隨著區塊鏈市場商業模式的不斷豐富,安全問題也不斷暴露,其中錢包安全事件屢曝不止。
4月13日,Electrum 錢包遭受黑客攻擊,黑客利用其錢包漏洞,竊取用戶密鑰,導致資金被盜。
5月7日,黑客利用幣安熱錢包安全漏洞,訪問大量用戶應用程序接口密鑰(API keys)、雙因素身份驗證碼(2FA碼)、以及其他信息,從中盜取7000枚比特幣。
而近日又有一起錢包被盜事件發生。據相關媒體報道,有網友爆料 My Dash Wallet 錢包存在安全漏洞、導致用戶錢包內資金被盜取。
針對一事,成都鏈安技術團隊做出詳細分析:
其主要原因在於在線錢包用戶在創建 HD 錢包和解鎖 HD 錢包時,網頁插件會將用戶的 keystore 加密數據以及解密密碼以 post 的方式發送到某個地址。
具體分析步驟如下:
在創建 HDWallet 以後,網頁會直接向服務器以 POST 的方式傳送數據,如圖所示:
隨著區塊鏈市場商業模式的不斷豐富,安全問題也不斷暴露,其中錢包安全事件屢曝不止。
4月13日,Electrum 錢包遭受黑客攻擊,黑客利用其錢包漏洞,竊取用戶密鑰,導致資金被盜。
5月7日,黑客利用幣安熱錢包安全漏洞,訪問大量用戶應用程序接口密鑰(API keys)、雙因素身份驗證碼(2FA碼)、以及其他信息,從中盜取7000枚比特幣。
而近日又有一起錢包被盜事件發生。據相關媒體報道,有網友爆料 My Dash Wallet 錢包存在安全漏洞、導致用戶錢包內資金被盜取。
針對一事,成都鏈安技術團隊做出詳細分析:
其主要原因在於在線錢包用戶在創建 HD 錢包和解鎖 HD 錢包時,網頁插件會將用戶的 keystore 加密數據以及解密密碼以 post 的方式發送到某個地址。
具體分析步驟如下:
在創建 HDWallet 以後,網頁會直接向服務器以 POST 的方式傳送數據,如圖所示:
Form Data:為 Base64 編碼後的數據。具體如下:
隨著區塊鏈市場商業模式的不斷豐富,安全問題也不斷暴露,其中錢包安全事件屢曝不止。
4月13日,Electrum 錢包遭受黑客攻擊,黑客利用其錢包漏洞,竊取用戶密鑰,導致資金被盜。
5月7日,黑客利用幣安熱錢包安全漏洞,訪問大量用戶應用程序接口密鑰(API keys)、雙因素身份驗證碼(2FA碼)、以及其他信息,從中盜取7000枚比特幣。
而近日又有一起錢包被盜事件發生。據相關媒體報道,有網友爆料 My Dash Wallet 錢包存在安全漏洞、導致用戶錢包內資金被盜取。
針對一事,成都鏈安技術團隊做出詳細分析:
其主要原因在於在線錢包用戶在創建 HD 錢包和解鎖 HD 錢包時,網頁插件會將用戶的 keystore 加密數據以及解密密碼以 post 的方式發送到某個地址。
具體分析步驟如下:
在創建 HDWallet 以後,網頁會直接向服務器以 POST 的方式傳送數據,如圖所示:
Form Data:為 Base64 編碼後的數據。具體如下:
解碼後數據為:
隨著區塊鏈市場商業模式的不斷豐富,安全問題也不斷暴露,其中錢包安全事件屢曝不止。
4月13日,Electrum 錢包遭受黑客攻擊,黑客利用其錢包漏洞,竊取用戶密鑰,導致資金被盜。
5月7日,黑客利用幣安熱錢包安全漏洞,訪問大量用戶應用程序接口密鑰(API keys)、雙因素身份驗證碼(2FA碼)、以及其他信息,從中盜取7000枚比特幣。
而近日又有一起錢包被盜事件發生。據相關媒體報道,有網友爆料 My Dash Wallet 錢包存在安全漏洞、導致用戶錢包內資金被盜取。
針對一事,成都鏈安技術團隊做出詳細分析:
其主要原因在於在線錢包用戶在創建 HD 錢包和解鎖 HD 錢包時,網頁插件會將用戶的 keystore 加密數據以及解密密碼以 post 的方式發送到某個地址。
具體分析步驟如下:
在創建 HDWallet 以後,網頁會直接向服務器以 POST 的方式傳送數據,如圖所示:
Form Data:為 Base64 編碼後的數據。具體如下:
