作者：慢雾创始人 @evilcos

被盗了怎么办？

尤其是最近的 NFT 如此火热，安全意识谈再多也比不上被盗一次来的记忆深刻。当然我不希望大家被盗，只是很多时候看到很多人被盗后非常紧张、迷茫、甚至可能着急导致第二次伤害。

止损第一

止损就是让损失不要放大了。这分为至少两个阶段：

1. 眼前着急阶段。眼前的绝对是当务之急的，比如你都看到黑客正在陆续转移你的资产，你还想什么呢？赶紧抢着把剩余资产安全转移呀。有交易抢跑经验的，就抢跑。看资产类型，如果是那种可以链上冻结的，就尽可能联系冻结。有能力做链上追踪分析的发现资金转移进中心化平台，就可以联系做必要风控。

2.局面控制后阶段。局面稳住后，重点要琢磨的是如何不会出现二次、三次伤害。

保护好现场

发觉出事了，千万冷静，深呼吸三次后，一定要保护好有关现场。有几个经验供参考：

1. 针对电脑、服务器这类联网设备，一旦这些是事故主场，立即断网，但不关机（电源供电持续）。有人说如果是破坏性病毒，不关机的话，本地系统的文件就都被病毒破坏了。你说的没错，如果你的反应能快过病毒的话...

2. 除非你自己有能力，否则等待专业安全人员介入取证分析。这点很关键，我们遇到不少情况是：当我们介入做分析时，现场已经乱七八糟了，甚至关键证据（如日志、病毒文件）都出现被清理干净的情况。没有保存良好的案发现场，会对后续的分析与追踪溯源产生极大的干扰。

分析原因

分析原因的目的是了解对手，输出黑客画像。这个时候事故报告就非常重要，也叫验尸报告(Post Mortem Report)，当然国内把 Post Mortem Report 翻译为验尸报告怪怪的，我们喊事故报告就行。

我们遇到许多人被盗币后，来咨询我们怎么办，很纠结的是，许多人难以表达清晰，更别说出具清晰的事故报告了。但我觉得表达是可以练习或依葫芦画瓢出来的。比如至少把以下几点说明下：

1. 概要 1：什么人、什么时间、发生了什么事、总损失多少？
2. 概要 2：损失有关的钱包地址、黑客钱包地址、币种类型、数量，一个表格就比较清晰了。
3. 过程描述：这点才是最难的，这里需要把这个事故过程的方方面面细节点描述出来，这甚至会分析出黑客有关的各种痕迹，最终输出黑客画像（其中包括了作恶动机）

我们具体在对接时，模板会复杂的多，循序渐进的。有时候人的记忆也是有问题，甚至出现刻意隐瞒关键信息导致浪费时间或耽误了绝佳时机。所以在实际对接中，消耗是真大，我们需要用我们的经验去做好引导工作。最终和丢币的人或项目方一起出具事故报告，并不断更新这份事故报告。

追踪溯源

根据罗卡定律：凡有入侵、必留痕迹。我们只要用心查，总会有发现。这个查的过程实际上就是取证分析、追踪溯源了。我们会根据取证分析出来的黑客画像来做追踪溯源，并不断充实这个黑客画像，这是一个动态、反复的过程。

追踪溯源包含两大部分：
1. 链上情报：针对钱包地址分析资金走向，比如进了中心化交易所、混币平台等，监控预警新的转移。
2. 链下情报：这部分的情报包括：黑客的 IP、设备信息、邮箱及这几点关联碰撞出来的更丰富信息，其中包括行为信息。

根据这些情报展开的追踪溯源工作就非常多了，甚至需要执法单位的介入。

结案

当然我们都希望有个好结局，历史上披露的公共事件中我们重点参与的且有好结局的，举几个例子：
1.Lendf.Me，价值 2500 万美金
2.SIL Finance，价值 1215 万美金
3.Poly Network，价值 6.1 亿美金
我们亲历的还有许多是未公布的好结局、还行的结局。但大多数是不好的结局，挺遗憾。

我们在这些过程中积累了大量宝贵经验，希望未来能将好结局的比率提高一个台阶。这个部分就简单提到这，我并不打算详细展开，这块的知识量是巨大的，有的我也不擅长。根据不同场景，我们需要掌握的能力有：

智能合约安全分析及取证
链上资金转移分析及取证
Web 安全分析及取证
Linux 服务器安全分析及取证
Windows 安全分析及取证
macOS 安全分析及取证
手机安全分析及取证
恶意代码分析及取证
网络设备或平台的安全分析及取证
人员安全分析及取证 ...
几乎方方面面。

看到这，熟悉的人就会知道，这些知识点我在前段时间发布的黑手册里都有提到。这里特别提，是希望再次做个强调。欢迎参考更多面向 Web3 用户的安全知识：

中：https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md#%E8%A2%AB%E7%9B%97%E4%BA%86%E6%80%8E%E4%B9%88%E5%8A%9E

英：https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook#what-to-do-when-you-get-hacked