木星链 木星链
Ctrl+D收藏木星链

CRYPTO:Crypto冷冬生存指南:安全使用钱包

作者:

时间:1900/1/1 0:00:00

原文来源:?@BenWAGMI,GoPlusSecurity联合创始人

BlockBeats注:11月12日,FTX在其Telegram社群称其钱包异动,后称遭遇黑客攻击,FTX资产被窃取引发加密社区对资产安全的担忧。用户需要重新思考如何以更安全的方式管理他们的资产,如何以更安全的方式使用加密钱包。为此,BlockBeats对GoPlusSecurity联合创始人?@BenWAGMI?在推特上关于web3钱包的科普进行整理,内容如下:??

自FTX暴雷以来,各大交易平台储备金有问题的消息疯传,提币潮愈演愈烈,后续又几家小交易所倒下,这应该是加密圈有史以来最大提币运动。我在BitMEX中的资金从未提出过,最近也提冷钱包了。这种核冬天只能窝在地下室,不想沾染任何风险。??

很多加密圈新手是没怎么用过钱包的,也不太清楚钱包的工作原理。本贴就如何用钱包安全地存储资产从使用和原理进行详细地说明。你只要读完这个帖子,严格地落实安全方法,你的资产就处于比较高的安全状态。??

出现针对CryptoPunk、BAYC等NFT的大规模黑客攻击,损失NFT价值超600ETH:1月4日消息,NFT社区成员Cirrus发推称发生大规模的黑客攻击,导致CryptoPunk#4608、CryptoPunk#965、BAYC#1723等NFT被盗,损失的NFT价值约600ETH(约74.88万美元)。

此外,推特用户@CryptoNovo311称,其持有的4个CryptoPunk被盗。ZachXBT称该黑客似乎与盗取NFT项目KUMALEON约111枚NFT的黑客为同一个人,该黑客通常使用FixedFloat作为交易所。[2023/1/4 9:52:02]

什么是私钥公钥

钥密码学是crypto的基石。公钥和私钥的本质就是一对自然数。私钥是你随机秘密地生成的,不会展示给任何人。公钥是根据一定的密码学算法计算出来的,可以展示展示给他人,根据公钥无法逆向推导出私钥。在加密货币中把公钥再进行一定的运算,变为转账用的地址。?

电子签名?

公钥私钥具体是如何保障加密货币运行的呢?依靠的是电子签名。有一条消息,这条消息经过你的私钥签名后会得到一个签名,广播到区块链上,别人可以通过你的公钥验证这个消息确实是通过你的私钥签名的,那就是你发布的。因此谁掌握了私钥谁就掌握了钱包。

被黑客攻击的Cryptopia Exchange进入索赔处理的第二阶段:10月7日消息,Cryptopia是一家总部位于新西兰的加密货币交易所,在2019年5月遭受了数百万美元的大规模黑客攻击,它向用户宣布清算过程的“第二阶段”已经开始。此阶段将重点关注受影响用户的身份验证。截至2021年6月,已有超过55,000名用户完成了索赔登记步骤。几个月前,一名前雇员承认在清算过程中窃取了价值250,000美元的资金。(BeinCrypto)[2021/10/7 20:11:22]

?助记词?

由于私钥就是一长串非常长的数字,对于人类来说基本不具备可读性和可记性,比特币社区提出了几个BIP提议,用一组人类可读的单词代替私钥。本质上这些单词最后还是转化成了自然数私钥,只是对人类肉眼看起来比较友好。助记词还有更多功能,这里先按下不表。??

声音 | CryptoVibes:黄金背书的加密货币有助于帮助俄罗斯摆脱对美元的严重依赖:据CryptoVibes消息,此前有消息称,俄罗斯央行(Bank of Russia)行长Elvira Nabiullina表示,央行将审议一项关于加密货币的提议。该提议指出,可创建一种由黄金背书的加密货币,以支持与其他国家达成结算。CryptoVibes就此发文表示,目前,俄罗斯面临着来自美国的严厉制裁。在这种情况下,绑定价值的加密货币有潜力帮助俄罗斯摆脱将美元作为货币标准的严重依赖。俄罗斯国家杜马成员Vladimir Gutenev也建议开发这种数字资产。[2019/6/17]

?私钥

该如何存储?显然区块链存储资产的最核心是如何保管私钥或助记词。私钥丢了你的资产也就没了。但这个往往也是小白用户犯致命错误的重灾区,因为这个过程是反人性的。但你不可能既要安全,又要自由,又想不付出代价。合格地保管私钥才是对自己的资产负责的第一步。??

首先要知道的第一点是,你的币并不是在你的钱包软件/App这个壳子中,而是在你用的区块链网络中,私钥对应的地址之下。你的钱是在区块链上的,你完全可以在另一个设备、另一个钱包软件中导入私钥,使用同一个账户。??

然后区别两个概念:冷/热钱包。私钥从生成后从来不联网的,就是冷钱包。因为签名就是个数学运算,待签名的消息完全可以通过非网络的方式传递给冷钱包,签名后再传回来再发布到网上。另一种是热钱包,比如手机App钱包,MetaMask等,私钥在生成后就处于一台联网设备中。??

