保住你的代币——链上玩家钱包选用攻略
聪明钱不仅需要玩的聪明,更要聪明的保管。
撰文:Pzai,Foresight News
越来越多的玩家正在涌入链上的金矿中,力图发掘自己的未来机遇。而在链上使用过程中,用户可能会产生一定的误操作,包括但不限于转错地址(有链上用户因为转错近 8000 枚 ezETH 而导致巨额损失)、签名损失(permit)、授权被盗等等。
而在自身操作之外,外部风险也在悄然逼近。最近一链上交易工具的暴雷将用户号称「自托管」的钱包私钥通过各种方式传输并盗取,也为许多链上用户的资产安全蒙上些许阴影。本文整理了在钱包使用中的基本认知,希望为链上用户提供更好的钱包使用参考。
钱包私钥
链上钱包大部分都是「自托管」钱包,一般需要用户自我保管钱包私钥 / 助记词。而对于钱包私钥的保存,市场上的解决方案五花八门,现有较主流的私钥保存方式有以下几类:
-
手动型——在钱包使用前,用户创建的钱包需要自己手动备份钱包助记词或私钥。大部分软件和硬件钱包都采用这一模式
-
云备份——一些钱包(例如 Worldcoin 或 Ledger Recover)提供云备份功能,允许用户将钱包加密备份至 Google Cloud 或 iCloud 等云服务中进行保存,在丢失账户访问权限时可以通过云盘恢复。
-
无私钥——用户通过外部介质(例如通行密钥或 Google 账号)创建无私钥钱包,通过钱包提供商的服务进行链上访问。
对于私钥安全性而言,手动型的安全性对用户的保存习惯有一定要求,一般需要多点备份,并且有遗失备份的风险。为了降低用户自托管的难度并为大规模应用铺垫,很多钱包应用转而与 Web2 云服务进行结合,通过相对中心化的安全性提供服务。
从使用体验上看,后两者无疑是最符合用户操作习惯的,也减少了一定的用户侧私钥泄露风险,但现今很多链上工具都直接在工具内生成钱包,需要用户自行备份。对于用户而言,高频率的交互一般需要直接与链上功能结合,故私钥作为最普适的形式,适用范围也最广,而一般用户会采用电脑或手抄方式进行私钥备份,但大部分在电脑上的私钥存储都具有被网络的攻击风险,所以建议所有自托管钱包的私钥都进行不触网保存。
硬件钱包
另一方面,很多用户也采用硬件钱包的方式处理交易。硬件钱包的一大优势是相比于软件钱包在交互上触网,硬件钱包能够确保私钥不会泄漏到设备外。
现有的硬件钱包交互行为主要分为两类:
-
二维码型:用户采用二维码与钱包进行交互,设备对交易二维码扫描签名后反馈回钱包
-
连接型:用户将设备通过蓝牙或数据线连接至电脑或手机等外部设备进行交易签名
以 Ledger 为例,其产品线内的几个钱包分别有支持 USB-C 和蓝牙的功能,价格各有不同。一些硬件钱包也支持二维码签名。
对于硬件钱包用户而言,二维码签名的适用范围最广,但对设备的硬件需求最高,价格也最贵。而相对便宜的钱包需要连接数据线进行使用,相应的普适性也不足。但作为现有安全性最高的钱包类别,对有一定资金保管需求的用户而言还是有价值的。另外,一些解决方案也正在将二维码签名功能转移至常用手机等设备(如 AirGap Wallet),但相比于纯硬件钱包而言,对设备不触网的要求相对降低。
操作习惯
除了对钱包的了解,自身使用钱包的习惯也需要足够重视。在很多被盗事件中,有一些风险是用户操作中可以被避免的部分,在此笔者整理了几个相关的有益操作习惯。
安全插件
采用安全插件进行交易识别应当是所有链上用户的共识。现有的安全插件(如 Scam Sniffer 和 AlphaOS 等)可以覆盖包括前端风险、授权(签名)风险和交易风险等提示功能,并能够对交易进行进一步解析,对资产风险做细分化提示。
地址簿
地址簿作为钱包的常见功能之一,如果养成地址簿习惯便可大幅降低转账错误的风险。但由于每个钱包的交互逻辑不同,用户对地址簿的触达也略有差别,以 Phantom 为例,可以点击左上角——设置——地址簿进行设置。Metamask 设置也类似。
剪贴板
剪贴板作为用户复制粘贴的信息留存地,敏感信息自然不可长久留存。一些攻击者使用「剪贴板劫持者」等恶意软件,让其在剪贴板中运行,以替换被复制的钱包地址(所以需要常记地址簿)或窃取私钥。在用户使用上,笔者建议尽量不要让私钥被拷贝到剪贴板,如果一定需要的话也需要在断网条件下复制,在通过清除工具清理剪贴板后再触网。
比推快讯
更多 >>- 香港法院通过区块链送达代币化法律通知,冻结非法钱包资产
- 贝莱德第四季度营收达 56.8 亿美元高于预期,管理资产规模达 11.55 万亿美元
- CryptoQuant:特朗普政策或推动比特币 2025 年冲至 24.9 万美元