解碼後數據為:
本地下載 MyDashWallet.HDSeed 後,打開文件獲取數據如下:
隨著區塊鏈市場商業模式的不斷豐富,安全問題也不斷暴露,其中錢包安全事件屢曝不止。
4月13日,Electrum 錢包遭受黑客攻擊,黑客利用其錢包漏洞,竊取用戶密鑰,導致資金被盜。
5月7日,黑客利用幣安熱錢包安全漏洞,訪問大量用戶應用程序接口密鑰(API keys)、雙因素身份驗證碼(2FA碼)、以及其他信息,從中盜取7000枚比特幣。
而近日又有一起錢包被盜事件發生。據相關媒體報道,有網友爆料 My Dash Wallet 錢包存在安全漏洞、導致用戶錢包內資金被盜取。
針對一事,成都鏈安技術團隊做出詳細分析:
其主要原因在於在線錢包用戶在創建 HD 錢包和解鎖 HD 錢包時,網頁插件會將用戶的 keystore 加密數據以及解密密碼以 post 的方式發送到某個地址。
具體分析步驟如下:
在創建 HDWallet 以後,網頁會直接向服務器以 POST 的方式傳送數據,如圖所示:
Form Data:為 Base64 編碼後的數據。具體如下:
解碼後數據為:
本地下載 MyDashWallet.HDSeed 後,打開文件獲取數據如下:
MyDashWallet.HDSeed 中的加密的數據與上傳的 a2c 數據中 “ks” 數據相同。
Seed 文件存儲在本地,如下所示,可通過 js 腳本直接獲取到 seed 的值。
隨著區塊鏈市場商業模式的不斷豐富,安全問題也不斷暴露,其中錢包安全事件屢曝不止。
4月13日,Electrum 錢包遭受黑客攻擊,黑客利用其錢包漏洞,竊取用戶密鑰,導致資金被盜。
5月7日,黑客利用幣安熱錢包安全漏洞,訪問大量用戶應用程序接口密鑰(API keys)、雙因素身份驗證碼(2FA碼)、以及其他信息,從中盜取7000枚比特幣。
而近日又有一起錢包被盜事件發生。據相關媒體報道,有網友爆料 My Dash Wallet 錢包存在安全漏洞、導致用戶錢包內資金被盜取。
針對一事,成都鏈安技術團隊做出詳細分析:
其主要原因在於在線錢包用戶在創建 HD 錢包和解鎖 HD 錢包時,網頁插件會將用戶的 keystore 加密數據以及解密密碼以 post 的方式發送到某個地址。
具體分析步驟如下:
在創建 HDWallet 以後,網頁會直接向服務器以 POST 的方式傳送數據,如圖所示:
Form Data:為 Base64 編碼後的數據。具體如下:
解碼後數據為:
本地下載 MyDashWallet.HDSeed 後,打開文件獲取數據如下:
MyDashWallet.HDSeed 中的加密的數據與上傳的 a2c 數據中 “ks” 數據相同。
Seed 文件存儲在本地,如下所示,可通過 js 腳本直接獲取到 seed 的值。
在解鎖錢包時,網頁會會直接以 POST 的方式傳送 a2c 數據,數據跟上面創建錢包時傳輸的數據一樣。
攻擊手法:
通過查看網頁源碼,generateKeystoreFile() 函數內容如下:
隨著區塊鏈市場商業模式的不斷豐富,安全問題也不斷暴露,其中錢包安全事件屢曝不止。
4月13日,Electrum 錢包遭受黑客攻擊,黑客利用其錢包漏洞,竊取用戶密鑰,導致資金被盜。
5月7日,黑客利用幣安熱錢包安全漏洞,訪問大量用戶應用程序接口密鑰(API keys)、雙因素身份驗證碼(2FA碼)、以及其他信息,從中盜取7000枚比特幣。
而近日又有一起錢包被盜事件發生。據相關媒體報道,有網友爆料 My Dash Wallet 錢包存在安全漏洞、導致用戶錢包內資金被盜取。
針對一事,成都鏈安技術團隊做出詳細分析:
其主要原因在於在線錢包用戶在創建 HD 錢包和解鎖 HD 錢包時,網頁插件會將用戶的 keystore 加密數據以及解密密碼以 post 的方式發送到某個地址。
具體分析步驟如下:
在創建 HDWallet 以後,網頁會直接向服務器以 POST 的方式傳送數據,如圖所示:
