近期業(yè)內(nèi)各種錢包安全事件層出不窮：

4月18日，MetaMask 錢包開發(fā)人員@tayvano_的一條5000枚ETH盜幣推文在加密社區(qū)廣泛傳播，認(rèn)為MetaMask 存在漏洞，引起社區(qū)恐慌 。4月19日，MetaMask回復(fù)因其漏洞被盜不實(shí)，但正研究此漏洞來(lái)源。

4月20日imToken官方提醒近期有詐騙分子假冒 imToken 官方人員，通過(guò)發(fā)送短信等方式聯(lián)系用戶， 誘導(dǎo)用戶訪問假網(wǎng)站并輸入助記詞，導(dǎo)致用戶遭受資產(chǎn)損失，而4 月21 日慢霧研究員稱谷歌搜索“imToken”后的置頂廣告為新型釣魚網(wǎng)站，請(qǐng)用戶切勿點(diǎn)擊鏈接，注意規(guī)避風(fēng)險(xiǎn)。

4月22日，Trust Wallet發(fā)布公告，去年11月14日至23日創(chuàng)建新錢包的地址存在漏洞，為受影響用戶創(chuàng)建補(bǔ)償流程。

隨著DeFi、NFT等鏈上交互需求的爆發(fā)，行業(yè)早已不像早期那會(huì)兒，只要在CEX買coin并放在CEX就可以滿足大多數(shù)投資者的需求，大多數(shù)投資者會(huì)將部分甚至全部Token放在自己的錢包里，這也導(dǎo)致了這個(gè)行業(yè)變成了黑客的天堂、時(shí)不時(shí)會(huì)傳出一些投資者因?yàn)槭跈?quán)，下載假的APP泄漏私鑰或者錢包自身漏洞等問題，導(dǎo)致自己資產(chǎn)被盜，到頭來(lái)變成一場(chǎng)空，保證自有資產(chǎn)安全已經(jīng)成為行業(yè)內(nèi)一項(xiàng)必不可少的技能。

接下來(lái)，我們將從錢包相關(guān)知識(shí)、被盜案例以及保護(hù)私鑰等知識(shí)等幾個(gè)方面來(lái)全面了解如何保護(hù)區(qū)塊鏈資產(chǎn)安全。

錢包相關(guān)知識(shí)

在保證自己資產(chǎn)安全之前，需要先對(duì)業(yè)內(nèi)一些關(guān)于錢包等基礎(chǔ)知識(shí)有一定了解，才能更好的理解如何保護(hù)自己的資產(chǎn)。接下來(lái)簡(jiǎn)單介紹下幾個(gè)相關(guān)概念。

1.對(duì)稱加密與非對(duì)稱加密

在了解公（私）鑰之前，我們先簡(jiǎn)單了解下密碼學(xué)中的對(duì)稱加密與非對(duì)稱加密。對(duì)稱加密，是指A通過(guò)某種算法，可以得到B，而反過(guò)來(lái)，B通過(guò)相同的算法也可以逆向解密出A，這里加密解密用的是同一種算法；而非對(duì)稱加密，則是A通過(guò)某種算法，可以得到B，但B無(wú)法通過(guò)相同的算法逆向解密出B，這里的加密解密需要用到不同的算法。

如圖，對(duì)稱加密與非對(duì)稱加密的區(qū)別在于圖中消息接收方公鑰與消息接收方私鑰是否為同一把鑰匙。

2.公（私）鑰，助記詞，地址

了解了對(duì)稱加密與非對(duì)稱加密，可以更好的理解一些錢包相關(guān)的基本概念。

密鑰對(duì)：在非對(duì)稱加密中，有一對(duì)密鑰對(duì)，分別為公鑰與私鑰，公鑰是公開的，私鑰是不公開的。

公鑰：用來(lái)給數(shù)據(jù)加密，用公鑰加密的數(shù)據(jù)只能使用私鑰解密。

私鑰：私鑰可以生成公鑰，用來(lái)解密公鑰加密的數(shù)據(jù)。

地址：與“公鑰”相對(duì)應(yīng)，由于公鑰過(guò)長(zhǎng)，于是有了“地址” ，地址由公鑰生成。

助記詞：與“私鑰”相對(duì)應(yīng)，因?yàn)樗借€是隨機(jī)生成的字符串，過(guò)長(zhǎng)且難記，于是催生了一組人類可讀的單詞代替私鑰，用來(lái)幫助用戶記住私鑰，一般是12個(gè)無(wú)規(guī)律的短語(yǔ)。（私鑰=助記詞）

