区块链:安全指南:如何安全使用加密钱包?

钱包是加密资产存储和管理的重要工具,类似于传统金融中的银行账户,用于存储、发送和接收加密货币。

然而,对于许多加密新手来说,钱包仍然是一个陌生的领域,也不清楚该选择什么样的钱包,本文旨在从最基础的钱包相关概念讲起,详细介绍如何选择钱包以及安全地存储资产。

一、钱包相关知识

1、什么是公/私钥

「私钥相当于你钱包账户的密码,拥有私钥=拥有该钱包账户的所有权」

钱包地址和私钥是由算法生成的,最先生成出来的是私钥,并且通过这个私钥生成一个公钥组成密钥对,而钱包地址是由公钥进一步计算生成。

钱包地址、私钥和公钥的表现形式如下图所示:

公钥与私钥是一组密钥对,用于加密与解密、信息验证与签名,公钥与私钥对于用户来说并不常用,其原理涉及到非对称密码学,在此不过多赘述,感兴趣的小伙伴可搜索相关内容了解。

谷歌向苹果安全团队支付15,000美元漏洞赏金:金色财经报道,谷歌证实,苹果安全工程和架构团队在Chrome网络浏览器中发现了一个高严重性安全漏洞。此外,SEAR团队还因发现和披露漏洞而获得了Google 15,000美元的奖金。这一特定披露的消息是在8月2日的Chrome更新公告中发布的,确认了由于外部贡献者漏洞报告而进行的11个安全修复。CVE-2023-4072是ChromeWebGL实现中的一个“越界读写”漏洞。

WebGL是JavaScript应用程序编程接口,可以在浏览器中渲染交互式图形,而无需任何插件。存在越界漏洞,程序可以从分配的内存区域的边界之外读取数据(在本例中是写入数据)。谷歌并没有透露太多有关此漏洞的信息,而是对技术细节进行了限制,直到大多数Chrome用户激活了更新。此外,VulnDB指出,成功利用漏洞需要用户交互。目前也没有已知的漏洞可用。[2023/8/7 21:30:01]

如果用银行账户举例,那么就钱包地址相当于银行卡号,用于接收资产。

公钥与地址是公开的,私钥是不可公开的,相当于银行账户密码,仅能自己知晓。一旦私钥泄露,钱包及资产就可能丢失,而拥有私钥的人可以在其他钱包应用上「登入」这个钱包。

吴杰庄委员:将数字港元发展成“稳定币”也是解决Web3.0安全风险问题很好的方法:金色财经报道,近年来,区块链技术发展迅速,越来越多的国家和地区开始发展元宇宙和Web3.0(第三代互联网)。港区全国政协委员、香港特区立法会议员吴杰庄近日接受专访时表示,通过打造香港为国际创新科技中心,必能助力国家经济发展再上一个台阶。

对于Web3.0的安全风险问题,吴杰庄直言,除了加强金融监管,将数字港元发展成“稳定币”也是很好的解决方法,相信会有更多国家愿意和我们做这种金融科技的互换,香港有很多企业在网络安全等方面掌握了很先进的技术,我相信未来香港可以更好地协助人民币国际化进程。Web3.0应用场景非常广泛,区块链发展非常快,可以明显发现,现在的区块链项目和实体生活结合越来越紧密。[2023/2/20 12:17:48]

2、什么是助记词

现在我们通过钱包应用创建钱包,通常不会让我们备份私钥,因为私钥是一串随机字符组成,复杂且难以记忆,因此就有了助记词。

助记词表现形式如下:

安全团队:两个休眠4年多的地址将22982枚ETH转移至新地址:12月19日消息,据派盾预警监测,两个休眠地址将22982枚ETH(约合2720万美元)转移到两个新地址,它们的最后一次移动是在2018年10月份(1535天前)。这些ETH源自Genesis和Poloniex。[2022/12/19 21:53:33]

助记词通常是由12或24个英文单词组成。助记词与钱包私钥是映射关系,可以理解为是私钥的另一种表现形式,比私钥更容易记录,输入助记词也同样可以「登入」钱包。所以助记词和私钥一样也不能被他人知道,需妥善保管。

3、助记词该如何存储

区块链资产存储的核心在于私钥以及助记词的保管。私钥或助记词丢失意味着资产丢失,因此合格的私钥或助记词保管是对自己资产负责的第一步。

有以下几点值得注意:

58学院直播间:安全性,功能性和易用性是判断钱包是否安全靠谱的三大标准:12月3日下午17点,58学院第二十四期AMA《强监管来袭,该如何确保资金安全?》邀请到了HyperPay的市场品牌总监Nancy做客直播间,在谈到用户该如何判断钱包安全与否,以保证资产安全的问题时,Nancy表示,用户在选择钱包时,需要注意三个事项,分别为:(1)安全性,要关注钱包在运营的过程中是否出过安全事故,如果一款钱包长时间稳定运营且没有出过任何安全问题,大家就可以适当的存放资金。(2)功能性。很多钱包在DeFi已经如火如荼的情况下,仍然不能支持DApp接入,这致使用户在DeFi挖矿过程中比较费力。(3)易用性。钱包作为直面币圈新人的工具,一定要降低足够的操作门槛,如果一款钱包的操作门槛特别高,说明它已经将行业内大部分人屏蔽在外,也很难有新鲜血液流入。[2020/12/3 23:00:09]

1、离线存储:最好将助记词或私钥手动抄录在纸上,并存放在安全的地方。对手抄内容进行验证,导入钱包看能不能成功,防止抄写错误。

2、分散存储:将助记词或私钥分散成多份,分别存放在不同的安全区域,注意保存这些信息。

金色相对论 | 360安全专家彭峙酿:产业互联网下安全缺位将会带来不可估量的影响:在今日举行的金色相对论中,针对“产业互联网下安全缺位的影响是怎样的”的问题,360漏洞研究院自身安全专家彭峙酿表示,随着互联网产业的繁荣,中国数字经济得到了快速的发展。网络越来越深入人们的生活,网络与显示生活的边界正在逐渐消失。原本互联网上的安全问题,现在还在继续涌现甚至发酵,在数字经济和大数据发展的背景下,个人隐私、数据安全将会变得尤为突出。各种新技术的产生,也会带来各种新的挑战。我认为产业互联网下安全缺位将会带来不可估量的影响。安全问题将融合到具体业务中来,对社会生产造成更大的影响。产业化时代,我们一是需要更全面的的安全防护体系:能够从各个层面防护传统安全+新网络安全带来的挑战;另外一点就是安全防护要能够更贴近具体垂直产业,针对性的解决各个垂直领域出现的新安全问题。[2020/6/3]

3、不要将助记词或私钥保存在网络设备上:不使用聊天软件传输私钥/助记词,不要用截屏、拍照或软件收藏,也不要用云备份、邮箱、手机备忘录等方式存储私钥/助记词。

4、不要复制/粘贴助记词和私钥,剪切板是一个严重泄露私钥和助记词的途径,在有必要需要输入助记词/私钥时,通常是将钱包导入新钱包应用,输入法也尽量使用系统安全的输入法。

值得注意的是,一组助记词可以生成多个钱包地址,比如当使用小狐狸钱包的一键生成新钱包功能时。

新钱包地址的助记词与原有钱包地址的助记词相同。因此,你可以查找新钱包地址的私钥进行备份抄录。

二、钱包的划分与注意事项

1、什么是冷/热钱包

私钥从生成后从来不联网的,就是冷钱包。因为签名就是个数学运算,待签名的消息完全可以通过非网络的方式传递给冷钱包,签名后再传回来再发布到网上。

私钥在生成后就处于一台联网设备中的是热钱包,热钱包又可根据联网的设备分为浏览器钱包、电脑桌面钱包和手机端钱包。

热钱包适用于与DApp进行交互,冷钱包因为不触网安全性相对较高,适用于存放大额资产。

2、热钱包的选择与注意事项

热钱包的选择有很多,只要有一定知名度且开源,都可以使用,在安全性上总体没有太大差别。

知名的浏览器钱包如下:

MetaMask

支持的设备:Chrome、Firefox、Brave、Edge、Opera等浏览器以及手机端下载

支持的链:所有兼容以太坊虚拟机的区块链

知名的手机端钱包如下:

1)TrustWallet

支持的设备:Chrome、Brave、Opera、Edge等浏览器以及手机端下载

支持的链:支持含兼容以太坊虚拟机以及Bitcoin、LTC、Sol在内的超65条区块链

2)ImToken

支持的链:Ethereum、Bitcoin、Cosmos、EOS、TRON等12条公链

注意事项

热钱包一定要从官网下载,其他一切下载渠道,包括应用商城都不可信任。不论是桌面端插件、安卓APK还是iOS程序。官网都可以直接下载或者给你跳转到应用商城下载。

钱包使用注意事项:

1、钱包签名时要谨慎,签名内容需反复确认,DeFi协议和NFT交互重度用户,记得及时撤销授权,防止应用出现漏洞后导致资产被盗

2、不要随意点击别人发送的链接,下载别人分享的文件,甚至一些KOL的链接也不要随意点击,有可能含有病

3、一旦发现钱包有任何资产泄漏,应第一时间将剩余的资产尽快转到另外的钱包并舍弃此钱包,不要抱任何侥幸心理

4、不使用免费的VPN

5、紧跟新闻,实时了解新的被盗信息

4、冷钱包的选择

海外老牌的硬件钱包有Ledger、Trezar等,国内主流的有Onekey、Imkey等。

注意事项

冷钱包虽然能使私钥不触网,但这并不代表绝对安全,有以下几点值得注意:

1、确保是通过官方网站购买,以防硬件钱包被动手脚

2、备份助记词

3、选择带有屏幕的硬件钱包:冷钱包最终签名应以钱包硬件屏幕上的信息为准,因为联网终端的显示有可能遭到篡改

4、设置强密码或选择带有生物识别的产品,以防钱包丢失时被他人破解

三、安全插件

现在市面上有一些所谓的“安全插件”,其目的是保护用户在和DeFi或各类Web3应用交互时免受攻击,比如拦截钓鱼网站、恶意合约、恶意代币等。

一个正常合理的安全插件不会去访问用户的隐私信息,只会在交易前对用户交易的信息进行检查,如果有问题会对用户提出警示。

然而,这里也存在一个隐患:如果安全插件本身就存在漏洞或者本身就被黑客攻击,则装了安全插件不仅不能保护用户反而会伤害用户。

因此在这里我们对安全插件持中立态度,既不推荐也不反对。

目前市面上有一些比较流行的安全插件,如PocketUniverse

随着区块链的发展及链上交互的增加,如何安全地使用钱包已成为一项必备的技能。尽管有多种安全措施可避免大部分风险,但在区块链的世界并无绝对安全。随着区块链技术的不断演进,新问题与挑战也将随之涌现,因此我们需要不断提升自己的知识储备,以更好地保护自己的资产。

『免责声明:本文不构成投资建议,仅供广大爱好者科普学习和交流,请理性看待,树立正确的理念,提高风险意识,及遵守所在国家和地区的相关法律法规。』

转自道说区块链

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

链链资讯

LunaHTT:零知识证明经典文献大汇总(可收藏)

从去年的DAO经典到更早的NFT经典。本文,为那些寻求理解、深入和构建零知识的人挑选了一组资源:强大的基础技术,这些基础技术掌握着区块链可扩展性的关键,代表着隐私应用程序的未来,包括加密/web.

[0:15ms0-3:857ms