动态 | 新西兰Cryptopia交易所提前并延长维护,用户仍报告提款问题:据cointelegraph报道,新西兰加密货币交易所Cryptopia本周引起了用户的关注,因其需要进一步调查的“意外问题”而提前了其维护计划,并超出了原本计划的90分钟。尽管Cryptopia表示服务中断已结束,但仍有几位用户发布了关于提款问题的投诉,并表示他们的申请没有反应或在维护后卡在了“处理中”。Cryptopia目前在全球每日交易量中排名第79位,因其支持一系列小规模加密资产的交易对而受到欢迎,如DigiByte(DGB),Linda(LINDA)和Electroneum(ETN) 。目前Cryptopia尚未对Cointelegraph作出回应。[2018/7/11]

我们看看这两种钱包使用的时候会有哪些问题。??

钱包生成后没有备份很多新手用户生成完了钱包直接就不管了,没有备份。一旦你的手机/电脑出现问题、丢失,这个钱是完全找不回来了,和交易平台可完全不一样。所以一定要备份私钥或助记词。现在大部分钱包应该都默认给你提供助记词,很多也提供私钥,但没什么必要,备份助记词即可。

安全地备份助记词最安全的保存方法,是保存在不联网且不易丢失和损坏的介质上,比如——抄在纸上,或找一台不用的、以后永不联网手机的手机拍个照等。方式是五花八门的,甚至有专用的抗腐蚀、火烧、水淹的铁板。我自己用的是BitpieWallet的FrozenArmour来保存助记词。脑子里也备份了一份。??

维基解密宣布推出第一批Wikileaks CryptoKittie 别以特朗普和希拉里命名:维基解密宣布推出第一批Wikileaks CryptoKitties。两只价值数千美元的初代加密猫分别以特朗普和希拉里命名,被送给了以上两位上的冤家对头。除了特朗普和希拉里那两只,剩下8只分别对应着维基解密这些年爆料的大新闻,分别是:NSA监控门、伊拉克战争、CIA的Vault 7黑客工具、叙利亚战争、希拉里的“邮件门”、俄罗斯的黑客入侵、TPP协议以及阿富汗战争。[2018/1/12]

????????????????

不论什么选择,只需要记住核心:不易丢失、不易损坏、别人无法接触到或接触到了无法使用具体哪种方式对你最安全,取决于你的环境和你的资产量级。你需要根据你的实际情况去评估各种方式的优劣,底该用什么方式。不要照抄别人,别人用纸你就用纸,别人用铁板你就用铁板。

这种思想懒惰也会带来风险。比如有人会选择强加密后分片放在云盘上,这个看起来触网了,但实际也比很多人用纸的安全,毕竟有些人纸最后都不知道去哪了。在别人提供的既有方案中,你觉得哪种最好就用哪种。如果你暂时不知道怎么评估,那就写纸上放铁盒里把,要记住这是一个你永远需要动态思考的问题。??

下载钱包的注意事项?

一定要从官网下载钱包,从百度上胡乱搜索基本都是假钱包。甚至从应用市场里搜索都会碰到仿冒品或者恶意钱包,苹果AppStore是审核最严格的商店都无法杜绝,遑论其他。不论是桌面端插件、安卓APK还是iOS程序。官网都可以直接下载或者给你跳转到商店下载。??

热钱包的选择太多了,只要有一定知名度且开源,都可以使用。安全性来说总体没有太大差别,你只需要考虑顺不顺手喜不喜欢就好了。我自己的常用的热钱包:??Metamask?、rainbow.me、GoPocket?。

不要复制/粘贴助记词?

很多朋友在体验不同的热钱包时喜欢复制粘贴导来导去,但剪切板本身是一个非常严重的泄露私钥和助记词的途径,这基本是一种作死行为。这也是为什么我坚决反对钱包提供私钥。??

正确的方法是拿出你记助记词的纸来,照着输入进去。以下是一篇各平台关于剪切板监控的报告,别人基本上几行代码就可以实现。千万不要因为自己懒就复制粘贴。??

安全插件?

对于使用桌面端插件钱包的用户,可以再安装一些安全插件进一步提升交易的安全性。??

安全插件不是提升资金存储安全的,而是为DeFi和Web3交互提供安全保障,如拦截钓鱼网站、恶意合约、恶意代币等。安全插件并没有权限去访问你的其他信息,只会在交易前对你交易的信息进行检查,如果有问题会对你提出警示。我用的?FoxEye?。

?冷钱包?

冷钱包永远不会让私钥触网,签名用非互联网的方式传递到联网终端,所以使用起来比热钱包更安全一些。但这并不代表绝对安全,有一些坑需要提醒。冷钱包也有很多,我个人用的是:??iSafePal?、Ledger。

冷钱包使用注意事项:

备份助记词。你得考虑如果你冷钱包坏了怎么办。不论冷热都得备份。一是小心供应链攻击:从官网提供的下单链接购买。不要直接淘宝京东搜索,你不知道你买来的钱包是不是真货,是不是别人刷了有问题的固件进去。买回来最好也刷一下官网的最新固件。??

