• 大多數成功嘅錢包洩露都涉及竊取密碼或竊取會話，而唔係破解加密。

如果你喺美國，仲值得閱讀 FBI 嘅詐騙模式同埋危險信號，以儘早識別「投資詐騙」腳本 (FBI 加密貨幣投資詐騙指南)。

6) HyperEVM 安全：驗證網絡詳細資訊並小心新嘅前端

如果你使用 HyperEVM，請使用嚟自 Hyperliquid 文件嘅官方參數添加網絡（鏈 ID、RPC URL、瀏覽器）。Hyperliquid 提供咗主網詳細資訊（鏈 ID 999，RPC https://rpc.hyperliquid.xyz/evm) (點樣使用 HyperEVM)。

仲要注意：Hyperliquid 文件聲明冇官方嘅 EVM 前端組件；互動係通過 JSON-RPC 進行嘅，並且可能存在第三方前端 (HyperEVM 概述)。

要做啲乜

• 使用官方嘅網絡配置值。
• 對於全新嘅 HyperEVM dApp 要小心——將佢哋視為未知合約。
• 避免喺聊天室中發布嘅「隨機 RPC」端點。

點解有效

• 錯誤嘅網絡端點同埋唔受信任嘅前端可能會導致你簽署你唔打算簽署嘅交易。

7) 了解橋接同埋基礎設施風險（即使你做啱所有嘢）

協議端風險係真實存在嘅。Hyperliquid 嘅橋接合約已經接受咗第三方安全審查（例如，Zellic 發布嘅評估）(Zellic Hyperliquid 審計報告)。

要做啲乜

• 唔好將唔必要嘅餘額暴露喺交易/橋接風險中。
• 定期將利潤轉移返冷儲存。
• 首先用少量金額測試新嘅流程。

點解有效

• 良好嘅個人安全唔可以完全消除智能合約或基礎設施風險，但係可以減少暴露時間同埋規模。

快速事件清單（如果你懷疑你簽署咗啲唔好嘅嘢）

• 斷開網站連接並關閉標籤。
• 立即撤銷代幣授權 (Revoke.cash)。
• 如果你懷疑密鑰/會話被盜用，請將剩餘嘅資金轉移到新嘅地址（最好係冷儲存）。
• 掃描惡意軟件；輪換密碼並重置電郵/社交/交易所帳戶嘅會話。
• 僅使用官方嘅 Hyperliquid 渠道嚟獲取支援同埋狀態檢查 (Hyperliquid 支援指南)。

OneKey 硬件錢包最適合嘅地方

OneKey 錢包喺犯錯代價高昂嘅時刻最有價值：簽名同埋批准。通過保持私鑰離線並要求對操作進行物理確認，硬件錢包有助於防禦：

• 無法提取你嘅密鑰嘅惡意軟件
• 依賴快速、粗心嘅批准嘅網絡釣魚流程
• 嚟自錯誤設備/帳戶上下文嘅意外簽名

如果你對加密貨幣安全好認真，請將硬件支持嘅簽名與分段（冷錢包 vs 交易錢包）同埋常規授權衛生結合使用。呢個組合解決咗 Hyperliquid 用戶今日擔心嘅大多數現實世界嘅損失情況。