Crypto 寒冬生存指南:安全使用錢包

原文來源: @BenWAGMI, GoPlus Security 聯合創始人

BlockBeats 注:11 月 12 日,FTX 在其 Telegram 社群稱其錢包異動,後稱遭遇黑客攻擊,FTX 資產被竊取引發加密社區對資產安全的擔憂。用戶需要重新思考如何以更安全的方式管理他們的資產,如何以更安全的方式使用加密錢包。為此,BlockBeats 對 GoPlus Security 聯合創始人 @BenWAGMI 在推特上關於 Web3 錢包的科普進行整理,內容如下:  

如何使用 Web3 錢包儲存資產,嚴格落實安全法則,讓你的資產處於較高安全狀態

自 FTX 暴雷以來,各大交易平台儲備金有問題的消息瘋傳,提幣潮愈演愈烈,後續又幾家小交易所倒下,這應該是加密圈有史以來最大提幣運動。我在 BitMEX 中的資金從未提出過(我心中最安全的交易平台),最近也提冷錢包了。這種核冬天只能窩在地下室,不想沾染任何風險。  

很多加密圈新手是沒怎麼用過錢包的,也不太清楚錢包的工作原理。本文就如何用錢包安全地存儲資產從使用和原理進行詳細地說明。你讀完這篇文章,嚴格地落實安全方法,你的資產就處於比較高的安全狀態。  

什麼是私鑰公鑰

鑰密碼學是 Crypto 的基石。公鑰和私鑰的本質就是一對自然數。私鑰是你隨機秘密地生成的,不會展示給任何人。公鑰是根據一定的密碼學算法計算出來的,可以展示展示給他人,根據公鑰無法逆向推導出私鑰。在加密貨幣中把公鑰再進行一定的運算,變為轉賬用的地址。 

電子簽名 

公鑰私鑰具體是如何保障加密貨幣運行的呢?依靠的是電子簽名。有一條消息(如我要轉賬給某人 1000 個幣),這條消息經過你的私鑰簽名後會得到一個簽名,廣播到區塊鏈上,別人可以通過你的公鑰驗證這個消息確實是通過你的私鑰簽名的,那就是你發佈的。因此誰掌握了私鑰誰就掌握了錢包。

助記詞 

由於私鑰就是一長串非常長的數字,對於人類來說基本不具備可讀性和可記性,比特幣社區提出了幾個 BIP 提議,用一組人類可讀的單詞代替私鑰。本質上這些單詞最後還是轉化成了自然數私鑰,只是對人類肉眼看起來比較友好。助記詞還有更多功能,這裡先按下不表。  

私鑰(或助記詞)

該如何存儲?顯然區塊鏈存儲資產的最核心是如何保管私鑰或助記詞。私鑰丟了你的資產也就沒了。但這個往往也是小白用戶犯致命錯誤的重災區,因為這個過程是反人性的。但你不可能既要安全,又要自由,又想不付出代價。合格地保管私鑰才是對自己的資產負責的第一步。  

首先要知道的第一點是,你的幣並不是在你的錢包軟體 / App 這個殼子中,而是在你用的區塊鏈網絡中,私鑰對應的地址之下。你的錢是在區塊鏈上的,你完全可以在另一個設備、另一個錢包軟件中導入私鑰,使用同一個帳戶。  

然後區別兩個概念:冷 / 熱錢包。私鑰從生成後從來不連網的,就是冷錢包。因為簽名就是個數學運算,待簽名的消息完全可以通過非網絡的方式(如QRCode、藍牙)傳遞給冷錢包,簽名後再傳回來再發佈到網上。另一種是熱錢包,比如手機 App 錢包,MetaMask 等,私鑰在生成後就處於一台連網設備中。  

我們看看這兩種錢包使用的時候會有哪些問題。  

錢包生成後沒有備份很多新手用戶生成完了錢包直接就不管了,沒有備份。一旦你的手機 / 電腦出現問題、丟失,這個錢是完全找不回來了,和交易平台可完全不一樣。所以一定要備份私鑰或助記詞。現在大部分錢包應該都默認給你提供助記詞,很多也提供私鑰,但沒什麼必要,備份助記詞即可(好讀好寫好記)。

安全地備份助記詞最安全的保存方法,是保存在不連網且不易丟失和損壞的介質上,比如——抄在紙上,或找一台不用的、以後永不連網手機的手機拍個照等。方式是五花八門的,甚至有專用的抗腐蝕、火燒、水淹的鐵板。

我自己用的是 BitpieWallet 的 Frozen Armour 來保存助記詞。腦子裡也備份了一份。  

不論什麼選擇,只需要記住核心:不易丟失、不易損壞、別人無法接觸到或接觸到了無法使用具體哪種方式對你最安全,取決於你的環境和你的資產量級。你需要根據你的實際情況去評估各種方式的優劣,底該用什麼方式。不要照抄別人,別人用紙你就用紙(老鼠啃了?),別人用鐵板你就用鐵板(家裡進賊?)。

這種思想懶惰也會帶來風險。比如有人會選擇強加密後分片放在雲盤上,這個看起來觸網了,但實際也比很多人用紙的安全,畢竟有些人紙最後都不知道去哪了。在別人提供的既有方案中,你覺得哪種最好就用哪種。如果你暫時不知道怎麼評估,那就寫紙上放鐵盒裡,要記住這是一個你永遠需要動態思考的問題。  

下載錢包的注意事項 

一定要從官網下載錢包,從百度上胡亂搜索基本都是假錢包。甚至從應用市場裡搜索都會碰到仿冒品或者惡意錢包,蘋果 App Store 是審核最嚴格的商店都無法杜絕,遑論其他。 不論是瀏覽器擴充軟體、安卓 APK 還是 iOS 程式。官網都可以直接下載或者給你跳轉到商店下載。  

