本文重点:
% x! i- ?) m; N' c& V" f
2 E' `: x5 B* u( H& U3 g; c6 [( B- 加密货币投资安全是第一优先5 ]( N1 K2 H, r/ f5 l! ~: E
- 交易所有完整安全机制但交易所本身可能出事+ B- W3 n C" ]+ y u# P3 I& [
- 现阶段加密货币钱包没有太多可用安全机制但使用得当就很安全 T, X% Q h2 f; R
- 期待 AA 钱包未来能结合两者优点
7 r: |' g3 h" F2 B. J$ Z# A - 简易判断法:你和交易所谁出事的风险高?
8 E6 a8 I; X D7 s) u: }' k
加密货币投资第一优先事项:安全8 B% T( g5 h% Q- ?* O
9 ]5 T* ?6 o3 e8 v$ b3 ^" ^& l, Z ~3 W
如果赚到钱但领不出来,或随时有可能本金被盗走,这么危险的投资应该没有人愿意做。加密货币领域还在相对早期阶段,许多机制还不是那么成熟完整,虽然有更可观的投资报酬,风险确实也比较高,但投资就是想要赚钱,赚到的钱要能带走,本金要能保住,这是最重要的两件事。
& m7 c7 a( Q4 Y# |+ t- _也因此许多初入币圈的人会问:币要放在哪里才安全?交易所跟钱包哪个比较好?
1 x; ~( M, M6 i5 I8 R; \0 j这篇文会介绍交易所与钱包现有的安全机制,以及各自适合的使用场景与习惯。
0 v6 ?$ T* W$ s! F. H' b交易所六项安全机制 - 简单保护自身资产1 d; J! K( p5 [. t* N( u
针对存放在交易所里面的加密资产,以及我们的交易所帐户安全,主流交易所通常有这些安全机制:& k! Z4 ?8 a @
一.2FA (两阶段验证) 登入-交易所使用上跟网路银行有点像,要注册帐号,使用前要登入。2FA 是在帐号密码之外,还需要其他验证码才能登入,例如 email 、手机短信收验证码,或使用第三方验证工具例如 谷歌验证器. X1 y" w1 i- s* Y( g/ ~
二.新 IP 登入警告-只要有新 IP 尝试登入就会发 email 通知,可以即时知道是否有其他人在偷偷登入你的帐号
% ^4 E' s7 V$ B+ d0 i三.登入设备管理-查看登入的设备,也是用来检查是否有人偷偷登入帐号, E M9 A: @) j L# {! S
四.另外设提币密码 (不同于登入密码)-提币的时候需要另外输入一组密码,就算登入密码外泄,只要提币密码设定不同,别人登入后依然无法提币
& \+ u l; ?, @$ n5 M( q5 L五.提币白名单地址限制-只能提币到设定清单中的地址,新增地址通常会限制一段时间后 (例如一天) 才能提币,就算密码都外泄,对方也无法立刻把币提走: {' O8 X# u/ z$ d9 M
六.提币额度限制-设定一日内提币上限,就算一切失守,对方也无法在短时间内把所有资产提光
& H5 q5 x. _' I t3 Z% E一个交易所不一定会同时有上述六种机制,但通常至少会有其中四五种以上。这些机制可以分类成三部分:2 @, S( P9 V. Z. P" o: c8 I
登入相关-增加登入验证步骤,确保是本人登入。
: e& d+ i5 g8 p+ ?* O: j; N提币相关-增加提币限制,额外密码、额度或白名单地址限制。
& _& T5 H$ T2 z1 b异常警告-帐户有异常活动时立刻发通知, ]+ K9 n0 _" ~. d7 g7 U! S7 ]
安全机制通常预设关闭,必须由使用者自行开启设定,一旦开启其中多数安全设定,资产被盗走的难度会大幅提高1 ], I8 \2 o r1 t3 L; @2 E
一旦设定了 2FA 两阶段验证,对方拿到帐号密码也没用,还得骇入其他验证装置,例如手机或 email 信箱;一旦设定了提币限制,就算成功登入也无法提币,就算设定白名单地址也得等时间限制后才能提币,这时帐号主人应该已经收到异常警告,可以赶紧改密码或先把币提到其他地方
" K2 I' u% O: z+ q0 F/ E* w相关安全设定都开启之后,假设真的点到钓鱼网站,在钓鱼网站输入帐号密码,也输入 2FA 验证码,对方也很难盗走什么东西,最大被盗的可能性也许是对方拿到你的手机,而手机 App 设定使用指纹或脸孔辨识登入,对方又刚好就在身边可以直接拿你的手指通过验证,这种情况才能绕过重重安全设定成功盗取交易所内的加密资产0 A7 L L8 u9 ]% k+ `& S
交易所帐户没有私钥,不怕遗失私钥,忘记帐号密码也没关係,只要能够证明是本人,就可以透过客服来协助重新设定帐号密码
2 Y9 c# i* m5 \! I% y# c总结来说,如果交易所的安全设定都有开启,交易所裡的资产其实很难被盗走,大多数被盗都是一开始就注册到假的网站,或没有设定 2FA。交易所也不需要担心搞丢私钥,最大的风险在于交易所可能挪用客户资产,或交易所自己被骇,可能造成资不抵债,甚至可能卷款跑路
f: o5 l& K% _) {! q交易所被骇的事件在近年来已经有所减少,但挪用客户资产的事件依然时有所闻,例如 2022 年的 FTX,2023 年的 BKEX,尽量只使用头部交易所,排名前面的不一定绝对安全,但通常会比较安全;尽量使用有提供资产储备证明 (POR) 的交易所,也尽量不要把所有资产放在一间交易所裡,不要把所有鸡蛋放同一个篮子里" P: s: U/ G- e( z, _+ x6 e) @
加密货币钱包安全靠自己,私钥请妥善保存- Z; R) [; m; \, z
' M N$ J; f4 }& I p当前的加密货币钱包其实没有太多安全机制,主要得靠使用者本身6 K1 s; t8 M: Z& ^! G( @
加密货币钱包不需要登入,主要是私钥,一旦拥有私钥就可以汇入该钱包掌控其中资产,只要私钥或助记词外流,对方就可以提走钱包中的币,就算立刻发现也无法阻止,当下能做的就是比手速,比骇客更快把币转走
* B9 F& M8 O" p, J& a名词解释:& Q0 F& B: M+ m+ {: {
私钥是一串乱码,助记词是转换成比较容易记忆的 12 - 14 个英文单字,再透过数学算法计算出私钥,功能上差不多,一旦外流就等于失去了这个钱包的控制权
# f; I7 m- c7 j/ W只要是正规的加密货币钱包,都是非託管钱包,厂商只会更新软体,不会帮忙管理你的钱包和资产,私钥只有使用者自己可以纪录和备份,一旦忘记就没了,客服也无法协助恢复
; S7 ~. i# k! i+ W3 f私钥有没有外流? 目前无从得知# J9 P t% W4 D- \' w9 d
也许已经外流了,只是因为裡头钱还不多,对方还不想动手,钱包主人无法知道有没有外流;交易所有异常登入警告,加密货币钱包没有。一般的加密货币钱包也无法设定提币白名单地址限制,额度限制等也不行" {0 e+ j# W: F+ h
加密货币钱包安全机制大概有这几项:
- t9 H1 d. {8 \4 C( g多重签名机制-发起交易需要好几个人一起授权签名,不怕单一私钥外洩。但这对一般人来说很难使用,资产很多的钱包才会设定
7 g. K, A. q) \0 s- N, P4 }; r每个钱包地址都单独授权-一份助记词可以创立数十个钱包地址,在同一个钱包工具中就可以操作。每个钱包地址对应一组私钥,每次操作授权合约也只限定在这个地址上,就算出错也只有这个地址有风险,其他地址都没事 (除非外流的是助记词),如果针对每个网站都用不同的钱包地址,可以很好的做到风险隔离' Q8 { h3 z6 i8 {$ ?* ~; X3 L2 q! b
某些加密货币钱包 / 浏览器扩充功能有智能合约安全扫描-加密货币钱包操作时需要和网站连线,并授权智能合约操作,但如果连线到钓鱼网站、授权给诈骗合约,资产就会有风险。有些加密货币钱包有提供相关安全扫描的功能,授权前会先扫描安全性并给予警告
: w2 [& a, d. J- c' b5 X* P/ R( W: P3 a, M1 b7 B* b' d. x% b
