- 2024 年 5 月 25 日
- 发布者: ChainEpic
- 类别: 名词解释和科普
无论购买、存储还是投资,必须始终确保加密货币安全无虞。在大多数情况下,丢失货币和代币永远无法找回。
如果在中心化交易平台交易加密货币,请选择身份认证(KYC)与反洗钱(AML)检查符合监管的交易平台。通过审计的点对点交易以及去中心化交易平台最为安全。
在本文中,我们将介绍多种安全存储加密货币的方式。将加密货币存储于受监管的交易平台是初学者和交易者的理想选择。然而,钱包的密钥并不归用户所有。
非托管型钱包的密钥由用户保管,安全性更高。将货币存储在冷存储设备等离线钱包中会更加安全。这两种方式要求以离线方式将私钥妥善存储在安全位置。
使用通过审计的DApp提升安全性,并定期检查哪些DApp享有使用钱包使用权限。DApp使用完毕后,应立刻解除权限。
导语
加密货币的核心是自我主权概念,即用户可以充当自己的个人银行。若能妥善保管您的资金,其安全性甚至将优于戒备最为森严的银行金库。但如若不能,您数字钱包中的资产就将面临远程失窃的风险。
学习如何妥善保护加密货币是踏上加密货币奇幻之旅的关键一步。存储只是安全保障的一个方面。如今,许多加密货币持有者与去中心化金融(DeFi)领域中的DApp交互,还应学习如何安全地使用货币。
就像拒绝将资金托付给信誉存疑的公司打理一样,您也不应该随意使用DApp交易代币。购买和交易加密货币的交易平台也是同样道理。在本指南中,我们会讨论无论将加密货币资产存储于何处,都能有效保障资金安全的最佳技巧。
安全购买加密货币
如今,购买加密货币的平台有很多。其中包括中心化交易平台、去中心化交易平台(DEX)、加密货币ATM以及点对点交易等。每个平台的安全系数不同,各有优缺点。对于多数用户而言,信誉良好的中心化交易平台完美融合了便捷性与安全性。
选择安全的交易平台
币安等中心化交易平台通过加强监管、采取反洗钱(AML)措施以及身份验证(KYC)检查提供安全保障。早期的加密货币交易平台存在问题。经过政府和交易平台运营方的不懈努力,交易环境得到显著改善。
如需使用交易平台,需要将资金转入其托管型钱包。将保障代币安全的责任委托给交易平台,由其根据个人风险状况提供安全保护。如果对钱包不熟悉或对加密货币不了解,使用交易平台钱包可能更安全。此举可避免不小心将自己锁在钱包之外,白白损失加密货币。
然而,部分用户更喜欢通过直接控制资金来保障安全。您可能听说过“不是你的密钥,就不是你的代币”。如果没有真正拥有钱包,其他任何人均可控制您的加密货币。欲了解详情,可以稍后阅读有关存储的章节。
如果决定使用点对点服务或去中心化交易平台,可从以下几点提高安全性。从信誉良好的来源检查针对DEX的审计。稍后,我们会对审计进行详细介绍。币安也会基于公司的安全性和信誉提供DEX。
如需使用点对点服务,买卖双方均需通过身份认证。在理想情况下,还应提供托管服务。虽然不能完全消除风险,但第三方在托管服务中持有资金可以尽量保护买卖双方免于受骗。
如何保护账户安全
如果注册了交易平台或所选交易方法,符合标准的良好做法能够保护账户安全。这些建议与保护在线银行账户或其他敏感信息的方法别无二致。通过以下方式可轻松避免他人盗取您的账户与资金:
1.使用高强度密码并定期更换。密码不得涉及生日等个人身份信息。密码必须足够长并且专属于账户,由符号、数字以及大小写字母组成。
2.启用双重身份验证(2FA)。如果密码不慎泄露,2FA会使用移动设备、验证器App或YubiKey启动第二层保护。登录时,需要使用密码和2FA方法。
3.当心邮件、社交媒体和私信中的钓鱼攻击和诈骗。诈骗犯频繁冒充交易平台以及值得信赖的人,妄图盗取资金。此外,不得下载来源不明的软件,其中可能包含恶意软件。
有关保护账户安全的详情,敬请阅读我们的《7大简单措施为个人币安账户保驾护航》指南。
如何安全存储加密货币
购买或交易部分加密货币并确保账户安全后,下一项重要任务是将加密货币存放于安全位置。如果您不是要将其存入交易平台以供日后交易使用,那么唯一的选择是将其存储于钱包。钱包的私钥所有权以及联网方式各有不同。选择哪种钱包取决于希望达到的安全水平。
什么是私钥?