熱錢包的選擇太多了,只要有一定知名度且開源,都可以使用。安全性來說總體沒有太大差別,你只需要考慮順不順手喜不喜歡就好了。

我自己的常用的熱錢包:  Metamask 、rainbow.meGo Pocket 。

不要複製 / 黏貼助記詞 

很多朋友在體驗不同的熱錢包時喜歡複製黏貼導來導去,但剪切板本身是一個非常嚴重的洩露私鑰和助記詞的途徑,這基本是一種作死行為。這也是為什麼我堅決反對錢包提供私鑰(私鑰不像助記詞可以抄寫,用戶基本只能複製)。  

正確的方法是拿出你記助記詞的紙來(或者直接背過),照著輸入進去(輸入法盡量使用系統輸入法)。 以下是一篇各平台關於剪切板監控的報告,別人基本上幾行代碼就可以實現。千萬不要因為自己懶就複製黏貼。  

安全擴充軟體

對於使用瀏覽器擴充錢包的用戶,可以再安裝一些安全擴充軟體進一步提升交易的安全性(目前在移動端由於技術架構限制,不太好實現這種功能,只能由錢包自身提供)。  

安全擴充軟體不是提升資金存儲安全的,而是為 DeFi 和 Web3 交互提供安全保障,如攔截釣魚網站、惡意合約、惡意代幣等。安全擴充軟體並沒有權限去訪問你的其他資訊,只會在交易前對你交易的資訊進行檢查,如果有問題會對你提出警示。

我用的 FoxEye 。

冷錢包 

冷錢包永遠不會讓私鑰觸網,簽名用非互聯網的方式傳遞到連網終端,所以使用起來比熱錢包更安全一些。但這並不代表絕對安全,有一些坑需要提醒。

冷錢包也有很多,我個人用的是:iSafePal 、Ledger

冷錢包使用注意事項 :

備份助記詞。你得考慮如果你冷錢包壞了怎麼辦。不論冷熱都得備份。一是小心供應鏈攻擊:從官網提供的下單鏈接購買。不要直接淘寶京東搜索,你不知道你買來的錢包是不是真貨,是不是別人刷了有問題的固件進去。買回來最好也刷一下官網的最新固件。  

另一種供應鏈攻擊是廠商生產時一些關鍵硬件被掛碼(比如管理隨機數發生器的芯片),但這種攻擊作為用戶沒有能力甄別,只能提醒一句沒有絕對的安全。  

螢幕很重要:沒有螢幕的冷錢包不要買。冷錢包最終簽名應以錢包硬體螢幕上的資訊為準,因為聯網終端的顯示有可能遭到篡改。

對於像以太坊這種有智能合約的鏈,很多簽名不是簡單轉賬。冷錢包的 App 終端(乃至錢包硬體螢幕)對交易資訊的人類可讀解析非常重要。否則做什麼都成了盲簽,硬著頭皮簽很嚇人。

檢查固件:更新升級的時候,核對固件文件的哈希。

設置較強的密碼:有些冷錢包每次交易都需要密碼,有些是按 session 來,有人覺得密碼長了輸入起來很麻煩搞個什麼 123abc,但你需要考慮如果丟了別人兩下給你按出來怎麼辦。如果你真的非常懶又高頻交易還需要冷錢包,建議用有生物識別的產品。

暗錢包功能:有些冷錢包具有暗錢包功能,表面一個錢包,背地裡輸入一組特殊口令後還能進入一個新的錢包。甚至口令不同會進入不同的錢包,也即不存在輸錯口令這個概念因為任何口令都正確,只是除了你設置的那個外其餘的錢包是空的,別人很難蒙出來。這種適合狡兔三窟的朋友,可以進一步提升安全性。

半託管智能合約錢包 

還有一種特殊類型的基於智能合約錢包,是半託管的,你的資產管理和保存權限有一部分是由其他人給你保障的,從而消除你需要記錄助記詞的問題(keyless)。舉兩個例子,一是使用 MPC 或 SSS 的錢包,將你的私鑰分成兩片,一片加密後放在你的 Google Drive 上,一片放在自己的服務器中。二是社交恢復錢包,你指定幾個守護者,如果你本地的 EOA 私鑰丟了可以讓守護者在智能合約上指定新的 EOA。這種類型的錢包我常用的是 ZenGo、argentHQ。

這種聽起來好像很酷,你是不需要記錄助記詞了,對新手也比較友好,也非常符合區塊鏈 mass adoption 的 keyless 的遠景。但實際新的問題也接踵而至:託管服務商跑路了怎麼辦?你的守護人合夥把你坑了怎麼辦?  

想體驗這種錢包可以嘗試一下,但和上面的冷熱錢包一樣,一定要清楚背後的原理和各種 tradeoff,才能放心使用,否則就是往坑里跳。現階段我一般不會推薦新手直接使用這種錢包,我認為還不成熟,但我認為日後可能會成為第一選擇。  

結尾

好了先寫這麼多吧,這些錢包資產存儲的基礎知識已經足夠武裝一個新手用戶了。但其實還有很多問題和細節限於篇幅沒法展開了。我相信大家看下來的第一感受是:「區塊鏈太可怕了,我不想用了。」  

是的,放到加密交易平台是最簡單省事的,但最近來看也是非常不安全的,我們不得不尋找最優解,涉及到錢多花點力氣我覺得還是挺值得的。我有一筆小的資金由於忘了一直在 FTX 裡現在也提不出來了,還好金額較小。有些朋友幾百幾千萬刀也直接放 FTX 裡,灰飛煙滅找誰說理去?

本文不構成投資建議,虛擬貨幣波動大請謹慎小心

掌握虛擬貨幣、區塊鏈大小事

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *