加密货币钱包及安全问题101

  • 加密货币钱包及安全问题101

    發布人 Brave 2023-12-08 00:42

    V0.0.1草稿

    加密货币钱包,又称Web3钱包,是Web3体验的核心。在加密兔子洞和五彩斑斓的美丽新世界中,加密钱包是最重要的入口和超级应用。钱包使得管理和转移数字资产变得可能,同时也可以用来管理用户的数字身份信息。因为加密货币钱包的重要作用,其安全问题至关重要。

    加密货币钱包有什么用?

    现实世界中的钱包是你保管现金、信用卡和身份证等个人贵重物品的地方,在区块链世界,加密货币钱包不仅保管加密货币私钥,还可以像管理银行帐户一样查看余额、发送和接收加密货币。

    加密货币钱包是一种软件程序。实际上,加密钱包不存储加密货币本身,而是存储私钥和公钥。这些密钥类似于银行帐户的帐号和密码。其中,私钥的作用是为个人加密钱包地址提供独特的个人密码,公钥则添加了一个额外的安全层,确保钱包无法被黑客攻击。丢失了私钥,你将无法掌控你的加密资产。

    在当下,我们已经可以通过加密货币钱包来连接各类dAPP,与区块链上的去中心化应用进行交互。去中心化的数字身份,也正在被整合到加密货币钱包之中。随着区块链应用逐步进入主流社会的视野,钱包中保存的数字身份数据,则可以让用户在Metaverse、教育机构、政府机构等公共服务中被识别。

    简言之,钱包类似浏览器和应用商店在Web2时代的作用,在导航Web3生态系统方面扮演着重要角色,所以保护钱包的安全性非常重要。一旦钱包被破坏,其所有者可能会面临严重的后果。

    加密货币钱包的技术本质是什么

    如上所述,钱包是一种管理密钥、跟踪由密钥派生的地址的区块链活动并构建交易的软件。加密货币是区块链这个账本记录的数据,从未离开过区块链,因此,加密货币钱包本身并不存储加密货币,而是只是存储着密钥。其中,私钥就代表着权利归属,就是一切。

    钱包软件管理助记词、私钥和公钥。助记词通常是由钱包生成的12、15或24个单词的单词列表。若你的设备发生损坏,你只需要在新的设备上再次下载相同的钱包软件,并填入助记词,就可以重新看到你钱包里的加密货币。

    类似GPG软件的原理,助记词被用于生成私钥,这是支出资金和证明所有权的核心根据,请不要把你的私钥或助记词告诉任何人。私钥被黑客获取,就意味着你的资产归零。助记词被别人知道,你的钱就成了别人的钱。

    而公钥,从安全角度来说,则可以公开,但是公开也可能暴露你的一些隐私信息。简单讲,如果把公钥理解为银行卡号,只要知道你的公钥,就可以在区块链浏览器中查看你的所有钱包活动,查看相应钱包的交易历史。

    当有人向你发送加密货币时,他们实际上是将这些加密货币的所有权签署给你的钱包地址。若你的私钥和与所分配货币的公共地址相匹配,则你的钱包中的余额将增加,同时发送人的余额相应减少。

    加密货币钱包都有哪些类型?

    分类一:简单钱包和复杂钱包

    最简单的钱包不涉及到智能合约,只是用来存储私钥。智能合约钱包则是一种复杂的钱包类型,允许用户通过智能合约来控制他们的资产。这些钱包通常提供更高级的特性,如多签名,限制转账,恢复机制等。

    智能合约钱包的关键优点是它们能够提供强大的安全性和灵活性,同时也能够支持更复杂的交易类型。

    但问题是,这也增加了操作的复杂度,若在日常操作中使用不当,也会带来额外的风险。比如,复杂的智能合约钱包,如果授权不当,或者合约存在漏洞,更容易遭到黑客攻击。

    目前市面上的比特币钱包、门罗币钱包多为简单钱包,而很多智能合约公链的钱包,则是复杂钱包。

    分类二:托管钱包和非托管钱包

    如果一个钱包,除了用户外,还有项目方可以参与管理,掌握私钥,这就是托管钱包。托管钱包是高风险的,因为交易所随时可能跑路。你需要信任托管方的诚信,这违背了主权个人原则。加密货币交易所的钱包,都是托管钱包。

    非托管钱包,则是我们上面讲的最典型的钱包,用户完全可以掌控私钥,因而对资产有完全控制和所有权。但与此同时,这也意味着用户必须负责保护自己的密钥。很多时候,用户很容易搞丢他们自己的钱包私钥。

