这两天又看到有人被钓鱼站“空投领取”带走钱包，真不是技术不够，是红线没守住。助记词这东西，说白了就是钥匙本体，任何让你“输入/导入”的页面我都默认是骗子；签名授权也别手快，尤其那种看不懂在授权啥的，宁可关掉当没看见。能用小号钱包就别用主钱包，主钱包只收不动，日常交互全丢热钱包，麻烦点但睡得着。

顺带看 NFT 版税那波口水战，大家吵创作者收入和二级流动性，我反而更怕平台为了“更顺滑”把授权做得越来越一键化，用户更容易稀里糊涂就签了。反正我的习惯是：先看域名、再看权限、最后才点确认。

我后悔的不是结果，而是当时觉得“就点一下应该没事”的那种侥幸。先这样。