另一种供应链攻击是厂商生产时一些关键硬件被挂马,但这种攻击作为用户没有能力甄别,只能提醒一句没有绝对的安全。??

屏幕很重要:没有屏幕的冷钱包不要买。冷钱包最终签名应以钱包硬件屏幕上的信息为准,因为联网终端的显示有可能遭到篡改。

对于像以太坊这种有智能合约的链,很多签名不是简单转账。冷钱包的App终端对交易信息的人类可读解析非常重要。否则做什么都成了盲签,硬着头皮签很吓人。

检查固件:更新升级的时候,核对固件文件的哈希。

设置较强的密码:有些冷钱包每次交易都需要密码,有些是按session来,有人觉得密码长了输入起来很麻烦搞个什么123abc,但你需要考虑如果丢了别人两下给你按出来怎么办。如果你真的非常懒又高频交易还需要冷钱包,建议用有生物识别的产品。

暗钱包功能:有些冷钱包具有暗钱包功能,表面一个钱包,背地里输入一组特殊口令后还能进入一个新的钱包。甚至口令不同会进入不同的钱包,也即不存在输错口令这个概念因为任何口令都正确,只是除了你设置的那个外其余的钱包是空的,别人很难蒙出来。这种适合狡兔三窟的朋友,可以进一步提升安全性。

半托管智能合约钱包?

还有一种特殊类型的基于智能合约钱包,是半托管的,你的资产管理和保存权限有一部分是由其他人给你保障的,从而消除你需要记录助记词的问题。举两个例子,一是使用MPC或SSS的钱包,将你的私钥分成两片,一片加密后放在你的GoogleDrive上,一片放在自己的服务器中。二是社交恢复钱包,你指定几个守护者,如果你本地的EOA私钥丢了可以让守护者在智能合约上指定新的EOA。这种类型的钱包我常用的是?ZenGo、argentHQ。

这种听起来好像很酷,你是不需要记录助记词了,对新手也比较友好,也非常符合区块链massadoption的keyless的远景。但实际新的问题也接踵而至:托管服务商跑路了怎么办?你的守护人合伙把你坑了怎么办???

想体验这种钱包可以尝试一下,但和上面的冷热钱包一样,一定要清楚背后的原理和各种tradeoff,才能放心使用,否则就是往坑里跳。现阶段我一般不会推荐新手直接使用这种钱包,我认为还不成熟,但我认为日后可能会成为第一选择。??

结尾

好了先写这么多吧,这些钱包资产存储的基础知识已经足够武装一个新手用户了。但其实还有很多问题和细节限于篇幅没法展开了。我相信大家看下来的第一感受是:『区块链太可怕了,我不想用了』。??

是的,放到加密交易平台是最简单省事的,但最近来看也是非常不安全的,我们不得不寻找最优解,涉及到钱多花点力气我觉得还是挺值得的。我有一笔小的资金由于忘了一直在FTX里现在也提不出来了,还好金额较小。有些朋友几百几千万刀也直接放FTX里,灰飞烟灭找谁说理去?

标签:CRYPTOCRYPCRYCRYPTCryptoArtPulseCryptographic Ultra MoneycryptozoicCryptoheadz

抹茶交易所热门资讯
SBF:SBF致员工信:将再进行一次募资 正与Justin Sun进行沟通

11月10日,FTX创始人SBF发布内部信,核心内容如下:?1.首先,我很抱歉,归根结底,一切是我的责任.

1900/1/1 0:00:00
FTX:暴雷后SBF首次对外解释:犯了两个错误

原文作者:SBF原文编译:0x214&czgsws,Blockbeats我很抱歉,这是我最想说的。我搞砸了,我本可以做得更好。我应该在最近这段时间里将我的想法多去传递出来.

1900/1/1 0:00:00
ION:一夜走红的链游Fusionist:靠积分拉新和蓝筹NFT“挖矿”能走多远

Fusionist引入积分拉新和蓝筹NFT“挖矿”的玩法,能成为有效的熊市增长策略吗?近日ArtGobblers通过独有的荷兰式拍卖发行机制,骤增的价格引发了FOMO情绪.

1900/1/1 0:00:00
FTX:FTX不是第一个也不会是最后一个 加密史上6大暴雷事件盘点

11月12日,AutismCapital发推表示,FTX内部人士很有可能正在试图携款潜逃,被转移的金额约为3.8亿美元,看起来好像是黑客攻击,但也有可能是内部人士.

1900/1/1 0:00:00
WEB:盘点由Web2衍变成 Web3 的15个实用项目

原文标题:《Web2.0实用商业项目Web3.0》原文作者:追风LabWeb2指的是众所周知的互联网版本。一个在互联网公司掌控下提供服务来交换个人数据的互联网.

1900/1/1 0:00:00
虚拟资产:一文看懂 香港虚拟资产监管规范全解析

昨天,香港财政司正式发布《有关香港虚拟资产发展的政策宣言》,一时间从内地到新加坡再到加拿大和澳大利亚,区块链圈内人非常关注。诚然,这是重大利好,但我们不能浮于表面,应当认真研究现实问题.

1900/1/1 0:00:00