私钥与真实钥匙相同,可解锁加密货币以供消费。妥善保管私钥并安全使用是保障整体安全性的头等要务。密钥只是一串很长的数字,复杂到任何人都无法准确猜中。用“1”代表硬币的正面,用“0”代表硬币的反面,将硬币抛掷256次就将得到最终的私钥。以下就是一个刚刚生成的私钥。它按十六进制编码(使用数字0-9和字符a-f),从而以更加紧凑的方式呈现:
8b9929a7636a0bff73f2a19b1196327d2b7e151656ab2f515a4e1849f8a8f9ba
如果在Google搜索上述数字,将不会找到除本文之外的任何结果(除非该数字后来被复制到其他位置)。这体现了这串数字的随机性。在此之前,其他人见过这串数字的概率微乎其微。
上述示例仍然无法充分证明私钥是完全随机的。实际上,私钥的数量接近于已知宇宙中的原子数量。简而言之,对于比特币和以太币等加密货币来说,这是一项至关重要的安全原则。您的代币隐藏在难以置信的庞大范围内,因此安全性将得到有效保障。
如果您曾经接收过资金,就一定不会对公共地址感到陌生,它也是由随机数字组成的字符串。公钥是通过对私钥进行某种加密处理之后获得的,继续对公钥进行哈希处理即可得到公共地址。
本文不会详细介绍其原理。您只需要了解,用私钥可以轻松地生成公共地址,但迄今为止用公共地址来生成私钥却毫无可能。因此,您完全可以在博客和社交媒体等渠道公布公共地址,这样做是安全的。只要没有对应的私钥,任何人都无法消费其中的资金。
如果您丢失了私钥,就将无法使用资金;如果有人破解了您的私钥,那么这些资金就可以为其所用。因此,您应保证私钥安全性,使其远离不法分子的视线,这一点尤为重要。
助记词
请注意,现在的钱包很少使用单一的私钥,而是属于分层确定性(HD)钱包,可存储数十亿个不同的私钥。您只需要掌握助记词就够了,这是一组人类可读取的字词,借由这些字词可以生成上述私钥。助记词看起来会是这个样子的:
strike sadness boss daring voice connect holiday vintage quantum pony stable genuine(打击悲伤老板勇敢声音连接假期古老量子小马稳定基因)
除非自己选择使用单一私钥,否则在创建新钱包时,系统会要求您备份助字词。在稍后讨论密钥存储时,密钥一词代表私钥和助记词,可互换使用。
如何保护助记词
12、18或24位助记词是安全保障的关键。取得助记词的人能够将密钥输入个人钱包并盗取资金。您可能也有JSON文件或独立私钥,其功能与助记词相同。根据以下提示,认真思考如何管理密钥。
1.不建议将助记词存储于联网设备。如果下载了病毒或计算机遭到黑客攻击和远程控制,助记词就会面临安全威胁。
2.离线储存更加安全。助记词可以存储在实物或离线设备。即便使用将在后文讨论的冷存储设备,也应妥善备份,以免在设备损坏时无法取得密钥。