圖源網(wǎng)絡(luò)：鏈上交易過(guò)程

電子簽名：某條信息（你給某人轉(zhuǎn)賬100個(gè)以太坊），這條信息需要你的私鑰簽名后，廣播到區(qū)塊鏈上。

簽名驗(yàn)證：接收端可以通過(guò)你的公鑰驗(yàn)證這個(gè)消息確實(shí)是通過(guò)你的私鑰簽名，那就是你發(fā)布的，交易記錄上鏈，因此，誰(shuí)掌握了私鑰，誰(shuí)就掌握了該錢包。

簡(jiǎn)單理解，公鑰（地址）相當(dāng)于你的賬號(hào)，而私鑰（助記詞），則相當(dāng)于你的賬號(hào)+密碼（私鑰可以生成公鑰）。

用銀行卡來(lái)類比，公鑰=銀行賬戶，地址=銀行卡號(hào)，密碼=銀行卡密碼，私鑰=銀行卡號(hào)+銀行卡密碼，助記詞=私鑰=銀行卡號(hào)+銀行卡密碼，Keystore+密碼=私鑰，關(guān)于錢包基礎(chǔ)知識(shí)，可以查看白話之前的科普文章《想要安全的保管資產(chǎn)，先要知道錢包的這些知識(shí)》。

3.私鑰（助記詞）的保存

你的coin并不是存在你的錢包APP中，而是存在區(qū)塊鏈網(wǎng)絡(luò)中私鑰對(duì)應(yīng)的地址之中，只要你擁有私鑰，就可以通過(guò)私鑰來(lái)登錄所有的錢包（該錢包支持你有coin的這條鏈），錢包僅僅是作為賬戶資金顯示的前端，并不保存你的私鑰。

如果私鑰丟了，意味著你的資產(chǎn)也將丟失，無(wú)法通過(guò)錢包找回，首次注冊(cè)錢包時(shí)，錢包頁(yè)面一般也會(huì)提醒用戶注意這點(diǎn)。這點(diǎn)和我們之前用到的QQ，微信完全不同，如果密碼丟失，還可以通過(guò)手機(jī)驗(yàn)證，問題以及好友驗(yàn)證可以找回，當(dāng)然，這也是區(qū)塊鏈去中心化的魅力所在，你的資產(chǎn)完全屬于你自己。

4.錢包種類

根據(jù)私鑰是否觸網(wǎng)，可以將錢包分為熱錢包與冷錢包，如上圖。

熱錢包：客戶端錢包、插件錢包、手機(jī)端APP。

使用方便，新手易操作，交易轉(zhuǎn)賬的效率比較高，安全性較差，容易被盜。

冷錢包：硬件錢包。

安全性高，適合存放大額資產(chǎn)，創(chuàng)建復(fù)雜，轉(zhuǎn)賬麻煩，硬件損壞或私鑰丟失都可能造成數(shù)字資產(chǎn)的丟失。

關(guān)于錢包更詳細(xì)的分類可以查看白話區(qū)塊鏈之前的科普文章《科普 | 數(shù)字資產(chǎn)錢包有哪些種類?》

通過(guò)以上，我們可以知道，私鑰即一切，而我們所有保護(hù)資產(chǎn)的措施，其實(shí)都是保護(hù)私鑰，保護(hù)私鑰，保護(hù)私鑰。（防止私鑰的丟失，被他人獲?。?/p>

