作为 alby 钱包的受害者，整理了一个模版。评论区贴上被 alby 转账的信息和退款 invoice，我可以给大家整理邮件信息大家直接发送。

整理了一篇 2 年前的文章《硬件钱包上的达摩克利斯之剑：隐秘的中间人威胁》 - 主要讲解在硬件钱包使用过程中，中间人攻击的场景 - 通过具体攻击 trezor + metamask，来讲解如何尽可能避免 博客链接：zhangzhao.name medium 传送门：medium.com/p/522af4897bab

20 个月前，我们团队向 Trezor 和 MetaMask 报告了一个关于硬件钱包的中间人攻击漏洞（MITM）。这是一种设计上的缺陷，一旦钱包软件与硬件设备间的通信被截获或篡改，用户可能会遭受严重的资产损失。这篇文章很好地解释了整个攻击过程和防范办法。 zhangzhao.name/%E7%A1%AC%E4%B…

The expression feature in Lottie has an XSS risk — surprisingly, this issue was reported in the core library as early as 2022. Three years later, it’s now exploited in the blockchain space to trick users into signing malicious transactions.

Thanks to Coinspect Security for contribution to wallet security. OneKey ranks second on both iOS and Android, just behind MetaMask. We’ve noted the feedback and will keep pushing for the highest standards in Web3 security.💪

新文章：《开源的安全悖论》我们正在错把“透明”当作“可信” → 构建与分发的不可信链条 → Trusted Code, Untrusted Delivery → 迭代与审计的节奏错位 → Agile Speed, Audit Lag → 代码透明与攻击面的对等暴露 → Open Source, Open Risks #Security #OpenSource zhangzhao.name/%E5%BC%80%E6%B…

Congrats to the Tamagui team! 🎉 At OneKey , we previously used NativeBase, and after switching to Tamagui, we saw significant improvements across the board — performance, user experience, and long-term maintainability. Thanks for making such an awesome toolkit 🙌

新到的睡前读物，开始不务正业起来了😂

如果你选择在 OneKey 投资理财 Morpho 🦋 创建/导入钱包页面绑定邀请码「VIP999」 💰 OneKey 业绩费的 10% 推荐奖励返还！ 如果你打算购买 OneKey 的硬件钱包保护你的资产安全 👉 onekey.so/r/VIP999 下单享 5% 折扣

靠人很难防范这些攻击，有两个工具是我一直在用的 - 1password 存放敏感信息包括使用 ssh-agent，本地的一些私钥信息读取使用时会通过 1password 二次确认 - 使用 Bitdefender 开启了威胁防护，对于敏感目录和脚本操作文件，都会有二次确认

😂😂

真的十分感謝 OneKey ，服務一流 話說 MomentumⓂ️Ⓜ️T 在Buidlpad Ⓜ️Ⓜ️T 上線了存錢活動，而我有好多號在用one key 存了半年了，排名都不低。 但是buidlpad sui 網絡是不支持one key, 而老帳號是有很高的積分加成，而且和之後的打新額度有關 我周六直接找了one key chloe,周天buidlpad就支持了！

如果说 30 岁之后哪一句话对我影响最深，那一定是这句既是同事又是朋友在工作讨论中无意间说出的话： “我承认你这种面向未来兼容性的设计与考虑非常棒，但我认为当下应该做得更简单一些。” 余音绕梁，常读常新。