做一笔大额加密转账之前,该做哪 10 步检查?

每一笔大额转账,我都习惯把动作分成 10 步,慢慢做完。不是因为我不信钱包,而是因为任何一步省掉,事故概率都会显著上升。这种事不像炒币,做错了不能撤回。下面这 10 步,你可以收藏起来,每次大额转账前对照一遍,真正花的时间不到 10 分钟,但能挡掉绝大多数可预防的事故。

第 1 步:确认操作环境

大额转账不在公共场合做,不在路上做,不在心情不好的时候做。环境本身就是安全的一部分。具体来说:关掉所有不相关的窗口、退出微信和钉钉、把手机调静音、断开蓝牙耳机、避免任何会突然弹出来的通知。如果你在咖啡馆,那今天就不做大额。环境因素背后的逻辑可以参考 公共 Wi-Fi 上做加密操作的风险,不只是网络,还包括视线和精神。

第 2 步:确认设备状态

打开你即将用来签名的那台设备,先看几个简单指标:系统是不是最近做过更新、有没有奇怪的新装应用、电池电量是否充足、是否处于安全的网络下。如果是电脑,顺手看一眼浏览器扩展列表,有没有自己不认识的;如果是手机,看一眼设置里"最近安装"的清单。对硬件钱包来说,确认它的固件版本是当前的稳定版,不是上周强推的某个新功能版。

第 3 步:确认收款地址来源

这一步是核心。你要发送到的那个地址,最早是从哪里复制过来的。如果是对方私聊发的,你能不能通过另一条独立通道再确认一次,比如打个电话、视频或在第二个社交平台对一遍。如果是从交易所或机构的官方页面拿到的,确认你打开的那个页面是不是真实的官网。剪贴板替换攻击非常常见,具体机制可以读 剪贴板地址替换恶意软件,知道原理之后你就明白为什么需要二次确认。

第 4 步:核对地址前后位数

复制地址到钱包后,不要只看前后 4 位,把首尾各 6 位都念一遍,中间随机挑一段再对一次。理想做法是让屏幕和纸上对照,而不是脑内回忆。地址替换攻击经常构造一个首尾 4 位完全相同的"近似地址",目的就是骗过你的快速扫视。多看 6 位,基本能挡掉这类。

第 5 步:确认链是否正确

很多人栽在链选错。USDT 在 ERC20、TRC20、Arbitrum、Polygon 上各不相同,发到错链等同丢币。每次大额前,在收款方那边再问一次,他们用哪条链接收,接收地址对应的是哪条链上的合约。这一步与其相信自己的记忆,不如把每次都当作第一次问。

第 6 步:跑一笔 test transaction

这是 10 步里最关键的一步。先发一笔小额,比如 5 美元或 10 美元等值,完整地走一遍流程:发出去 → 等到账 → 让对方确认收到 → 再开始正式金额。test transaction 看似浪费 gas 和时间,但它一次能验证地址、链、对方钱包是否能正常接收、签名设备是否正常工作四件事,任何一项出问题,都会在这笔小额上暴露。这一步永远不要省。

第 7 步:正式签名前的最后审视

正式金额准备好之后,点确认前,强制自己停 3 秒。在这 3 秒内只看三件事:金额是不是对、地址前后 6 位是不是对、合约调用是不是预期内的(如果不是简单转账)。如果有任何一项产生了犹豫,立刻退出,过几分钟再回来。绝大多数事故都发生在"差不多了,确认吧"那一秒,而不是发生在你认真审视的时候。这种自律的逻辑可以对照 日常加密安全习惯 里反复强调的"慢一秒"。

第 8 步:确认链上状态

提交之后,不是关掉钱包就完事。等链上确认数到达你那条链的安全阈值,比如以太坊主网至少 12 个区块、Solana 至少 32 个 slot、比特币至少 3 个区块。不同链阈值不同,你可以提前查好。在等待期间不要急着发第二笔,如果当前这笔还没确认,就先停下来。

第 9 步:让对方确认到账

到账 ≠ 收到。链上显示成功是一回事,对方在他那边能不能看见、能不能动用,又是另一回事。等对方明确告诉你"我看到了"再算这一步完成。如果对方是交易所充值,关注它在你账户里的状态从"待确认"变成"可用"为止,中间任何卡住都要先弄清原因。

第 10 步:留痕和复盘

转账完成后,把这一笔的关键信息存档:交易哈希、链、收款方、金额、用途、操作时间。一份记录在加密笔记里,一份在你日常的财务表格里。每月或每季度回顾一次,既能帮你做税务,也能让你在事后回忆"那笔到底发给谁了"时不会抓瞎。这一点跟 大额提现到银行卡的检查清单 里讲的留痕一致,逻辑相通。

10 步速查表

一段补充的话

10 步看起来多,但你做过几次就会发现节奏其实很快,不到 10 分钟。真正花时间的不是动作,是养成动作的习惯。 如果你怀疑某笔转账出了状况,无论是地址不对、对方不回、还是签名设备表现异常,最稳妥的做法都是立刻停下,不要急着补救、不要急着重发。可以参考 怀疑助记词外泄怎么办 里"先停下"的处置思路,逻辑通用。大额转账的安全,从不是技术比拼,而是流程比拼。把流程做完整,你就赢了。