如图,对称加密与非对称加密的区别在于图中消息接收方公钥与消息接收方私钥是否为同一把钥匙。
2.公(私)钥,助记词,地址
了解了对称加密与非对称加密,可以更好的理解一些钱包相关的基本概念。
- 密钥对:在非对称加密中,有一对密钥对,分别为公钥与私钥,公钥是公开的,私钥是不公开的。
- 公钥:用来给数据加密,用公钥加密的数据只能使用私钥解密。
- 私钥:私钥可以生成公钥,用来解密公钥加密的数据。
- 地址:与「公钥」相对应,由于公钥过长,于是有了「地址」 ,地址由公钥生成。
- 助记词:与「私钥」相对应,因为私钥是随机生成的字符串,过长且难记,于是催生了一组人类可读的单词代替私钥,用来帮助用户记住私钥,一般是 12 个无规律的短语。(私钥=助记词)
图源网络:链上交易过程
- 电子签名:某条信息(你给某人转账 100 个以太坊),这条信息需要你的私钥签名后,广播到区块链上。
- 签名验证:接收端可以通过你的公钥验证这个消息确实是通过你的私钥签名,那就是你发布的,交易记录上链,因此,谁掌握了私钥,谁就掌握了该钱包。
根据私钥是否触网,可以将钱包分为热钱包与冷钱包,如上图。
热钱包:客户端钱包、插件钱包、手机端 APP。
使用方便,新手易操作,交易转账的效率比较高,安全性较差,容易被盗。
冷钱包:硬件钱包。
安全性高,适合存放大额资产,创建复杂,转账麻烦,硬件损坏或私钥丢失都可能造成数字资产的丢失。
关于钱包更详细的分类可以查看白话区块链之前的科普文章《科普 | 数字资产钱包有哪些种类?》
通过以上,我们可以知道,私钥即一切,而我们所有保护资产的措施,其实都是保护私钥,保护私钥,保护私钥。(防止私钥的丢失,被他人获取)
02 被盗案例了解了相关的概念,我们再来看下,目前主要存在哪些丢失的案例,通过案例,我们可以更好的保护我们自己的钱包。
1.私钥(助记词)泄漏
2021 年初,生财有术创始人亦仁,将比特币私钥保存在云笔记中,导致八位数资产的 BTC 丢失。
22 年 11 月,分布式资本创始人沈波价值 4200 万美元的数字资产被盗,被盗资产包括:38,233,180 枚 USDC、1607 枚 ETH、719,760 枚 USDT 以及 4.13 枚 BTC。据安全机构慢雾后续分析称,被盗是因为助记词泄漏所导致。
2.私钥(助记词)丢失
英国 IT 工程师 James Howells 在 2013 年弄丢电脑硬盘,里面存有 8000 枚比特币,9 年后,计划花 7430 万美金翻遍垃圾场来找回电脑硬盘。
3.点击病毒链接
一用户胡乱点击别人发送的链接,导致黑客读取 metamask 本地加密备份,所有资产被盗。
推特 KOL 点击别人私发链接,导致推特账户被盗,然后发布带毒空投信息,利用粉丝对 KOL 的信任点击链接盗走粉丝资产。
4.随意授权,应用出现漏洞
10 月 2 日,Token Pocket 旗下闪兑 DEX Transit Swap 官方表示遭遇黑客攻击,资产损失超 1500 万美元,提醒用户取消授权。
10 月 11 日,DeBank 团队开发的插件钱包 Rabby 称其 Swap 合约存在漏洞,建议用户取消 Rabby Swap 授权,最终黑客获利超 19 万美元。
5.下载假的 APP(带病毒软件)
一些黑客获取平台用户信息后,通过短信给用户散布恐慌信息,平台已经不安全,需要点击链接重新安装应用或登录账户,登录后,账户资金被盗。
一用户下载假的 Binance app,转账时,转入其他人地址,5 个 ETH 的资产彻底丢失。
我们从上述案例可以看出,用户资产被盗,主要集中在这几种情况:私钥(助记词)泄漏,私钥(助记词)丢失,点击病毒链接,随意授权,应用出现漏洞,下载假的 APP(带病毒软件)等几种情况。
接下来,我们来整理下有哪些方法可以避免上述情况的发生。
03 如何避免财产损失
1.私钥的保存(核心:不易丢失,不易损坏,其他人无法接触或接触也无法使用)
钱包生成后及时备份,双重备份,因为一旦丢失,将无法找回
助记词保存在不联网且不易丢失和损坏的介质上,比如抄在纸上,自己进行加密(增加或减少特定字符,方便记忆);找一台永不联网手机的拍照存储;有一些钱包提供商会出售助记词相关的铁板。
使用冷钱包(硬件钱包),选择知名的冷钱包;应从官方渠道购买,不要通过第三方渠道购买(第三方渠道可能存在病毒);设置较强的密码,同时备份私钥,防止硬件钱包丢失或损坏。
2.防止私钥(助记词)泄漏
- 不要复制粘贴私钥,有些软件可以读取用户的剪切板
- 不要将私钥保存在微信收藏,传输文件,百度云,印象笔记等网络平台
- 绝不告诉任何人私钥,记住,是任何人,一些骗子假冒钱包官方人骗取你的私钥,不要相信,钱包方也没有权力获取用户私钥
- 使用公共 Wi-Fi 时,不要复制粘贴私钥
- 下载各种应用,应去官方渠道,所有应用商店有时也不可信(记住,是所有),存在虚假应用
- 钱包签名时要谨慎,DeFi 协议和 NFT 交互重度用户,记得及时撤销授权,防止应用出现漏洞后导致资产被盗
- 不要随意点击别人发送的链接(短信),下载别人分享的文件,甚至一些 kol 的链接也不要随意点击,有可能含有病毒
- 一旦发现钱包有一点资产泄漏,应第一时间舍弃钱包,不要抱任何侥幸心理
- 不使用免费的 VPN
- 紧跟新闻,实时了解新的被盗信息
- 如果链上玩的比较多的用户,建议安装 ScamSniffer 浏览器插件,它可以在你访问钓鱼网站的时候拦截并提示,当浏览假的官推回复时,也会出现提醒。
以上所有的措施,其实都是为了保护你的私钥不泄密,Not your key, not your money!
3.资产分散放置
可以将自身资金分散放置在钱包与交易平台中,虽然 FTX 出事,导致中心化交易平台信任缺失,但对于绝大多数人来说,资产放在几个中心化头部交易平台比拿在自己手中相对要安全很多,便利性也会比钱包好一些,只要不是特别大的损失,几个头部平台一般都能赔的起。
使用中心化交易平台需要注意几点:
- 开启三重验证(手机,邮箱,谷歌二次验证)
- 开启提 Token 白名单
- 从官方渠道下载 App
- 转账时,确认地址是否正确
图源网络
另外使用浏览器登录交易平台官网时,BN 官方给的几条安全建议:
- 隔离 — 单独创建一个 chrome 用户登录 DAPP,不要安装插件;
- 清除 — 涉及资金的 APP,登录了网页记得及时退出;
- 无痕 — 无痕模式打开网页,禁用任何插件;
- 隐私 — 资金操作单独一台电脑,或者苹果手机,相比较安全系数会更高
- 权限 — 涉及到资金权限,建议设置成几分钟立刻登出。
