Introl#
币圈一直有一句名言 “not your key, not your coin”,加密货币的核心就是每个人可以绝对的掌握自己的资产。可奇怪的是,明明是能够真正 “掌握” 自己资产的加密货币,我们反而更担心自己的资产安全性。究其原因就是去中心化资产的去中心化风险也更多,助记词泄露,被骗签名,钓鱼授权等等让人防不胜防,哪怕是安全插件的开发者也无法保证安全。
钱包与安全性#
如何防范钓鱼的各种提示就和反诈 app 一样,来来回回就是那几个方法,所见即所签、甄别钓鱼网址、保管好助记词、私钥、检查授权等等,热钱包除了上面的问题,还面临着钱包软件漏洞,被黑客篡改安装包等问题,因此有很多人选择冷钱包或者说硬件钱包,但随着ledger connect-kit和ledger recovery事件,引发了我对冷钱包的思考(硬件钱包和冷钱包是不同的分类方式,请在后文中注意区分)
硬件钱包 = 安全?#
首先客户为什么要选择硬件钱包?无非就是看重其安全性,硬件钱包安全性的核心来源就是离线存储助记词和离线签名,为了保证安全性,硬件厂商绞尽脑汁,各种级别认证的加密芯片,开发人员也积极适配各种钱包和网络,保证用户能够正常使用。可是ledger connect-kit和ledger recovery让其安全性大打折扣,用户再怎么小心翼翼,挡得住钓鱼网站的钓鱼授权也挡不住开发工具本身的漏洞,ledger recovery更是说明了硬件钱包所宣称的 “私钥永远无法离开钱包” 是个谎言。
另一个方面,安全性和交互本身是相悖的,链上交互次数越多,越有可能中某些黑客的计,造成资产被盗,而且像以太坊这样的公链,gas 费这么贵,也没必要频繁链上交易吧。因此尽量减少交互次数才是 “正道”!我本人就是秉持着这样的理念选择纯离线的冷钱包。
冷钱包#
而冷钱包又根据存储介质分为了纸钱包、钢钱包、脑钱包等等。“多介质、异地备份” 是安全存储助记词的原则,因此上面几种钱包我都会使用,互为备份,一般来说,尽量不要明文存储助记词,因此,在用纸钱包抄写助记词时尽可能进行加密,这里加密也不要太过于复杂,字母顺移或者替换一两个词就可以了,太复杂了反而影响自己使用。很多人不推荐使用脑钱包,理由是我们不能过于信任自己的大脑,时间长了会忘,我同意这样的观点,但我认为也可以将其作为备份的一种方式,简单来说就是我们可以使用脑钱包,但是不能只使用脑钱包,必须还有别的方式备份。关于如何记忆,可以看看记忆大师相关的视频,其实并不难,简单训练即可,但要经常性比对,防止出现记忆偏差。最后是钢钱包,我个人最喜欢的存储方式,因为其安全性一般高于前两项,简单来说就是把助记词刻在金属上。下一篇文章我将详细介绍钢钱包,并给出一点选择建议。