錢包被盜案例

了解了相關(guān)的概念，我們?cè)賮?lái)看下，目前主要存在哪些丟失的案例，通過(guò)案例，我們可以更好的保護(hù)我們自己的錢包。

1.私鑰（助記詞）泄漏

2021年初，生財(cái)有術(shù)創(chuàng)始人亦仁，將比特幣私鑰保存在云筆記中，導(dǎo)致八位數(shù)資產(chǎn)的BTC丟失。

22年11月，分布式資本創(chuàng)始人沈波價(jià)值4200萬(wàn)美元的數(shù)字資產(chǎn)被盜，被盜資產(chǎn)包括：38,233,180 枚 USDC、1607 枚 ETH、719,760 枚 USDT 以及 4.13 枚 BTC。據(jù)安全機(jī)構(gòu)慢霧后續(xù)分析稱，被盜是因?yàn)橹浽~泄漏所導(dǎo)致。

2.私鑰（助記詞）丟失

英國(guó)IT工程師James Howells在2013年弄丟電腦硬盤，里面存有8000枚比特幣，9年后，計(jì)劃花7430萬(wàn)美金翻遍垃圾場(chǎng)來(lái)找回電腦硬盤。

3.點(diǎn)擊病毒鏈接

一用戶胡亂點(diǎn)擊別人發(fā)送的鏈接，導(dǎo)致黑客讀取metamask本地加密備份，所有資產(chǎn)被盜。

推特KOL點(diǎn)擊別人私發(fā)鏈接，導(dǎo)致推特賬戶被盜，然后發(fā)布帶毒空投信息，利用粉絲對(duì)KOL的信任點(diǎn)擊鏈接盜走粉絲資產(chǎn)。

4.隨意授權(quán)，應(yīng)用出現(xiàn)漏洞

10 月 2 日，Token Pocket 旗下閃兌 DEX Transit Swap 官方表示遭遇黑客攻擊，資產(chǎn)損失超 1500 萬(wàn)美元，提醒用戶取消授權(quán)。

10 月 11 日，DeBank團(tuán)隊(duì)開發(fā)的插件錢包Rabby稱其Swap合約存在漏洞，建議用戶取消Rabby Swap授權(quán)，最終黑客獲利超19萬(wàn)美元。

5.下載假的APP（帶病毒軟件）

一些黑客獲取平臺(tái)用戶信息后，通過(guò)短信給用戶散布恐慌信息，平臺(tái)已經(jīng)不安全，需要點(diǎn)擊鏈接重新安裝應(yīng)用或登錄賬戶，登錄后，賬戶資金被盜。

一用戶下載假的Binance app，轉(zhuǎn)賬時(shí)，轉(zhuǎn)入其他人地址，5個(gè)ETH的資產(chǎn)徹底丟失。

我們從上述案例可以看出，用戶資產(chǎn)被盜，主要集中在這幾種情況：私鑰（助記詞）泄漏，私鑰（助記詞）丟失，點(diǎn)擊病毒鏈接，隨意授權(quán)，應(yīng)用出現(xiàn)漏洞,下載假的APP（帶病毒軟件）等幾種情況。

接下來(lái)，我們來(lái)整理下有哪些方法可以避免上述情況的發(fā)生。

如何避免財(cái)產(chǎn)損失

1.私鑰的保存（核心：不易丟失，不易損壞，其他人無(wú)法接觸或接觸也無(wú)法使用）

錢包生成后及時(shí)備份，雙重備份，因?yàn)橐坏﹣G失，將無(wú)法找回

助記詞保存在不聯(lián)網(wǎng)且不易丟失和損壞的介質(zhì)上，比如抄在紙上，自己進(jìn)行加密（增加或減少特定字符，方便記憶）；找一臺(tái)永不聯(lián)網(wǎng)手機(jī)的拍照存儲(chǔ)；有一些錢包提供商會(huì)出售助記詞相關(guān)的鐵板。