3.如果决定将助记词存储于实物,应谨慎考虑使用的材料以及存储位置。将助记词写在纸上不是好方法,很容易毁坏或在家中丢失。您可以选择存放于安全位置的保险柜或将助记词存入银行。一些人甚至将助记词刻入不易损坏的金属,或在助记板上使用金属字体。
热钱包与冷钱包对比
钱包分为热钱包和冷钱包两类,两者的安全性不同。两类钱包涵盖一系列不同的解决方案——敬请阅读《加密货币钱包类型解析》,了解多种示例。让我们来了解两种钱包的不同之处。
热钱包
热钱包是指所有连入互联网的数字货币钱包(例如智能手机和桌面钱包)。热钱包往往能够提供最连贯而流畅的用户体验,在发送、接收以及交易数字货币和代币时非常便捷。然而,这种便捷性往往会以牺牲一定的安全性为代价。
热钱包与互联网相连,因而很容易遭受攻击。虽然在任何时候都不会对私钥进行广播,但在线连接的设备却可能会感染病毒或被不法分子远程访问。
但这并不代表热钱包一点都不安全,只能说它不如冷钱包那么安全。热钱包的实用性更胜一筹,因此通常会成为小额持币的首选。
冷钱包
为了消除重大的在线攻击向量,许多人选择始终离线保管密钥。这正是冷钱包的用武之地。与热钱包不同,冷钱包不会连接互联网。部分加密货币持有者以前会保留纸钱包,即一张印有钱包私钥(通常是二维码)的打印纸。如今,我们认为这种方法已经过时并且存在安全风险。冷存储最好的选择绝对是硬件钱包。
硬件钱包
硬件钱包(如Trezor One或Ledger Nano S)旨在采用类似的私钥离线保管原理,同时又致力于优化用户体验。这些钱包专为存储数字货币而生,与完整计算机相比,便携性更强并且更便宜。
这种实物设备能够安全存储私钥并且无需联网。良好的硬件钱包可确保私钥永远不会离开设备。它们通常存放在设备中的特殊位置,不可移除。如需了解详情,敬请阅读《什么是硬件钱包(以及用它的理由)》。
近年来,硬件钱包行业迅速发展,市场中涌现出数十款不同产品。您可以在币安学院查看有关这些设备的测评。
托管钱包与非托管钱包对比
您也可以选择托管型或非托管型钱包,表明其是否可以访问并控制私钥。如果您使用加密货币交易平台这类在线服务,那么在协议层面,您还并非真正的持币者。相反,您的资金和密钥由交易平台托管和管理(术语“托管型钱包”就是这么来的)。在多数情况下,交易平台会同时使用热钱包和冷钱包,为用户的资金安全保驾护航。
因此,如果您想用币安币交易比特币时,交易平台将在数据库中降低您的币安币余额并增加比特币余额。上述过程并不涉及区块链交易。只有在决定提取比特币时,才会要求交易平台代替您为交易签名。随后,交易平台向网络广播交易,从而将代币转入您提供的比特币地址。
对于愿意将资金交给第三方托管的用户,加密货币交易平台是非常便捷的选择。充当自己的个人银行也会面临一大风险,那就是出现问题时只能自行承担责任。
如果不慎丢失私钥,您的资金就永远也找不回来了。而如果丢失的是帐户密码,只需将其重置即可。您的登录信息仍有可能遭窃,必须按上文所述采取适宜的预防措施保障账户安全。
最佳存储方式有哪些?
