作者:day,白話區塊鏈
最近BN和OK的用戶雙雙出現資產被盜問題,資產安全相關的問題,再次引起大家熱議,一些用戶在消息出來的第一時間,就將Token提出交易平台,畢竟,君子不立危牆之下。
這波行情的發展,可以明顯感覺到,產業大的機會,主要集中在鏈上,交易平台內捲嚴重,隨著價值投資體系的崩塌,散戶想要在交易平台賺錢可以說是千難萬難,轉向鏈上的用戶也在逐漸變多,而在鏈上,最重要的問題就是自己錢包的安全問題。
接下來,我們將從錢包相關知識、被盜案例以及保護私鑰等知識等幾個方面來全面了解如何保護區塊鏈資產安全。
01 錢包相關知識
在確保自己資產安全之前,需要先對業內一些關於錢包等基礎知識有一定了解,才能更好的理解如何保護自己的資產。接下來簡單介紹下幾個相關概念。
1.對稱加密與非對稱加密
在了解公(私)鑰之前,我們先簡單了解下密碼學中的對稱加密與非對稱加密。對稱加密,是指A透過某種演算法,可以得到B,反過來,B透過相同的演算法也可以逆向解密出A,這裡加密解密用的是同一種演算法;而非對稱加密,則是A透過某種演算法,可以得到B,但B無法透過相同的演算法逆向解密出B,這裡的加密解密需要用到不同的演算法。
如圖,對稱加密與非對稱加密的差異在於圖中訊息接收者公鑰與訊息接收者私鑰是否為同一把鑰匙。
2.公(私)鑰,助記詞,地址
了解了對稱加密與非對稱加密,可以更好的理解一些錢包相關的基本概念。
金鑰對:在非對稱加密中,有一對金鑰對,分別為公鑰與私鑰,公鑰是公開的,私鑰是不公開的。
公鑰:用來給資料加密,用公鑰加密的資料只能使用私鑰解密。
私鑰:私鑰可以產生公鑰,用來解密公鑰加密的資料。
地址:與「公鑰」相對應,由於公鑰過長,於是有了「地址」 ,地址由公鑰產生。
助記詞:與「私鑰」相對應,因為私鑰是隨機產生的字串,過長且難記,於是催生了一組人類可讀的單字代替私鑰,用來幫助用戶記住私鑰,一般是12個無規律的片語。 (私鑰=助記詞)
圖源網路:鏈上交易過程
電子簽名:某個訊息(你給某人轉帳100個以太坊),這訊息需要你的私鑰簽名後,廣播到區塊鏈上。
簽名驗證:接收端可以透過你的公鑰驗證這個訊息確實是透過你的私鑰簽名,那就是你發布的,交易記錄上鍊,因此,誰掌握了私鑰,誰就掌握了該錢包。
簡單理解,公鑰(地址)相當於你的帳號,而私鑰(助記詞),則相當於你的帳號+密碼(私鑰可以產生公鑰)。
用銀行卡來類比,公鑰=銀行帳戶,地址=銀行卡號,密碼=銀行卡密碼,私鑰=銀行卡號+銀行卡密碼,助記詞=私鑰=銀行卡號碼+銀行卡密碼,Keystore+密碼=私鑰。
3.私鑰(助記詞)的保存
你的Token並不是存在你的錢包APP中,而是存在著區塊鏈網路中私鑰對應的地址之中,只要你擁有私鑰,就可以透過私鑰登入所有的錢包(該錢包支援你有Token的這條鏈),錢包只是作為帳戶資金顯示的前端,並不會保存你的私鑰。
如果私鑰遺失了,代表你的資產也會遺失,無法透過錢包找回,首次註冊錢包時,錢包頁面一般也會提醒用戶注意這一點。這點和我們之前用到的QQ,微信完全不同,如果密碼遺失,還可以透過手機驗證,問題以及好友驗證可以找回,當然,這也是區塊鏈去中心化的魅力所在,你的資產完全屬於你自己。
4.錢包種類
根據私鑰是否觸網,可以將錢包分為熱錢包與冷錢包,如上圖。
熱錢包:客戶端錢包、外掛程式錢包、手機端APP。
使用方便,新手易操作,交易轉帳的效率比較高,安全性較差,容易被竊。
冷錢包:硬體錢包。
安全性高,適合存放大資產,創造複雜,轉帳麻煩,硬體損壞或私鑰遺失都可能造成數位資產的遺失。
透過以上,我們可以知道,私鑰就是一切,而我們所有保護資產的措施,其實都是保護私鑰,保護私鑰,保護私鑰。 (防止私鑰的遺失,被他人取得)
02 被盜案例
了解了相關的概念,我們再來看下,目前主要存在哪些遺失的案例,透過案例,我們可以更好的保護我們自己的錢包。
1.私鑰(助記詞)洩漏
2021年初,生財有術創辦人亦仁,將比特幣私鑰保存在雲端筆記中,導致八位數資產的BTC遺失。
22年11月,分散式資本創辦人沈波價值4,200萬美元的數位資產被盜,被竊資產包括:38,233,180 枚USDC、1607 枚ETH、719,760 枚USDT 以及4.13 枚BTC。據安全機構慢霧後續分析稱,被盜是因為助記詞洩漏所導致。
2.私鑰(助記詞)遺失
英國IT工程師James Howells在2013年弄丟電腦硬碟,裡面存有8,000枚比特幣,9年後,計畫花7,430萬美金翻遍垃圾場找回電腦硬碟。
3.點擊病毒鏈接