使用冷錢包（硬件錢包），選擇知名的冷錢包；應(yīng)從官方渠道購(gòu)買，不要通過(guò)第三方渠道購(gòu)買（第三方渠道可能存在病毒）；設(shè)置較強(qiáng)的密碼，同時(shí)備份私鑰，防止硬件錢包丟失或損壞。

2.防止私鑰（助記詞）泄漏

• 不要復(fù)制粘貼私鑰，有些軟件可以讀取用戶的剪切板
• 不要將私鑰保存在微信收藏，傳輸文件，百度云，印象筆記等網(wǎng)絡(luò)平臺(tái)
• 絕不告訴任何人私鑰，記住，是任何人，一些騙子假冒錢包官方人騙取你的私鑰，不要相信，錢包方也沒有權(quán)力獲取用戶私鑰
• 使用公共Wi-Fi時(shí)，不要復(fù)制粘貼私鑰
• 下載各種應(yīng)用，應(yīng)去官方渠道，所有應(yīng)用商店有時(shí)也不可信（記住，是所有），存在虛假應(yīng)用
• 錢包簽名時(shí)要謹(jǐn)慎，DeFi 協(xié)議和NFT交互重度用戶，記得及時(shí)撤銷授權(quán)，防止應(yīng)用出現(xiàn)漏洞后導(dǎo)致資產(chǎn)被盜
• 不要隨意點(diǎn)擊別人發(fā)送的鏈接（短信），下載別人分享的文件，甚至一些kol的鏈接也不要隨意點(diǎn)擊，有可能含有病毒
• 一旦發(fā)現(xiàn)錢包有一點(diǎn)資產(chǎn)泄漏，應(yīng)第一時(shí)間舍棄錢包，不要抱任何僥幸心理
• 不使用免費(fèi)的VPN
• 緊跟新聞，實(shí)時(shí)了解新的被盜信息

以上所有的措施，其實(shí)都是為了保護(hù)你的私鑰不泄密，Not your key, not your coin！

3.資產(chǎn)分散放置

可以將自身資金分散放置在錢包與交易平臺(tái)中，雖然FTX出事，導(dǎo)致中心化交易平臺(tái)信任缺失，但對(duì)于絕大多數(shù)人來(lái)說(shuō)，資產(chǎn)放在幾個(gè)中心化頭部交易平臺(tái)比拿在自己手中相對(duì)要安全很多，便利性也會(huì)比錢包好一些，只要不是特別大的損失，幾個(gè)頭部平臺(tái)一般都能賠的起。

使用中心化交易平臺(tái)需要注意幾點(diǎn)：

• 開啟三重驗(yàn)證（手機(jī)，郵箱，谷歌二次驗(yàn)證）
• 開啟提coin白名單
• 從官方渠道下載App
• 轉(zhuǎn)賬時(shí)，確認(rèn)地址是否正確

圖源網(wǎng)絡(luò)

結(jié)語(yǔ)

通過(guò)上述相關(guān)知識(shí)，可以使新手用戶對(duì)區(qū)塊鏈資產(chǎn)安全的相關(guān)的知識(shí)有個(gè)全面的認(rèn)識(shí)，隨著區(qū)塊鏈的發(fā)展，鏈上交互的增加，使得錢包的使用也將逐漸變成一項(xiàng)重要基礎(chǔ)技能，各種措施，其實(shí)都沒有絕對(duì)的安全，只是相對(duì)來(lái)說(shuō)，可以讓我們避掉大多數(shù)坑，而隨著區(qū)塊鏈的發(fā)展，也會(huì)不斷出現(xiàn)新的問題，需要我們不斷提升自己的知識(shí)儲(chǔ)備。

小額資金，可以不完全遵照上面的方式來(lái)保存，但自己大倉(cāng)位資金的保存，一定要慎重慎重再慎重，因?yàn)槟愕囊淮问д`，可能導(dǎo)致你永遠(yuǎn)被區(qū)塊鏈這條列車所甩開，永遠(yuǎn)無(wú)法追上。

