Introl#
币圈一直有一句名言 “not your key, not your coin”,加密貨幣的核心就是每個人可以絕對的掌握自己的資產。可奇怪的是,明明是能夠真正 “掌握” 自己資產的加密貨幣,我們反而更擔心自己的資產安全性。究其原因就是去中心化資產的去中心化風險也更多,助記詞洩露,被騙簽名,釣魚授權等等讓人防不勝防,哪怕是安全插件的開發者也無法保證安全。
钱包与安全性#
如何防範釣魚的各種提示就和反詐 app 一樣,來來回回就是那幾個方法,所見即所簽、甄別釣魚網址、保管好助記詞、私鑰、檢查授權等等,熱錢包除了上面的問題,還面臨著錢包軟體漏洞,被黑客篡改安裝包等問題,因此有很多人選擇冷錢包或者說硬件錢包,但隨著ledger connect-kit和ledger recovery事件,引發了我對冷錢包的思考(硬件錢包和冷錢包是不同的分類方式,請在後文中注意區分)
硬件钱包 = 安全?#
首先客戶為什麼要選擇硬件錢包?無非就是看重其安全性,硬件錢包安全性的核心來源就是離線存儲助記詞和離線簽名,為了保證安全性,硬件廠商絞盡腦汁,各種級別認證的加密芯片,開發人員也積極適配各種錢包和網絡,保證用戶能夠正常使用。可是ledger connect-kit和ledger recovery讓其安全性大打折扣,用戶再怎麼小心翼翼,擋得住釣魚網站的釣魚授權也擋不住開發工具本身的漏洞,ledger recovery更是說明了硬件錢包所宣稱的 “私鑰永遠無法離開錢包” 是個謊言。
另一個方面,安全性和交互本身是相悖的,鏈上交互次數越多,越有可能中某些黑客的計,造成資產被盜,而且像以太坊這樣的公鏈,gas 費這麼貴,也沒必要頻繁鏈上交易吧。因此儘量減少交互次數才是 “正道”!我本人就是秉持著這樣的理念選擇純離線的冷錢包。
冷钱包#
而冷錢包又根據存儲介質分為了紙錢包、鋼錢包、腦錢包等等。“多介質、異地備份” 是安全存儲助記詞的原則,因此上面幾種錢包我都會使用,互為備份,一般來說,儘量不要明文存儲助記詞,因此,在用紙錢包抄寫助記詞時儘可能進行加密,這裡加密也不要太過於複雜,字母順移或者替換一兩個詞就可以了,太複雜了反而影響自己使用。很多人不推薦使用腦錢包,理由是我們不能過於信任自己的大腦,時間長了會忘,我同意這樣的觀點,但我認為也可以將其作為備份的一種方式,簡單來說就是我們可以使用腦錢包,但是不能只使用腦錢包,必須還有別的方式備份。關於如何記憶,可以看看記憶大師相關的視頻,其實並不難,簡單訓練即可,但要經常性比對,防止出現記憶偏差。最後是鋼錢包,我個人最喜歡的存儲方式,因為其安全性一般高於前兩項,簡單來說就是把助記詞刻在金屬上。下一篇文章我將詳細介紹鋼錢包,並給出一點選擇建議。