如果觉得我的内容对你有帮助,欢迎关注我的推特账号
如果需要更具体、系统、有针对性的教程指导,欢迎大家私聊咨询哦
数字货币钱包中保存的数字货币资产不仅是我们个人财富的重要组成部分,也非常有可能成为元宇宙时代个人身份的唯一入口,因此我们非常有必要学习基本的钱包安全知识来妥善保管好我们的数字资产。毕竟在去中心化的元宇宙时代,被骗了可没法找政府当你的奶妈。
今天的这篇文章,主要针对的是eth钱包,内容包括以下几部分,希望大家学完之后能对钱包和钱包使用有一个更深入的了解
什么是钱包?
地址、私钥、公钥、密码都是什么?
钱包地址和私钥的关系是什么?
私钥和助记词的关系是什么?
助记词和钱包密码的关系是什么?
如何备份助记词?
加密钱包的种类有哪些?
保证钱包资产安全的其他注意事项有哪些?
1 什么是钱包?
简单来说,钱包就是一个查看和操作数字货币资产的操作程序;说的再复杂点,钱包就是通过管理私钥,公钥(地址)的工具,至于什么是私钥,什么是公钥,我们后面再详细介绍。
我们可以用银行来跟钱包做一个类比,从管理资产的角度来说,钱包和银行的功能是类似的,都可以帮我们对管理资产,对资产进行操作;但是钱包和银行最本质的区别在于,资产的真正控制权不同,钱包的真正控制权在掌握钱包私钥/助记词的用户手里,用户不发出操作指令,钱包服务商是没办法对资产进行操作的;而存放在银行的资产真正控制权是银行,银行有能力冻结任意用户的资产。
另外如果我们更换钱包服务商,比如原来用O3钱包,现在用imToken钱包,我们资产不受影响,都可以正常显示;但是我们存在工商银行的资产是无法在建设银行的账户里显示出来的。
2要理解钱包,我们需要理解四个概念:地址,助记词、私钥、密码
钱包地址:是一串数字和字母的字符串组合,代表了你的加密资产账户,类似你的银行卡号,钱包地址是可以告诉别人的,别人可以通过这个地址给你支付,你也可以通过这个地址给别人转账。
私钥:私钥是由字母和数字组成的64位长度的十六进制字符串。私钥是随机生成的,本质上是一个随机数,它储存在钱包文件里,由钱包软件管理,一个钱包地址只有一个私钥且不能修改。
私钥是管理和使用数字资产时最关键的东西,私钥决定了所有权,谁拥有私钥,谁就拥有了这些数字资产。简而言之,如果私钥丢了你的币就不是你的币了。跟传统的账户密码丢失不一样,私钥丢失是无法找回的,因此一定要妥善保管,而且绝对不能告诉别人。
私钥类似于银行卡+银行卡密码,也就是如果我拿到私钥,就可以对钱包里的资产进行操作,就跟现实世界里我拿到一张知道密码的银行卡就可以取出里面的钱是一个道理。
钱包地址VS私钥
私钥通过某些算法生成公钥(公钥因为正常操作基本接触不到,这里不做详细解释),公钥又通过一些算法生成地址,这个过程是不可逆的,也就是可以通过私钥生成地址,但是没办法通过地址逆推出私钥,这就保证了安全性。
私钥VS助记词
因为私钥是一串64位长度的十六进制的字符,不利于记录且容易记错,所以用算法将一串随机数转化为了一串12 ~ 24个容易记住的单词,方便保存记录,这串单词就是助记词。所以助记词是私钥的另一种表现形式。
另外助记词可以获取相关联的多个私钥,反过来私钥没法获取助记词。也就是在钱包里,一组助记词可以生成多个不同的钱包地址,每个地址都有唯一的私钥,如果一个地址的配套私钥泄露,其他地址还是相对安全的,但是如果助记词泄露,那么通过该助记词生成的全部账户地址就都有危险。
另外要强调的是,私钥是一串64位长度的十六进制的字符,如果我们随便编写一份64位长度的字符,导入钱包应用,其实也能生成对应的钱包地址,不过这样生成的私钥安全性不够高,不够随机,容易被破解,所以强烈建议大家使用知名品牌的钱包应用生成助记词和私钥来使用,而不要自己随意创作,风险系数极高。
助记词vs钱包密码
在大家下载各种数字货币钱包的时候,都会在注册过程提示你要设置密码和备份助记词,那么密码和助记词到底是啥关系呢?
