注意各类 V2EX 插件的安全性

代币就算了， 要钱包插件签名授权，这不是网站插件能做到的事，
至于金币，可能的转移方法也就发帖和点赞？量大一点这不是找死，感觉无利可图，

注意安全性是正确的，号被洗了可以 @站长说明情况

盗币需要签名，如果插件改了授权，用户不仔细看，还真可能被盗

@AoEiuV020JP #1 最常见的方法，你发你的 A 收款地址，给你替换成 B 收款地址，你看到的还是 A 地址，常见于第三方 tg 客户端。

多缺钱才会把手往这里伸

@archxm 搞一个恶意插件扔出去, 完全随缘抓鱼, 对攻击者来说抓到的都是赚的.

所以我一直担心,如果绑定的 v2 账号被盗了,我的 v 币和 sol 币会不会全部被打赏出去?

@crocoBaby 不会，你可以理解你的 v2 账号被盗了，你 v2 绑定的谷歌账号依然是安全的。

@luozhsky 啥意思啊?有点绕,你意思是说就算账号被别人登录了,别人不能用你的账号打赏给别人嘛?

@crocoBaby #9 站内金币可能，但是 sol 不会，压根儿就不是一个账号

v 站发邀请要开启双重验证一个月之后才行。

@crocoBaby 不绕啊。你的资产(sol/V2EX)实际是在你的钱包（地址）里。
V2 绑定钱包你可以理解成一个类似的谷歌登录授权，只是确定，这个账号（钱包）是你的。
V2 账号被盗不会影响你的（钱包）谷歌账号啊。

@luozhsky 如果登录上你的账号,我能不能用你的账号打赏给我?

@crocoBaby 不是..哥们，你是真看不懂啊...
不能啊。
你微信扫码登录了一个网站。
这个网站不能直接用你的微信余额。这样能懂么...

@crocoBaby 打赏还需要验证钱包，确认交易。
V 站只有查询地址、交易记录的权限，因为这是链上公开的，没有付款的能力。

@crocoBaby 你可以打赏了试试，并不是点击确认就完成交易，还需要连接钱包确认的。
比如，可以打赏给我（算盘噼啪响）

@Sunyin 感谢老哥的回答,通俗易懂,给你点个赞吧,打赏对目前的我还是有点压力

@crocoBaby 别别别，我就是随口要打赏，赛博乞讨一下。老哥这么认真给我整不好意思了

@whitehack 蚊子腿肉的感觉

@xtx #11 但是生成邀请码这个操作不需要任何形式的验证，也没有任何提示或者冷却期。
所以某种程度上讲，开启了两步验证的用户更容易成为恶意插件的受害者。

一个比较合理的改进方式是：在邀请码被使用后，系统给生成邀请码的用户发通知。
当用户手动确认后，使用邀请码的账号才会被激活。

@gullitintanni 邀请码功能在开启两步验证后的 90 天之后才能使用