不幸的是,这个问题还没有标准答案。否则,这篇文章就可以省去不少篇幅了。采取哪种解决方案,很大程度上取决于您的个人风险偏好以及数字货币的使用方式。
例如,活跃的波段交易者与长期持有者的需求是不同的。另外,处理大额资金的机构必须设置多签名机制,即转移资金需要多位用户同意。
对于普通用户来说,通过冷存储保管不常使用的资金不失为一种好办法。硬件钱包是是最简单直接的选择,但一开始尝试的时候请确保存储您能够承受风险的小额资金。此外,必须依据上述建议对密钥进行安全备份,防止设备丢失或出现故障。
在线钱包是以小额资金购买商品或服务的理想之选。如果将冷存储设备比喻成储蓄帐户,那么移动钱包就好比随身携带的实体钱包。最好的情况是您存储的金额即便丢失也不会导致严重的财务问题。
对于借贷、质押和交易等操作来说,托管解决方案无疑是绝佳之选。然而,在投入资金前,建议制定详细的资金分配计划(例如头寸调整策略)。请注意,加密货币的波动性极大,因此永远不要投入超出个人承受范围的资金。
安全使用去中心化金融和DApp
如需质押代币,请在区块链游戏中使用或参与去中心化金融(DeFi)。您需要与DApp以及智能合约交互。用户必须允许DApp使用钱包中的资金。下文以SushiSwap为例。
例如,授予PancakeSwap自动交易权限,就会允许其开展诸如向流动性资金池增加多种代币这样的自动交易。DApp将不同步骤合并以节约时间。这种操作虽然有效,也存在相关风险。
除非研究过智能合约,清楚了解其运作原理,否则会为后门侵入留下可乘之机。一般来说,项目需要通过审计来证明其智能合约的安全性。Certik是一家著名的审计服务供应商,即使享有如此声誉,也无法一直保证安全性。
不安全的项目会申请转移金额不限或高额代币的权限。缺乏经验的用户很可能会接受这项请求,成为诈骗受害者。即使将资金转出DeFi平台,项目可能仍有部分控制权,有机会盗取资金。黑客也企图控制并滥用智能合约。此时,如果为项目开启了相应权限,可能会遭遇此类风险。
如何解除钱包权限
您应定期检查为钱包开启了哪些权限。若使用币安智能链(BSC),BscScan拥有代币审批查看器工具,可检查并解除任何权限。
首先,复制并粘贴BSC BEP-20地址。然后,点击右侧的搜索图标。
现在可以看到账户中拥有权限的智能合约列表以及通过审批的数量。如需解除权限,点击下方红圈中的按钮。
通过审计的项目更具安全性。
如上文所述,在通过审计的项目中投资代币和货币更加安全。如果与智能合约交互、在资金池质押代币或提供流动性,建议始终寻找通过审计的项目。
审计会分析DApp的智能合约代码。他们负责查找后门、趁机而入的脚本以及其他安全问题。这些问题均报告给项目创建者,由其负责更改代码。所有变更都将体现在最终报告中,向用户展示清晰完整的审计过程。最终报告会面向公众发布。
虽然一次审计并不能保证项目安全,但资金安全性的确可以得到改善。将资金投入未通过审计的项目极具风险。部分智能合约处理大笔资金,很容易引起黑客的注意。如果审计师没有检查代码,这些合约很容易成为攻击目标。
Certik定期更新通过审计的项目列表、项目排名(共100个)以及其他重要信息。
如何防止被骗
不幸的是,加密货币吸引了许多不法分子。他们企图趁机侵入其他用户的账户并盗取加密货币。一旦资金被盗,通常无法追回。不法分子滥用加密货币的匿名性,许多用户直接控制高额资金也让他们有机可乘。
您应始终保持警惕,拒绝给不认识的用户转账。转账前,也必须仔细核查对方的身份信息。以下最常见的骗局值得警惕:
1.网络钓鱼 – 您可能收到过交易平台或使用的其他服务发送的邮件,要求登录账户或提供个人信息。这可能是意欲盗取信息的骗局。
2.虚假交易平台 – 部分移动App或网站经常仿照交易平台的外观。输入个人信息后,不法分子就会趁机盗取真实账户。