密码是你已经拥有了一个钱包,在给别人转账的时候,或者你需要显示助记词的时候会用到,密码是可以修改或者重置的;
如果忘记密码,也没关系,可以用我们之前备份好的助记词导入钱包,然后重新再设置一个新密码。
同一个钱包地址,在不同的设备上可以设置不同的密码,但是助记词一旦生成是不可更改的。
简单类比:
地址=银行卡号
私钥=银行卡+银行卡密码
助记词=私钥=银行卡+银行卡密码
密码=银行卡密码
3如何备份助记词?
当钱包软件提示你记好助记词的时候,我们需要
1)断网(离线生成助记词最安全,特别是当该钱包需要存储大额资产的时候)
2)手动按顺序且工整的抄下你的助记词,放在安全的地方,建议多备份几份;
3)一定不要截图或者拍照或者实时聊天工具传输,有可能会有被盗的风险,因为谁也不能保证自己的手机电脑百分百安全。
如果设置钱包的时候忘记备份助记词,而钱包中又有钱咋办?
以O3钱包为例,可以按照 图2的操作输入密码重新显示助记词,然后再把助记词妥善的记录好。其他的钱包都是类似的操作流程。
4 加密钱包的种类有哪些?
钱包的分类有很多,根据市面上常见的分类,我大致归纳为以下4类
1)根据用户是否掌握私钥,可以分为非托管钱包和托管钱包
非托管钱包就是用户自己掌握私钥,比如MetaMask、imToken等
托管钱包就是私钥由第三方服务商掌握,比如币安,okex等中心化的交易平台
2)根据私钥是否触网,可以分为冷钱包和热钱包
私钥从未触网就是冷钱包,比如如果一个钱包从开始就是离线生成的助记词并且从来没有联网使用过,这个钱包就是冷钱包。
联网过的钱包就是热钱包。
3)根据私钥存储载体不同,可以分为软件钱包和硬件钱包
手机App、客户端App、Web以及平台中的中心化钱包等以软件的形式存在的钱包叫做软件钱包
私钥存储在专用设备上的钱包叫做硬件钱包,比如Trezor或Ledger
4)根据使用设备不同,可以分为移动端钱包和浏览器扩展钱包
在手机端使用的钱包,是移动端钱包,比如O3钱包、imToken钱包
以浏览器插件的形式存在的钱包就是浏览器扩展钱包,比如MetaMask钱包。
5 保证数字货币资产安全的常见方法
通常来说,如果把数字货币转移到自己的钱包然后不进行任何操作是比较安全的,基本不会出现被盗币的情况。但我们经常会用钱包进行一些操作,这样就会增加钱包的风险,需要有意识的加以预防。
1)准备多个钱包,大资产钱包和日常钱包相分离。
我们要准备多个钱包,大额的资产分散放在不同的钱包里,日常钱包只存放小额资产。存放主要资产的钱包平日不进行任何操作,避免误操作之后资产全部损失。日常进行消费、游戏、连网等操作都只用存放小额资产的钱包,万一自己的操作哪里有问题,也不会伤筋动骨。如果是要购买大额价值nft,最好在购买之后立刻转移到专门存放资产的钱包里,不要留在交互钱包中,以免自己无意识误操作造成资产损失。
2)不要点击钱包中不明代币和不明NFT
钱包地址中经常会收到大量不知名的代币或者NFT,很多人会以为这是空投,但往往就是骗局。发现了钱包中不明代币或者NFT,千万不要轻易进行任何操作,因为很有可能你不知不觉就进行了给别人授权调用你钱包中币的操作,那样别人就可以轻易转走你的钱。
一般来说,有价值的空投都是有门槛的,而且需要你提前进行了一定的操作,比如ENS空投,莫名奇妙就收到的东西,基本都是坑。
3)不要随便签名,特别是不要盲签,如果要签名,一定要注意核对签名信息无误
在现实生活中很多场合我们需要进行签名,这里签名的作用就是通过字迹来证明这是经过我们本人确权的,是有法律效应的。在钱包应用里,数字签名和现实中的签名类似,也是要证明你签署的信息或者交易确实是你本人发起的,如果我们对于一项操作进行了签名就代表我们确认了这个操作是我们发起的,所以我们要进行签名操作的时候一定要注意核对我们签名的对象是谁?以及签名的操作是什么。
比如下图左侧就是我们登陆opensea的一个签名操作,签名的来源是opensea的官网,签名的目的是为了接收opensea的服务条款。
如果我们进行的操作是登陆opensea,但是弹出签名的来源是其他陌生的网站,那就必须立刻停下来检查,很有可能是进入了错误的网站。
而下图右侧这种看不出你签名到底是进行了什么操作的签名就叫盲签,这里我是在X2Y2上进行一个上架的操作,因为我知道这是在干什么所以签名没关系,但是大家如果是陌生的网址进行盲签就一定要格外小心。