- AI驱动的Web3约会平台METYA完成新一轮融资,TIDO Capital等参投
- Matrixport:比特币 21 周移动均线目前位于 85,000 美元,保持在均线之上将持续牛市
- 美SEC主席:对预测市场Kalshi聘请特朗普儿子作为顾问没看法
- 特朗普之子 Eric Trump 已关注 Sui Network 官方 X 账号
- 韩国FIU将于1月21日审议Upbit涉嫌KYC违规问题
- 贝莱德数字资产主管:比特币的采用仍处于早期阶段
- 或受富兰克林关于“AI 代理将革新社交媒体言论影响”,多个AI 代币上涨
- Berachain生态游戏项目Beratone宣布获得200万美元种子轮融资
- 10x Research 研究主管:比特币有望在 1 月 FOMC 会议前迎来突破
- Coinbase发文强调上币审核标准
- Osprey Funds寻求美国证券交易委员会批准将比特币信托转换为ETF
- Spark Protocol 正将 Ethena 的 USDe 合成美元整合到其“流动性层”
- USDC的市值在2024年增长79%
- 特朗普宣布将设立新机构负责征收所有来自外国的税收
- Ripple 向加州野火救援工作捐赠 10 万美元
- 加密货币恐惧与贪婪指数值升至70,仍为 “贪婪”状态
- 美国证交会起诉马斯克:未按规定披露买入推特股票,少花1.5亿美元
- 美国证交会起诉马斯克涉嫌证券违规
- 美SEC将Bitwise BITW转换为ETF的申请决议推迟至7月
- Gary Gensler:SEC“从未说过”过比特币和以太坊是证券
- 美 SEC 主席:2024总统大选结果并不取决于加密利益集团的资金
- 彭博社:加密衍生品巨头 Deribit 吸引买家进行潜在收购,估值或超 50 亿美元
- ARK Invest:比特币的相对波动性较低,2025 年有望进一步上涨
- 韩联社:韩国调查人员开始在韩国总统尹锡悦的官邸执行逮捕令
- ETF Store 总裁:今年或将有 50 多个加密 ETF 获得批准
- 30年期美债收益率重回5%上方,PPI数据未能缓和通胀焦虑
- CryptoQuant:币安平台 FDUSD/BTC 交易量占比达48%,USDT份额降至42%
- OpenAI:ChatGPT推出测试版功能“Tasks”,可设置提醒和待办事项
- Hashed CEO:人工智能存在“黑匣子”问题
- CNBC:马斯克、扎克伯格和贝佐斯将出席美国当选总统特朗普的就职典礼
- PNUT已正式上线Coinbase
- 美国银行:美元的上涨伴随着“不对称风险”的上升
- 渣打银行:若比特币跌破 90,000 美元支撑位,将面临 10% 的回撤风险
- Maple Finance 考虑通过协议收入回购原生 SYRUP 代币并将其作为奖励分配给质押者
- K33:对特朗普对比特币的长期影响持乐观态度
- 美SEC主席:比特币是一种高度投机的资产,但有 70 亿人想要交易它
- 过去 9 个小时内某鲸鱼买入 347 万枚 AIXBT,价值 196 万美元
- 渣打银行支持的 Zodia Custody 与 Kiln 合作扩大质押服务
- Coinbase国际交易所将上线Sonic永续合约
- 富兰克林邓普顿:预计美联储今年将进行一次或两次降息
- 支付和众筹公司 Litas.io 获得 Rollman Management Digital 2000 万美元代币投资承诺
- Polymarket平台用户押注马斯克收购TikTok的概率仅为9%
- Polygon:社区资助计划第2季已上线,规模达3500万枚POL
比推专栏
更多 >>观点
项目
比推热门文章
- 泰国警方:正寻求封禁 Polymarket,其提供的服务属于非法范围
- 太极资本集团旗下先锋资管推出香港首个通证化美元货币基金
- 香港法院通过区块链送达代币化法律通知,要求冻结两个 Tron 钱包资产
- 香港法院通过区块链送达代币化法律通知,冻结非法钱包资产
- 贝莱德第四季度营收达 56.8 亿美元高于预期,管理资产规模达 11.55 万亿美元
- 卸任倒计时,SEC主席Gary Gensler回应加密市场的11个关键问题
- CryptoQuant:特朗普政策或推动比特币 2025 年冲至 24.9 万美元
- AI驱动的Web3约会平台METYA完成新一轮融资,TIDO Capital等参投
- Matrixport:比特币 21 周移动均线目前位于 85,000 美元,保持在均线之上将持续牛市
- 美SEC主席:对预测市场Kalshi聘请特朗普儿子作为顾问没看法