    例如,Exodus和Trust钱包都是非托管钱包,相比之下,你的币安APP则是一个托管钱包。

    分类三:单币种钱包和多币种钱包

    有很多钱包来自特定的区块链社区,由社区的开发者开发,只支持存放特定币种的私钥。也有很多钱包来自行业内的服务者,可以同时支持多种加密货币的私钥存放。

    例如,Cardano生态的很多钱包都是社区驱动的单币种钱包。Exodus则是个比较知名的多币种钱包。

    分类四:开源钱包和闭源钱包

    并非所有钱包都是开源的。由于行业尚处于早期,目前有很多钱包开发者为了保持竞争优势,并未将自己的钱包开源。然而,闭源的未经审计的钱包,存在较大的安全风险。

    例如,以比特币生态为例,Electrum是一款功能强大且被广泛使用的开源的比特币钱包。

    分类五:冷钱包和热钱包

    冷钱包也就是离线不联网的钱包。最原始的一种冷钱包是纸钱包,也就是把私钥和公钥以纸质形式打印出来的钱包。但这太不方便了,也容易损毁。我们可以用旧的设备自制冷钱包,也可以购买硬件钱包。

    硬件钱包则是一种更为先进的冷钱包,它是一个安全的硬件设备,将私钥存储在类似于USB驱动器的设备上。仍然可以进行在线交易,但钱包大多数时间是离线的,通常被认为是最安全的存储和保护私钥的方法。

    热钱包则是大家在线上交易时经常使用的日常钱包。因为私钥是可以联网的,一旦私钥被盗取,黑客就可以利用私钥转移用户的加密货币,造成财产损失。即便是非托管的开源热钱包,也可能存在漏洞,被黑客攻击。

    硬件钱包的优点是安全性较高,因为它们不直接连接到互联网,而是将私钥与互联网隔离,这大大减少了被黑客攻击的可能性。

    基地非常推荐大家使用Trezor这个软件硬件均为开源的多币种硬件钱包。

    分类六:软件钱包和插件钱包

    很多钱包就是一个浏览器插件,下载安装后就可以在浏览器中使用。也有的钱包是一个软件,需要安装到电脑或者手机上才能使用。很多流行的钱包,既有插件版本,也有软件版本。

    以以太坊生态为例,Metamask既有插件钱包,也有软件钱包。

    软件钱包也可以被进一步区分为桌面钱包和移动端钱包。

    分类七:轻钱包和全节点钱包

    轻钱包是一种不需要下载完整区块链数据的钱包,它依赖于其他全节点来获取区块链数据。通常具有更小的存储空间需求,因为它只保存与用户相关的交易数据,而不是整个区块链数据。轻钱包的同步速度较快,因为它只需要获取与用户相关的交易数据,而不是整个区块链数据。

    全节点钱包是一种需要下载并保存完整区块链数据的钱包,它可以独立验证和存储所有的交易数据。全节点钱包具有更高的安全性,因为它可以自主验证交易,并不依赖其他节点。全节点钱包有助于推动去中心化,但缺点是同步速度较慢,占用设备的资源较多。

    以Cardano生态为例,Lace钱包、Yoroi钱包、Nami钱包都是轻钱包,桌面端的Daedalus则是一个全节点钱包。

    别让钱包骗了你,新手避坑第一课

    因为有利可图,市面上有大量的坏蛋制作和传播假钱包。当前假钱包网站和应用在网络中已大量存在,成为新手第一坑,给个人资产带来了巨大的风险。

    区块链世界是一个法外之地和黑暗森林,奉行黑暗森林法则。很多新手都是刚刚进入这个领域,就安装了假钱包,资金被盗,倾家荡产。根据慢雾的调查统计,因下载假钱包App被盗的比例占受害者被盗原因的61%,而私钥泄露占28%,其他原因包括授权被盗、诈骗以及合约漏洞。

    因此,新手避坑的第一课就是:只下载主流的加密货币钱包,并避开某些垃圾搜索引擎,直接到官网下载,在完全干净的设备里安装,并反复核对文件信息和安装过程。

    如何让自己的钱包更安全?

    为了让你的钱包更安全,你需要做如下工作:

    第一,学会备份你的助记词: 钱包的恢复通常依赖于助记词。这些敏感信息应该被安全地备份,并存储在多个地方。同时,必须确保只有你自己可以访问。

    第二,离线保管助记词,做好加密,确认不会被泄露。这需要进一步学习一些密码学知识,我们将另文讨论。

    第三,使用靠谱的热钱包,并定期更新你的钱包软件。确保使用经过审计的钱包,同时,钱包软件的更新通常包含安全性的增强和bug修复。定期更新钱包软件可以帮助你保持最高的安全性。

    第四,使用冷钱包特别是硬件钱包来保存你的大额资产。对于资金较多的用户,使用硬件钱包是一种更为安全的选择。硬件钱包可以将你的私钥存储在一个物理设备上,并将这个设备从互联网上断开,从而避免黑客攻击。

    第五,狡兔三窟,不要把鸡蛋放到一个篮子里。基地推荐大家使用两个或多个硬件钱包来存储主要的加密资产,而将其余的较小金额根据日常使用需要,分散在软件钱包和插件钱包中。

    总之,在Web3时代,钱包的安全性比以往任何时候都更为重要。我们应该采取一切可能的措施来保护我们的钱包,以确保个体数字资产和身份信息的安全。

    Brave 回复 4 months ago 3 成員 · 3 回复
  • 3 回复

Log in to reply.

讨论開始
00 回复 2018 年 6 月
現在