( w1 d# ?7 S9 a4 d' @使用设备进入网址登录时,一定一定一定要确认好是否为钓鱼网站,很多网站与官网只有细微的差别,一定要注意( P# h2 _% ]& z4 C
硬体钱包操作时需要插入实体钱包 (类似交易所的实体金钥)-加密货币钱包还能分成冷钱包跟热钱包,连网的是热钱包,不连网的则是冷钱包。冷钱包通常以硬体钱包的方式呈现,私钥只存在硬体钱包裡面,硬体钱包本身不能连网路,使用时须将硬体钱包插上电脑才能签名授权,没有拿到这个实体钱包就不能用。除非自己把私钥抄给别人,不然硬体钱包几乎没有私钥外流风险,硬体钱包中的私钥隔离存放,就算使用的电脑中毒,硬体钱包中的私钥也不会外泄
3 ?! F# t% h/ W, `$ @/ t总结来说,现阶段的加密货币钱包还没有太多好用的安全机制,多签对一般人来说不实际;每次连不同网站使用都创新的钱包地址,管理起来也很麻烦;安全扫描并不是每个钱包都有这功能,现阶段大多还是依靠第三方工具来检查;至于硬体钱包还得另外花钱购买以及学习使用,通常也是有一定资产规模的人才会选择硬体钱包
5 d, E" p" A( G$ u* Y, J/ T现阶段只要想提高加密货币钱包安全性,几乎都得伴随着不便和成本提高
- {6 T3 z8 i6 {( f3 b" X加密货币钱包的安全主要还是靠使用者自己,只要确保私钥不外流,以及不要授权给有风险的智能合约,加密货币钱包裡的资产就很安全3 o) {) r4 D4 g$ ]4 s0 V. w1 U
私钥一外流就再也不安全了,如果觉得有外流疑虑,务必立刻创建新的钱包并将币转过去,不要继续使用有疑虑的钱包。外流之外还有个风险是忘记私钥,如果忘记私钥,也没有做好备份或是备份遗失,那裡头的资产就从此与你无关,所以也务必做好助记词与私钥的备份( E U5 _ J' e, W6 L q+ ?! Q+ X
看起来交易所比加密货币钱包安全很多,为什麽有那麽多人使用加密货币钱包?
6 E) M: k6 `& O* t; S0 |就是因为标题这句话:
6 z5 U7 ] y1 q/ sNot Your Keys, Not Your Coins' f, q. j3 X" E0 N8 c
不是你的私钥,就不是你的币1 C. |( Y) ^ A9 y5 U
交易所被骇,我们的资产就有损失风险;交易所挪用,我们有风险;交易所管理不当,我们依然有风险。风险掌握在交易所手上,自身风险掌握在他人手上,使用交易所的过程中等于要信任交易所这个中心机构,这些都违反区块链加密货币去中心化的特性
P- ~' s$ H0 V, `在去中心化的世界裡,我们不需要信任它人,只需要信任程式 (合约),也不把自己的安全依赖在别人的行为上,风险自己掌握自己承担3 R) ~2 B- n! S) h
使用交易所 > 如果都做好安全设定,剩下的风险是交易所,安全要依赖交易所5 W, G) y6 p3 f; c/ s
使用加密货币钱包 > 不需要担心资产被挪用,不需要担心交易所乱搞,安全靠自己: l, h& i- J, U
没有最安全的选择,只有最适合你的安全方式% j7 m. s, }% m! Z: m; u" W
如果是个去中心化信仰者,完全认同区块链去中心化的特性,那当然得使用加密货币钱包,最符合去中心化的特点5 L9 `+ a" \6 b, Q$ v
如果不是去中心化信仰者,只想安全操作加密货币,要怎麽判断自己更适合交易所或加密货币钱包?
. s0 G' @, H. A你的风险比较高? or 交易所的风险比较高?
, ^" K: ?+ I; Y0 V如果本身资安观念很好,工作跟玩币的设备都分开,每次连新网站都会检查,知道怎麽安全备份私钥助记词,那麽使用加密货币钱包确实会比交易所更安全,毕竟不需要承担交易所本身的风险
3 y2 _5 b& O& G7 q- [如果本身资安不是那麽熟悉,常常贪图快速方便就忽略细节,也常搞丢东西,那麽使用交易所并开启所有安全设定,会比使用加密货币钱包要安全很多 |
提升卡
置顶卡(30天)
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