近期,BN和OK用户资产被盗引发关注,散户转向链上。保护资产安全关键在于钱包,需了解公钥、私钥、助记词和地址等知识。私钥丢失意味着资产丢失,钱包分热、冷两种,冷钱包安全但操作复杂。备份、加密、使用冷钱包等可避免私钥丢失。私钥泄漏、点击病毒链接等导致资产被盗,需注意保护私钥。使用Wi-Fi时要注意安全,不要随意点击链接和下载文件。资产分散放置可提高安全性,使用交易平台时要注意开启验证和确认地址。钱包使用将成为重要技能,需不断提升知识。对大额资金要慎重保护,避免一次失误导致永远损失。
原文作者:Day
原文来源:白话区块链
最近 BN 和 OK 的用户双双出现资产被盗问题,资产安全相关的问题,再次引起大家热议,一些用户在消息出来的第一时间,就将 Token 提出交易平台,毕竟,君子不立危墙之下。
这波行情的发展,可以明显感觉到,行业大的机会,主要集中在链上,交易平台内卷严重,随着价值投资体系的崩塌,散户想要在交易平台赚钱可以说是千难万难,转向链上的用户也在逐渐变多,而在链上,最重要的问题就是自己钱包的安全问题。
接下来,我们将从钱包相关知识、被盗案例以及保护私钥等知识等几个方面来全面了解如何保护区块链资产安全。
在保证自己资产安全之前,需要先对业内一些关于钱包等基础知识有一定了解,才能更好的理解如何保护自己的资产。接下来简单介绍下几个相关概念。
在了解公(私)钥之前,我们先简单了解下密码学中的对称加密与非对称加密。对称加密,是指 A 通过某种算法,可以得到 B,而反过来,B 通过相同的算法也可以逆向解密出 A,这里加密解密用的是同一种算法;而非对称加密,则是 A 通过某种算法,可以得到 B,但 B 无法通过相同的算法逆向解密出 B,这里的加密解密需要用到不同的算法。
如图,对称加密与非对称加密的区别在于图中消息接收方公钥与消息接收方私钥是否为同一把钥匙。
了解了对称加密与非对称加密,可以更好的理解一些钱包相关的基本概念。
图源网络:链上交易过程
简单理解,公钥(地址)相当于你的账号,而私钥(助记词),则相当于你的账号 + 密码(私钥可以生成公钥)。
用银行卡来类比,公钥=银行账户,地址=银行卡号,密码=银行卡密码,私钥=银行卡号 + 银行卡密码,助记词=私钥=银行卡号 + 银行卡密码,Keystore+ 密码=私钥,关于钱包基础知识,可以查看白话之前的科普文章《想要安全的保管资产,先要知道钱包的这些知识》。
你的 Token 并不是存在你的钱包 APP 中,而是存在区块链网络中私钥对应的地址之中,只要你拥有私钥,就可以通过私钥来登录所有的钱包(该钱包支持你有 Token 的这条链),钱包仅仅是作为账户资金显示的前端,并不保存你的私钥。
如果私钥丢了,意味着你的资产也将丢失,无法通过钱包找回,首次注册钱包时,钱包页面一般也会提醒用户注意这点。这点和我们之前用到的 QQ,微信完全不同,如果密码丢失,还可以通过手机验证,问题以及好友验证可以找回,当然,这也是区块链去中心化的魅力所在,你的资产完全属于你自己。
根据私钥是否触网,可以将钱包分为热钱包与冷钱包,如上图。
热钱包:客户端钱包、插件钱包、手机端 APP。
使用方便,新手易操作,交易转账的效率比较高,安全性较差,容易被盗。
冷钱包:硬件钱包。
安全性高,适合存放大额资产,创建复杂,转账麻烦,硬件损坏或私钥丢失都可能造成数字资产的丢失。
关于钱包更详细的分类可以查看白话区块链之前的科普文章《科普 | 数字资产钱包有哪些种类?》
通过以上,我们可以知道,私钥即一切,而我们所有保护资产的措施,其实都是保护私钥,保护私钥,保护私钥。(防止私钥的丢失,被他人获取)