PS:关于盲签的事情,我在discord里问过X2Y2的官方管理员,说下一次升级的时候会改变,到时候我们再观察一下情况。
4)不要轻易授权
在链上进行的很多操作,本质上都是让我们的钱包对合约进行授权,授权之后,合约就有了一定权限,可以对我们钱包种的某些资产进行一定的操作,比如当我们在一些dex(去中心化交易所)上进行swap(兑换)操作时,第一次需要授权dex的swap合约,允许合约调用我们要兑换的代币。同理还有我们如果要在opensea上销售nft的话,也需要把调用nft的权限给opensea。
比如下图的左边就是当我们要在os上架一款nft的时候,需要把操作该nft的权限给opensea的Proxy合约地址(尾号是4101的这个合约),这一步授权是通过调用set approval for all这个function进行的。右边是数据里可以看到具体授权的内容是传入了一个被授权的地址(尾号是4101的这个)。
当我们进行完这一步操作之后,尾号是4101的这个合约就有权把我们的nft转移到另外的地址上。
因为授权操作是如此的重要,所以当我们要进行授权的时候一定要非常的谨慎,看清楚要授权的内容和授权对象才可以操作,而且也不要用存有大额资产的钱包随便授权,不确定的项目不要授权。
5)不要扫码转账
很多丢币事件的起因都是因为跟别人场外交易的时候扫描了对方的二维码,这种二维码看似是一个转账二维码,其实它完成的是授权操作,一旦授权完成,你钱包中所有的币都会被转走。要避免此类事件,我们可以通过找到安全的交易渠道,比如三大交易所;如果需要场外交易的话,那么一定只能通过地址转账,而不要通过扫码转账。
6)谨慎对待陌生电话和陌生短信
最近有一种新型骗局就是打着gj要清退大陆用户的旗号,伪装成公检法或者平台工作人员,要求用户赶紧把资产转移,并提供了新的平台地址或者进行全程联网操作。利用了现阶段zc监管的压力,让用户造成恐慌的心理,从而乖乖进入圈套。
7)注意识别平台官方网址,不要从非官方渠道进行下载或其他操作
我们在进行下载操作或者点金链接的时候一定要核实网址址的安全性和正确性,从官方渠道入口进入,比如如果要下载imtoken钱包,一定要去官方网站下载。千万不要从朋友发送的链接中、或者从百度搜索、第三方网站、或者app store中下载。从非官方平台下载到的钱包类应用,大概率是假的,把资产存入之后就会被骗子一锅端掉。现在假钱包,假交易所等应用都形成了一条完整的产业链,所以大家下载务必要提高警惕。
imToken钱包的官方网站地址是:https://token.im
要确保网址是以https开头而非http开头,以https为前缀的网址都是加密网址,安全性有保证,比如银行网址,支付宝网址等。这也可以算是我们判断的一个小根据。
8)使用单独的浏览器身份安装浏览器扩展钱包。
俗话说木桶的盛水容量是由最短的那块板决定的,因为钱包的安全是如此重要,大家对于钱包的安全往往非常重视,但是大家不要忘记,浏览器扩展钱包归根到底还是安装在浏览器上,浏览器上安装的其他插件的安全与否一样会影响到拓展钱包的安全。而很多浏览器插件的安全却往往被人忽视。
鱼池的创始人神鱼大佬曾经说过:浏览器插件权限太大,而开发者往往又没有那么重视安全,每同时装一个浏览器插件,约等于主动请一个木马7*24围观你的链上操作,如果插件再存在漏洞,那么就约等于把冷热钱包签名的数据给别人。
所以大家如果要使用插件钱包,最好一个插件钱包使用一个新的浏览器用户,不安装其他插件钱包和其他插件。
9)重视系统的安全更新,有安全更新就立刻行动。
不论是电脑的操作系统,还是chrome浏览器,如果有更新的话一定要立刻更新。前一段时间chrome疑似存在重大安全漏洞,进行了一个紧急升级,各个应用和各路大佬都第一时间提醒大家升级,所以注意及时更新操作系统的升级信息,第一时间升级也是提高安全性的一种方法。
10)不要随便点击任何不明链接和附件.
哪怕是在你信任的discord群组里,哪怕是你信任的人发送的,因为你不能保证对方的账户是否被黑。前一段时间,bayc的discord都被黑过,发布了虚假的链接造成了价值nft的损失,还有一位知名OG因为在电脑上打开过一个钓鱼邮件的附件,结果导致钱包中的nft和币全部损失。
希望大家都能掌握基本的钱包使用安全常识,在web3.0的世界里玩的开心。
如果觉得我的内容对你有帮助,欢迎关注我的推特账号和小红书账号:飞猪聊web3,获取更多web3的安全知识、基本技能和实用资讯