Form Data:為 Base64 編碼後的數據。具體如下:
解碼後數據為:
本地下載 MyDashWallet.HDSeed 後,打開文件獲取數據如下:
MyDashWallet.HDSeed 中的加密的數據與上傳的 a2c 數據中 “ks” 數據相同。
Seed 文件存儲在本地,如下所示,可通過 js 腳本直接獲取到 seed 的值。
在解鎖錢包時,網頁會會直接以 POST 的方式傳送 a2c 數據,數據跟上面創建錢包時傳輸的數據一樣。
攻擊手法:
通過查看網頁源碼,generateKeystoreFile() 函數內容如下:
其中生成 enryptedData 時,需要傳入 key 和錢包的密碼,用於加密生成 HDSeed 文件。
解鎖錢包的 unlockKeystore() 函數內容如下:
隨著區塊鏈市場商業模式的不斷豐富,安全問題也不斷暴露,其中錢包安全事件屢曝不止。
4月13日,Electrum 錢包遭受黑客攻擊,黑客利用其錢包漏洞,竊取用戶密鑰,導致資金被盜。
5月7日,黑客利用幣安熱錢包安全漏洞,訪問大量用戶應用程序接口密鑰(API keys)、雙因素身份驗證碼(2FA碼)、以及其他信息,從中盜取7000枚比特幣。
而近日又有一起錢包被盜事件發生。據相關媒體報道,有網友爆料 My Dash Wallet 錢包存在安全漏洞、導致用戶錢包內資金被盜取。
針對一事,成都鏈安技術團隊做出詳細分析:
其主要原因在於在線錢包用戶在創建 HD 錢包和解鎖 HD 錢包時,網頁插件會將用戶的 keystore 加密數據以及解密密碼以 post 的方式發送到某個地址。
具體分析步驟如下:
在創建 HDWallet 以後,網頁會直接向服務器以 POST 的方式傳送數據,如圖所示:
Form Data:為 Base64 編碼後的數據。具體如下:
解碼後數據為:
本地下載 MyDashWallet.HDSeed 後,打開文件獲取數據如下:
MyDashWallet.HDSeed 中的加密的數據與上傳的 a2c 數據中 “ks” 數據相同。
Seed 文件存儲在本地,如下所示,可通過 js 腳本直接獲取到 seed 的值。
在解鎖錢包時,網頁會會直接以 POST 的方式傳送 a2c 數據,數據跟上面創建錢包時傳輸的數據一樣。
攻擊手法:
通過查看網頁源碼,generateKeystoreFile() 函數內容如下:
其中生成 enryptedData 時,需要傳入 key 和錢包的密碼,用於加密生成 HDSeed 文件。
解鎖錢包的 unlockKeystore() 函數內容如下:
兩個函數都調用了 CryptoJS.AES.decrypt() 函數。
當輸入解鎖錢包密碼後,網頁向服務器傳輸數據,Initiator 是 CryptoJSlibByteArray.js:753,其內容如下:
隨著區塊鏈市場商業模式的不斷豐富,安全問題也不斷暴露,其中錢包安全事件屢曝不止。
4月13日,Electrum 錢包遭受黑客攻擊,黑客利用其錢包漏洞,竊取用戶密鑰,導致資金被盜。
5月7日,黑客利用幣安熱錢包安全漏洞,訪問大量用戶應用程序接口密鑰(API keys)、雙因素身份驗證碼(2FA碼)、以及其他信息,從中盜取7000枚比特幣。
而近日又有一起錢包被盜事件發生。據相關媒體報道,有網友爆料 My Dash Wallet 錢包存在安全漏洞、導致用戶錢包內資金被盜取。
針對一事,成都鏈安技術團隊做出詳細分析:
其主要原因在於在線錢包用戶在創建 HD 錢包和解鎖 HD 錢包時,網頁插件會將用戶的 keystore 加密數據以及解密密碼以 post 的方式發送到某個地址。
具體分析步驟如下:
在創建 HDWallet 以後,網頁會直接向服務器以 POST 的方式傳送數據,如圖所示:
Form Data:為 Base64 編碼後的數據。具體如下:
解碼後數據為:
本地下載 MyDashWallet.HDSeed 後,打開文件獲取數據如下:
MyDashWallet.HDSeed 中的加密的數據與上傳的 a2c 數據中 “ks” 數據相同。
Seed 文件存儲在本地,如下所示,可通過 js 腳本直接獲取到 seed 的值。
在解鎖錢包時,網頁會會直接以 POST 的方式傳送 a2c 數據,數據跟上面創建錢包時傳輸的數據一樣。
攻擊手法:
通過查看網頁源碼,generateKeystoreFile() 函數內容如下:
其中生成 enryptedData 時,需要傳入 key 和錢包的密碼,用於加密生成 HDSeed 文件。
解鎖錢包的 unlockKeystore() 函數內容如下:
兩個函數都調用了 CryptoJS.AES.decrypt() 函數。
當輸入解鎖錢包密碼後,網頁向服務器傳輸數據,Initiator 是 CryptoJSlibByteArray.js:753,其內容如下:
通過查看網頁源碼發現網頁中加載了引用自 greasyfork.org 的 CryptoJSlibByteArray.js 文件。
隨著區塊鏈市場商業模式的不斷豐富,安全問題也不斷暴露,其中錢包安全事件屢曝不止。
4月13日,Electrum 錢包遭受黑客攻擊,黑客利用其錢包漏洞,竊取用戶密鑰,導致資金被盜。
5月7日,黑客利用幣安熱錢包安全漏洞,訪問大量用戶應用程序接口密鑰(API keys)、雙因素身份驗證碼(2FA碼)、以及其他信息,從中盜取7000枚比特幣。
而近日又有一起錢包被盜事件發生。據相關媒體報道,有網友爆料 My Dash Wallet 錢包存在安全漏洞、導致用戶錢包內資金被盜取。
針對一事,成都鏈安技術團隊做出詳細分析:
其主要原因在於在線錢包用戶在創建 HD 錢包和解鎖 HD 錢包時,網頁插件會將用戶的 keystore 加密數據以及解密密碼以 post 的方式發送到某個地址。
具體分析步驟如下:
在創建 HDWallet 以後,網頁會直接向服務器以 POST 的方式傳送數據,如圖所示:
Form Data:為 Base64 編碼後的數據。具體如下:
解碼後數據為:
本地下載 MyDashWallet.HDSeed 後,打開文件獲取數據如下:
MyDashWallet.HDSeed 中的加密的數據與上傳的 a2c 數據中 “ks” 數據相同。
Seed 文件存儲在本地,如下所示,可通過 js 腳本直接獲取到 seed 的值。
在解鎖錢包時,網頁會會直接以 POST 的方式傳送 a2c 數據,數據跟上面創建錢包時傳輸的數據一樣。
攻擊手法:
通過查看網頁源碼,generateKeystoreFile() 函數內容如下:
其中生成 enryptedData 時,需要傳入 key 和錢包的密碼,用於加密生成 HDSeed 文件。
解鎖錢包的 unlockKeystore() 函數內容如下:
兩個函數都調用了 CryptoJS.AES.decrypt() 函數。
當輸入解鎖錢包密碼後,網頁向服務器傳輸數據,Initiator 是 CryptoJSlibByteArray.js:753,其內容如下:
通過查看網頁源碼發現網頁中加載了引用自 greasyfork.org 的 CryptoJSlibByteArray.js 文件。
直接在瀏覽器中打開 CryptoJSlibByteArray.js 文件,開頭內容如下:
隨著區塊鏈市場商業模式的不斷豐富,安全問題也不斷暴露,其中錢包安全事件屢曝不止。
4月13日,Electrum 錢包遭受黑客攻擊,黑客利用其錢包漏洞,竊取用戶密鑰,導致資金被盜。
5月7日,黑客利用幣安熱錢包安全漏洞,訪問大量用戶應用程序接口密鑰(API keys)、雙因素身份驗證碼(2FA碼)、以及其他信息,從中盜取7000枚比特幣。
而近日又有一起錢包被盜事件發生。據相關媒體報道,有網友爆料 My Dash Wallet 錢包存在安全漏洞、導致用戶錢包內資金被盜取。
針對一事,成都鏈安技術團隊做出詳細分析:
其主要原因在於在線錢包用戶在創建 HD 錢包和解鎖 HD 錢包時,網頁插件會將用戶的 keystore 加密數據以及解密密碼以 post 的方式發送到某個地址。
具體分析步驟如下:
在創建 HDWallet 以後,網頁會直接向服務器以 POST 的方式傳送數據,如圖所示:
Form Data:為 Base64 編碼後的數據。具體如下:
解碼後數據為:
本地下載 MyDashWallet.HDSeed 後,打開文件獲取數據如下:
MyDashWallet.HDSeed 中的加密的數據與上傳的 a2c 數據中 “ks” 數據相同。
Seed 文件存儲在本地,如下所示,可通過 js 腳本直接獲取到 seed 的值。
在解鎖錢包時,網頁會會直接以 POST 的方式傳送 a2c 數據,數據跟上面創建錢包時傳輸的數據一樣。
攻擊手法:
通過查看網頁源碼,generateKeystoreFile() 函數內容如下:
其中生成 enryptedData 時,需要傳入 key 和錢包的密碼,用於加密生成 HDSeed 文件。
解鎖錢包的 unlockKeystore() 函數內容如下:
兩個函數都調用了 CryptoJS.AES.decrypt() 函數。
當輸入解鎖錢包密碼後,網頁向服務器傳輸數據,Initiator 是 CryptoJSlibByteArray.js:753,其內容如下:
通過查看網頁源碼發現網頁中加載了引用自 greasyfork.org 的 CryptoJSlibByteArray.js 文件。
直接在瀏覽器中打開 CryptoJSlibByteArray.js 文件,開頭內容如下:
此文件中插入大量的空白,真實發送數據的代碼從728行開始。內容如下:
隨著區塊鏈市場商業模式的不斷豐富,安全問題也不斷暴露,其中錢包安全事件屢曝不止。
4月13日,Electrum 錢包遭受黑客攻擊,黑客利用其錢包漏洞,竊取用戶密鑰,導致資金被盜。
5月7日,黑客利用幣安熱錢包安全漏洞,訪問大量用戶應用程序接口密鑰(API keys)、雙因素身份驗證碼(2FA碼)、以及其他信息,從中盜取7000枚比特幣。
而近日又有一起錢包被盜事件發生。據相關媒體報道,有網友爆料 My Dash Wallet 錢包存在安全漏洞、導致用戶錢包內資金被盜取。
針對一事,成都鏈安技術團隊做出詳細分析:
其主要原因在於在線錢包用戶在創建 HD 錢包和解鎖 HD 錢包時,網頁插件會將用戶的 keystore 加密數據以及解密密碼以 post 的方式發送到某個地址。
具體分析步驟如下:
在創建 HDWallet 以後,網頁會直接向服務器以 POST 的方式傳送數據,如圖所示:
Form Data:為 Base64 編碼後的數據。具體如下:
解碼後數據為:
本地下載 MyDashWallet.HDSeed 後,打開文件獲取數據如下:
MyDashWallet.HDSeed 中的加密的數據與上傳的 a2c 數據中 “ks” 數據相同。
Seed 文件存儲在本地,如下所示,可通過 js 腳本直接獲取到 seed 的值。
在解鎖錢包時,網頁會會直接以 POST 的方式傳送 a2c 數據,數據跟上面創建錢包時傳輸的數據一樣。
攻擊手法:
通過查看網頁源碼,generateKeystoreFile() 函數內容如下:
其中生成 enryptedData 時,需要傳入 key 和錢包的密碼,用於加密生成 HDSeed 文件。
解鎖錢包的 unlockKeystore() 函數內容如下:
兩個函數都調用了 CryptoJS.AES.decrypt() 函數。
當輸入解鎖錢包密碼後,網頁向服務器傳輸數據,Initiator 是 CryptoJSlibByteArray.js:753,其內容如下:
通過查看網頁源碼發現網頁中加載了引用自 greasyfork.org 的 CryptoJSlibByteArray.js 文件。
直接在瀏覽器中打開 CryptoJSlibByteArray.js 文件,開頭內容如下:
此文件中插入大量的空白,真實發送數據的代碼從728行開始。內容如下:
通過設定循環執行函數,通過 localStrage 獲取到相關的 HDSeed 內容和解鎖密碼。在錢包實例化以後,直接在瀏覽器 console 中輸入 dashWallet 可得以下內容:
隨著區塊鏈市場商業模式的不斷豐富,安全問題也不斷暴露,其中錢包安全事件屢曝不止。
4月13日,Electrum 錢包遭受黑客攻擊,黑客利用其錢包漏洞,竊取用戶密鑰,導致資金被盜。
5月7日,黑客利用幣安熱錢包安全漏洞,訪問大量用戶應用程序接口密鑰(API keys)、雙因素身份驗證碼(2FA碼)、以及其他信息,從中盜取7000枚比特幣。
而近日又有一起錢包被盜事件發生。據相關媒體報道,有網友爆料 My Dash Wallet 錢包存在安全漏洞、導致用戶錢包內資金被盜取。
針對一事,成都鏈安技術團隊做出詳細分析:
其主要原因在於在線錢包用戶在創建 HD 錢包和解鎖 HD 錢包時,網頁插件會將用戶的 keystore 加密數據以及解密密碼以 post 的方式發送到某個地址。
具體分析步驟如下:
在創建 HDWallet 以後,網頁會直接向服務器以 POST 的方式傳送數據,如圖所示:
Form Data:為 Base64 編碼後的數據。具體如下:
解碼後數據為:
本地下載 MyDashWallet.HDSeed 後,打開文件獲取數據如下:
MyDashWallet.HDSeed 中的加密的數據與上傳的 a2c 數據中 “ks” 數據相同。
Seed 文件存儲在本地,如下所示,可通過 js 腳本直接獲取到 seed 的值。
在解鎖錢包時,網頁會會直接以 POST 的方式傳送 a2c 數據,數據跟上面創建錢包時傳輸的數據一樣。
攻擊手法:
通過查看網頁源碼,generateKeystoreFile() 函數內容如下:
其中生成 enryptedData 時,需要傳入 key 和錢包的密碼,用於加密生成 HDSeed 文件。
解鎖錢包的 unlockKeystore() 函數內容如下:
兩個函數都調用了 CryptoJS.AES.decrypt() 函數。
當輸入解鎖錢包密碼後,網頁向服務器傳輸數據,Initiator 是 CryptoJSlibByteArray.js:753,其內容如下:
通過查看網頁源碼發現網頁中加載了引用自 greasyfork.org 的 CryptoJSlibByteArray.js 文件。
直接在瀏覽器中打開 CryptoJSlibByteArray.js 文件,開頭內容如下:
此文件中插入大量的空白,真實發送數據的代碼從728行開始。內容如下:
通過設定循環執行函數,通過 localStrage 獲取到相關的 HDSeed 內容和解鎖密碼。在錢包實例化以後,直接在瀏覽器 console 中輸入 dashWallet 可得以下內容:
從上面的分析來看,攻擊者通過某種方式在在線錢包中插入惡意插件,用戶使用在線錢包時,加載了惡意插件,惡意插件設置循環執行函數獲取到 seed 的值和解鎖的密碼。從而獲取到錢包的控制權。
存在的危害:
在線錢包,顧名思義,它是在聯網狀態下進行交易的錢包,一般又稱“熱錢包””。其種類多樣,有電腦客戶端錢包、手機 APP 錢包、網頁錢包等。熱錢包對於交易頻繁的用戶來說是非常便捷的,但由於其聯網使用的模式,也增加了受到黑客攻擊,被盜取祕鑰的風險。而一旦被黑客掌握祕鑰,就相當於獲得了資產的直接掌控權。
此次事件中,用戶正是使用此在線錢包後,被攻擊者通過某種攻擊方式將惡意插件插入錢包中,從而獲得錢包用戶的密鑰,直接利用密鑰盜取用戶資產的。
對用戶的建議:
建議最近使用過此在線錢包的用戶,通過其他方式生成新的錢包,並將財產轉移至新錢包。
同時,對於會經常使用到在線錢包的用戶,我們建議在使用時,在不同平臺設置不同的密碼,並且開啟二次認證。另外,建議資產佔有量較大的個人投資者最好將冷錢包與熱錢包配合使用,根據具體使用需求分配使用冷熱錢包,做到冷熱分開,以便隔離風險。