你可能感興趣的文章

• 

  一篇詳細(xì)的MetaMask小狐貍錢包新手教程

  很多入圈不久的朋友還不會(huì)使用小狐貍錢包，接下來(lái)給大家?guī)?lái)一個(gè)比較全面的教程,需要的朋友可以參考下…

  2023-07-29
• 

  小狐貍錢包跨鏈轉(zhuǎn)賬怎么轉(zhuǎn)

  小狐貍錢包還能夠支持跨鏈轉(zhuǎn)賬的功能，以便用戶在不同的區(qū)塊鏈之間轉(zhuǎn)移數(shù)字資產(chǎn)，增加用戶使用的便捷性，當(dāng)新手小白初次使用小狐貍錢包肯定還不清楚小狐貍錢包跨鏈轉(zhuǎn)賬怎么…

  2023-07-29
• 

  MetaMask小狐貍錢包怎么樣 小狐貍錢包安全嗎

  MetaMask是一個(gè)開源的以太坊錢包，能幫助用戶方便地管理自己的以太坊數(shù)字資產(chǎn)，最為重要的是MetaMask是一款瀏覽器插件錢包，不需下載安裝客戶端，只需添加至瀏覽器擴(kuò)展程序…

  2023-07-29
• 

  MetaMask小狐貍錢包添加或更改自定義網(wǎng)絡(luò)圖文教程

  MetaMask 是一個(gè)瀏覽器擴(kuò)展，允許用戶與以太坊區(qū)塊鏈交互并訪問網(wǎng)絡(luò)上的去中心化應(yīng)用程序 (dApp)，它包括一個(gè)可定制的網(wǎng)絡(luò)列表，允許用戶選擇他們想要連接的以太坊網(wǎng)絡(luò)…

  2023-07-19
• 

  小狐貍錢包（metamask）注冊(cè)、安裝使用教程

  MetaMask是一款輕量級(jí)數(shù)字貨幣錢包，主要用于Chrome谷歌瀏覽器和火狐瀏覽器Firefox，標(biāo)志性logo為小狐貍頭，辨識(shí)度非常高，我們來(lái)帶大家一步步完成Chrome瀏覽器和MetaMask…

  2025-06-09
• 

  使用小狐貍錢包完成BSC跨鏈至OKTC圖文教程

  這篇文章主要介紹了使用小狐貍錢包完成BSC跨鏈至OKTC圖文教程,需要的朋友可以參考下…

  2024-11-15
• 

  小狐貍錢包和TP錢包區(qū)別 小狐貍錢包VS TP錢包哪個(gè)更好？

  這篇文章主要介紹了小狐貍錢包和TP錢包區(qū)別 小狐貍錢包VS TP錢包哪個(gè)更好？,需要的朋友可以參考下…

  2023-07-17
• 

  metamask小狐貍錢包轉(zhuǎn)賬手續(xù)費(fèi)多少？

  在使用小狐貍錢包進(jìn)行數(shù)字貨幣轉(zhuǎn)賬時(shí)所需要支付的一定金額，每一筆數(shù)字貨幣交易都需要消耗一定的計(jì)算資源和網(wǎng)絡(luò)資源，因此需要支付相應(yīng)的手續(xù)費(fèi)用，這個(gè)手續(xù)費(fèi)用會(huì)被網(wǎng)絡(luò)節(jié)…

  2023-07-17
• 

  什么是小狐貍錢包MetaMask？如何使用小狐貍錢包MetaMask？

  這篇文章主要介紹了什么是小狐貍錢包MetaMask？如何使用小狐貍錢包MetaMask？的相關(guān)資料,需要的朋友可以參考下本文詳細(xì)內(nèi)容介紹…

  2023-07-10
• 

  小狐貍錢包怎么添加波場(chǎng)鏈?MetaMask添加波場(chǎng)鏈教程

  這篇文章主要介紹了小狐貍錢包怎么添加波場(chǎng)鏈?MetaMask添加波場(chǎng)鏈教程的相關(guān)資料,需要的朋友可以參考下本文詳細(xì)內(nèi)容介紹…

  2023-04-18