相较于取消授权，频繁换地址才是避免合约漏洞偷币的好办法

今天（2024-10-17）又悲剧了，某大借贷项目被盗5000万美元的资产。

第一时候，x都在教大家怎么移除token授权，以避免黑客利用该合约漏洞去偷地址上的币。

其实，更简单直接更安全更彻底的办法就是将资产移到新地址。新地址就不会有任何授权问题了。没必要去解决老地址潜在的授权问题风险，地址上没资产了，让它有风险就有风险呗。

安全管理币一直是一个大问题，特别是参与defi挖矿成为了管理币的普遍需求后，各种defi合约漏洞真是让持币人操碎了心。

保持一些基本的操作习惯，足于让你的资产安全性提高到很高的程度。

1.管理资产的硬件设备（电脑、手机、U盘等），专用，只用于管理资产，不用于其他的工作。

2.不点击陌生的链接，不下载陌生的app，设备不外借。

3.密码设置成复杂密码。备份要做足。

4.一个地址，尽可能只和一个合约打交道，除非是几个极其安全的合约。

5.经常换地址。按时间和操作频繁度来更换地址。比如，超过半年，就要换地址，交易次数超过100次，就要换地址，都是好习惯。

6.分散资产到多个地址。

7.避免使用共同wifi，实在需要外出就用手机热点。

8.定期检查统计自己的资产，比如三个月做一次完整的资产负债表，就是非常好的习惯。

我就感觉，系统级别默认用户频繁去更换地址是一个合理的设计，就像btc那样，找零地址是默认换新地址。

这也是为什么我一直非常关注UTXO生态的defi发展的原因之一吧。

另外，现在以太坊等的智能合约托管资产，本质上是将erc20等资产从私钥控制，转移到了合约代码控制，代码总会遇到各种漏洞问题。

有没有可能资产在不会丢失私钥控制前提下实现defi呢？或者放宽一些，用于defi的被托管资产处置条件和代码一定要简单清晰。

我感觉BTC、BCH它们搞的Covenant就要比将资产托管给图灵完备的EVM代码里更安全。

我一直期待，UTXO派系能够诞生出defi，优化上述两点带来的安全性问题。

比如，我觉得基于PoW+UTXO技术体系发一个稳定币，就要比erc20这些稳定币，在隐私保护，无须许可这个层面上要强太多了，而这正是稳定币最需要的特性。

至于区块确认速度，可编程性，都是可以牺牲的特性。

就像当年usdt-omni，就没见谁的币被冻结了。哎，现在的erc20-usdt，搞的人心慌慌的，就怕收到黑U。

很纳闷，为什么没人去做这玩意。

我感觉，主要还是比特币的开发者Core dev不支持在原生链上搞这些复杂的defi，而其他UTXO链人气又不行，哪怕有开发出来也没什么人支持。