了解了相关的概念,我们再来看下,目前主要存在哪些丢失的案例,通过案例,我们可以更好的保护我们自己的钱包。
2021 年初,生财有术创始人亦仁,将比特币私钥保存在云笔记中,导致八位数资产的 BTC 丢失。
22 年 11 月,分布式资本创始人沈波价值 4200 万美元的数字资产被盗,被盗资产包括:38,233,180 枚 USDC、1607 枚 ETH、719,760 枚 USDT 以及 4.13 枚 BTC。据安全机构慢雾后续分析称,被盗是因为助记词泄漏所导致。
英国 IT 工程师 James Howells 在 2013 年弄丢电脑硬盘,里面存有 8000 枚比特币,9 年后,计划花 7430 万美金翻遍垃圾场来找回电脑硬盘。
一用户胡乱点击别人发送的链接,导致黑客读取 metamask 本地加密备份,所有资产被盗。
推特 KOL 点击别人私发链接,导致推特账户被盗,然后发布带毒空投信息,利用粉丝对 KOL 的信任点击链接盗走粉丝资产。
10 月 2 日,Token Pocket 旗下闪兑 DEX Transit Swap 官方表示遭遇黑客攻击,资产损失超 1500 万美元,提醒用户取消授权。
10 月 11 日,DeBank 团队开发的插件钱包 Rabby 称其 Swap 合约存在漏洞,建议用户取消 Rabby Swap 授权,最终黑客获利超 19 万美元。
一些黑客获取平台用户信息后,通过短信给用户散布恐慌信息,平台已经不安全,需要点击链接重新安装应用或登录账户,登录后,账户资金被盗。
一用户下载假的 Binance app,转账时,转入其他人地址,5 个 ETH 的资产彻底丢失。
我们从上述案例可以看出,用户资产被盗,主要集中在这几种情况:私钥(助记词)泄漏,私钥(助记词)丢失,点击病毒链接,随意授权,应用出现漏洞,下载假的 APP(带病毒软件)等几种情况。
接下来,我们来整理下有哪些方法可以避免上述情况的发生。
钱包生成后及时备份,双重备份,因为一旦丢失,将无法找回
助记词保存在不联网且不易丢失和损坏的介质上,比如抄在纸上,自己进行加密(增加或减少特定字符,方便记忆);找一台永不联网手机的拍照存储;有一些钱包提供商会出售助记词相关的铁板。
使用冷钱包(硬件钱包),选择知名的冷钱包;应从官方渠道购买,不要通过第三方渠道购买(第三方渠道可能存在病毒);设置较强的密码,同时备份私钥,防止硬件钱包丢失或损坏。
以上所有的措施,其实都是为了保护你的私钥不泄密,Not your key, not your money!
可以将自身资金分散放置在钱包与交易平台中,虽然 FTX 出事,导致中心化交易平台信任缺失,但对于绝大多数人来说,资产放在几个中心化头部交易平台比拿在自己手中相对要安全很多,便利性也会比钱包好一些,只要不是特别大的损失,几个头部平台一般都能赔的起。
使用中心化交易平台需要注意几点:
图源网络
另外使用浏览器登录交易平台官网时,BN 官方给的几条安全建议:
通过上述相关知识,可以使新手用户对区块链资产安全的相关的知识有个全面的认识,随着区块链的发展,链上交互的增加,使得钱包的使用也将逐渐变成一项重要基础技能,各种措施,其实都没有绝对的安全,只是相对来说,可以让我们避掉大多数坑,而随着区块链的发展,也会不断出现新的问题,需要我们不断提升自己的知识储备。
小额资金,可以不完全遵照上面的方式来保存,但自己大仓位资金的保存,一定要慎重慎重再慎重,因为你的一次失误,可能导致你永远被区块链这条列车所甩开,永远无法追上。