3.敲诈勒索 – 不法分子可能会发送恶意软件,随意盗取文件。用户很可能使用比特币或其他货币将文件赎回,但付款后也未必会收到文件。
4.金字塔骗局和庞氏骗局 – 不法分子邀请您加入新项目并购买其代币,或者完成一笔要求支付加密货币的特殊交易。然而,这些过于诱人的条件,往往是陷阱的征兆。您必须自己做好调研,确保投资安全。
5.冒名顶替 – 不法分子经常冒充官方人士、您信任的人甚至是好友。他们会向您索要加密货币或者通常需要严格保密的信息。在这种情况下,必须反复确认对方是否为本人。
如需详细了解这些骗局以及防范策略,敬请阅读我们的《8种常见的比特币骗局及其防范策略》指南。
读者1:Discord社区投稿者 @kei8888#6675
『请拒绝提供任何资讯给陌生来电或SMS』
如果有陌生人以电邮,手机SMS或者打电话给你,要求你提供密码或个人资料,就要提高警觉。
其次,利用假的USDT行骗也是近期非常常见的手法。骗徒会自称意外转错USDT去你的钱包,并需要你立即转回给他。在这个情况下,可以可以先去不同的区块浏览器例如Etherscan和Bscscan仔细核对清楚USDT合约地址以及交易数据是否正确。
另外如果遇上不知名的交易所,最好先 DYOR 在Coinmarketcap调研一下。如果在Coinmarketcap网页是找不到,就要提高警觉。
读者2:Discord社区投稿者 @WX115#7394
『切勿点击陌生连接、勿相信过美好的报酬』
如果用户对3个方面多加注意就可以尽量避免资产被盗走的情况。
1:骗子大多活跃在电报(Telegram)和Discord,他们会先跟你私聊,慢慢赢取妳的信任。然后再发你假钱包链接,让妳开帐户并输入钱包助记词。骗徒会在假钱包内每天给妳返佣,等妳以为很安全的时候,并转入自己的资产,就会发现资产被骗子盗走并转去其他钱包。
2:一定要认真查看Dapp 的链结是否与官方网页地址显示一致。很多骗子就是在网址上动手脚,让用户信以为真,一旦用户授权钱包或者导入钱包后,用户的资产就会被盗了。
3:切莫贪小便宜,很多骗子抓住普通人爱贪小便宜的心态去行骗。骗子会自制Dapp 并在程式内提供比正常交易所更高额的年化率,吸引用户使用。把但当你想把全部资产转移到这个Dapp,并在及后提现的时候,网址就会变成404。
上述这些惨痛经验,让我们知道验证网站和Dapp安全性的重要,读者4 Myron也提供一些验证Dapp安全性的方法给大家参考。
读者3: Discord社区投稿者 @Myron#2738
【仔细验证网站的真实性】
许多用户与Dapp互动的时候,习惯直接于浏览器搜寻,并点选位于最上方的网站选项,然而这正正有机会落入不法之徒的骗局。如今的诈骗者已经学会利用投放广告的方式,令假网站出现在搜寻引擎的优先显示列表,若用户不慎点入假网站并与该网站连结钱包,就可能会损失所有的钱包资产。
因此您务必仔细核对欲使用的网站是正确的,以下提供几个方法:
1.从Dapp项目的官方社群(如: Twitter、Discord、Linktree、Telegram)点选其公告的网址。
2.在第一次进入Dapp官方网站并使用及连结钱包后,将该网址加入您的浏览器书签,往后使用该DAPP时只点选书签保留的网址,而不是重新在浏览器中搜寻。
3.若从浏览器搜寻Dapp,仔细查看该网站的网址是否异常或明显不是正确的网址;又或是进入已使用过的Dapp网站时若跳出不寻常的连结、授权的指令要求签属,则不要连结您的钱包并尽快退出该网站。
总结
在加密货币安全保障方面,当今的区块链领域提供了诸多安全手段。从交易、存储到使用加密货币,这些简单建议有助于保障资金安全。每种存储方案的优缺点并存,因此必须了解折衷方案。还是那句话,无论您在哪个平台投入资金或加密货币,请务必自己做好调研。