Bitget Wallet 钱包升级签名防护机制，防范多种安全风险

Bitget Wallet （原 BitKeep） DApp 浏览器作为开放的 Web3 生态入口，用户可以通过输入网址，登录访问任意独立项目方开发的 DApp。但市场上的 DApp 五花八门，用户在进行钱包连接、授权签名的过程中，如果遇到有潜在风险的签名类型，授权签名了钓鱼合约，就容易引发资产被窃取。

比如一些钓鱼网站滥用 eth_sign 签名来进行「盲签」欺诈，诱导用户签署一条完全不理解的、看似无害的消息，但实际上可能是一条转账指令，导致用户资金被转移。

Bitget Wallet （原 BitKeep） 钱包最近版本中进一步增强了签名授权安全机制和风险提示，包括 eth_sign 风险签名提示，以及针对风险域名、钓鱼网站、风险收币地址及合约的提示，以加强用户资产安全保护力度。

防范风险域名｜钓鱼网站风险提示

用户常面临钓鱼网站的危险，比如黑客或骗子以简单的钓鱼网站和高收益承诺，吸引用户进行钱包连接和进行授权，获取用户账户的转账权限并窃取资产。

为此，Bitget Wallet （原 BitKeep） 优化了对第三方网站的风险提示作为第一道防线，在用户访问诈骗网站和遭遇钓鱼之前发出预警。

Bitget Wallet （原 BitKeep） 通过与第三方安全机构合作，接入 Github 开源库和 Go+ 接口来识别钓鱼网站。在用户访问 DApp 并打开未知链接时，Bitget Wallet （原 BitKeep） 会检测网站域名是否在黑名单域名库中，如果属于钓鱼或风险网站，Bitget Wallet （原 BitKeep） 会弹出安全提示，警告用户该网站存在风险。

防范风险地址｜转账风险提示

在用户转账时，为了帮助用户规避「貔貅盘」地址、异常代币地址、风险合约地址等安全隐患，Bitget Wallet （原 BitKeep） 通过接入 Go+ 开源安全地址库，识别十几种风险类型的地址、合约，并进行风险标记和提示。当用户向这些风险地址或合约转账时，Bitget Wallet （原 BitKeep） 会提示用户该操作存在风险。

例如，当检测到转账收币地址属于风险类型时，Bitget Wallet （原 BitKeep）可能会弹出如下警告：

同时请注意，鉴于欺诈手法的隐蔽性和变化性，未收到提示并不意味着操作 100% 安全，用户仍需提高警惕，加强判断能力，在访问第三方网站和转账时注意保护好自己的资产安全。

防范风险签名｜eth_sign 风险签名提示

区块链用户面临的安全风险之一来自签名操作。签名是确认交易发起者身份的过程，它需要调用钱包的私钥和加密算法对指令进行数字签署。尽管签名可以不需要上链，甚至可以离线进行，但这并不意味着没有风险。

区块链的签名方式，尤其是使用 eth_sign 签名，具有很大的权限，代表用户同意了之后的所有签名类型，因此需要用户和开发团队都格外谨慎。

eth_sign 是一种潜在风险很大的签名类型，也是许多欺诈案例中使用的签名方法，它的风险在于，用户可能不完全理解他们在签名什么，也无法检查签名代表的具体内容，因为 eth_sign 的输入是原始字符，而不是文字格式，并不能看出其含义内容，这就是在签署一份你读不懂的语言写成的合同，被称为「盲签」。

恶意第三方可能利用这一点，诱导用户签名一条自己并不理解的消息，比如交易或智能合约的指令，这可能导致用户资金被无限制地转移。

为了防范此类风险，Bitget Wallet （原 BitKeep） 在用户使用 eth_sign 进行消息签名时，会弹出风险警告，提示用户该操作可能存在潜在风险，让用户谨慎评估签名操作是否必要和安全。只有用户点击确认后，才会进入签名页面。

在以上多重安全防护的基础上，Bitget Wallet （原 BitKeep） 未来还将推出一键取消授权、授权信息整理等功能，并增加恶意授权主动风险提醒，提升安全系统的整体性能。

Bitget Wallet （原 BitKeep） 团队提醒大家，在链上授权、签名、转账之前请保持时刻警惕，查验信息来源途径，每个人的安全意识才是最重要的防线，如果你发现了疑似风险的 token、合约、DApp，请向我们反馈。

联系我们：官网︱Twitter︱Telegram︱Discord