一用戶胡亂點擊別人發送的鏈接,導致駭客讀取metamask本地加密備份,所有資產被盜。
推特KOL點擊別人私發鏈接,導致推特帳號被盜,然後發布帶毒空投信息,利用粉絲對KOL的信任點擊鏈接盜走粉絲資產。
4.隨意授權,應用程式出現漏洞
10 月2 日,Token Pocket 旗下閃兌DEX Transit Swap 官方表示遭遇駭客攻擊,資產損失超1,500 萬美元,提醒用戶取消授權。
10 月11 日,DeBank團隊開發的插件錢包Rabby稱其Swap合約有漏洞,建議用戶取消Rabby Swap授權,最終駭客獲利超19萬美元。
5.下載假的APP(附病毒軟體)
在一些駭客取得平台用戶資訊後,透過簡訊給用戶散播恐慌訊息,平台已經不安全,需要點擊連結重新安裝應用程式或登入帳戶,登入後,帳戶資金被盜。
一用戶下載假的Binance app,轉帳時,轉入其他人地址,5個ETH的資產完全遺失。
我們從上述案例可以看出,用戶資產被盜,主要集中在這幾種情況:私鑰(助記詞)洩漏,私鑰(助記詞)丟失,點擊病毒鏈接,隨意授權,應用出現漏洞,下載假的APP(帶病毒軟體)等幾種情況。
接下來,我們來整理下有哪些方法可以避免上述情況的發生。
03 如何避免財產損失
1.私鑰的保存(核心:不易遺失,不易損壞,其他人無法接觸或接觸也無法使用)
錢包生成後及時備份,雙重備份,因為一旦丟失,將無法找回
助記詞保存在不聯網且不易丟失和損壞的介質上,例如抄在紙上,自己進行加密(增加或減少特定字符,方便記憶);找一台永不聯網手機的拍照存儲;有一些錢包提供者會出售助記詞相關的鐵板。
使用冷錢包(硬體錢包),選擇知名的冷錢包;應從官方管道購買,不要透過第三方管道購買(第三方管道可能存在病毒);設定較強的密碼,同時備份私鑰,防止硬體錢包遺失或損壞。
2.防止私鑰(助記詞)洩漏
-
不要複製貼上私鑰,有些軟體可以讀取用戶的剪切板
-
不要將私鑰保存在微信收藏,傳輸文件,百度雲,印象筆記等網路平台
-
絕不告訴任何人私鑰,記住,是任何人,一些騙子假錢包官方人騙取你的私鑰,不要相信,錢包方也沒有權力獲取用戶私鑰
-
使用公共Wi-Fi時,不要複製貼上私鑰
-
下載各種應用,應去官方管道,所有應用商店有時也不可信(記住,是所有),存在虛假應用
-
錢包簽名時要謹慎,DeFi 協議和NFT交互重度用戶,記得及時撤銷授權,防止應用出現漏洞後導致資產被盜
-
不要隨意點擊別人發送的連結(簡訊),下載別人分享的文件,甚至一些kol的連結也不要隨意點擊,有可能含有病毒
-
一旦發現錢包有一點資產洩漏,應第一時間捨棄錢包,不要抱任何僥倖心理
-
不使用免費的VPN
-
緊跟新聞,即時了解新的被盜訊息
-
如果鏈上玩的比較多的用戶,建議安裝ScamSniffer 瀏覽器插件,它可以在你訪問釣魚網站的時候攔截並提示,當瀏覽假的官推回复時,也會出現提醒。
以上所有的措施,其實都是為了保護你的私鑰不洩密,Not your key, not your money!
3.資產分散放置
可以將自身資金分散放置在錢包與交易平台中,雖然FTX出事,導致中心化交易平台信任缺失,但對於絕大多數人來說,資產放在幾個中心化頭部交易平台比拿在自己手中相對要安全很多,便利性也會比錢包好一些,只要不是特別大的損失,幾個頭部平台一般都能賠的起。
使用中心化交易平台需要注意幾點:
-
開啟三重驗證(手機,信箱,Google二次驗證)
-
開啟提Token白名單
-
從官方管道下載App
-
轉帳時,確認地址是否正確
圖源網路
另外使用瀏覽器登入交易平台官網時,BN官方給的幾個安全建議:
-
隔離— 單獨建立一個chrome使用者登入DAPP,不要安裝外掛程式;
-
清除— 涉及資金的APP,登入了網頁記得及時登出;
-
無痕— 無痕模式開啟網頁,停用任何外掛程式;
-
隱私— 資金操作單獨一台電腦,或蘋果手機,相比較安全係數會更高
-
權限— 涉及資金權限,建議設定成幾分鐘立刻登出。
04 結語
透過上述相關知識,可以使新手用戶對區塊鏈資產安全的相關的知識有個全面的認識,隨著區塊鏈的發展,鏈上互動的增加,使得錢包的使用也將逐漸變成一項重要基礎技能,各種措施,其實都沒有絕對的安全,只是相對來說,可以讓我們避掉大多數坑,而隨著區塊鏈的發展,也會不斷出現新的問題,需要我們不斷提升自己的知識儲備。
小額資金,可以不完全按照上面的方式來保存,但自己大倉位資金的保存,一定要慎重慎重再慎重,因為你的一次失誤,可能導致你永遠被區塊鏈這條列車所甩開,永遠無法追上。