本文重点:
- 加密货币投资安全是第一优先
- 交易所有完整安全机制但交易所本身可能出事
- 现阶段加密货币钱包没有太多可用安全机制但使用得当就很安全
- 期待 AA 钱包未来能结合两者优点
- 简易判断法:你和交易所谁出事的风险高?
欧易:https://www.okx.com/join/41322075
币安:https://www.binance.com/zh-TC/join?ref=XC246CTG
加密货币投资第一优先事项:安全
如果赚到钱但领不出来,或随时有可能本金被盗走,这么危险的投资应该没有人愿意做。加密货币领域还在相对早期阶段,许多机制还不是那么成熟完整,虽然有更可观的投资报酬,风险确实也比较高,但投资就是想要赚钱,赚到的钱要能带走,本金要能保住,这是最重要的两件事。
也因此许多初入币圈的人会问:币要放在哪里才安全?交易所跟钱包哪个比较好?
这篇文会介绍交易所与钱包现有的安全机制,以及各自适合的使用场景与习惯。
交易所六项安全机制 - 简单保护自身资产
针对存放在交易所里面的加密资产,以及我们的交易所帐户安全,主流交易所通常有这些安全机制:
一.2FA (两阶段验证) 登入-交易所使用上跟网路银行有点像,要注册帐号,使用前要登入。2FA 是在帐号密码之外,还需要其他验证码才能登入,例如 email 、手机短信收验证码,或使用第三方验证工具例如 谷歌验证器
二.新 IP 登入警告-只要有新 IP 尝试登入就会发 email 通知,可以即时知道是否有其他人在偷偷登入你的帐号
三.登入设备管理-查看登入的设备,也是用来检查是否有人偷偷登入帐号
四.另外设提币密码 (不同于登入密码)-提币的时候需要另外输入一组密码,就算登入密码外泄,只要提币密码设定不同,别人登入后依然无法提币
五.提币白名单地址限制-只能提币到设定清单中的地址,新增地址通常会限制一段时间后 (例如一天) 才能提币,就算密码都外泄,对方也无法立刻把币提走
六.提币额度限制-设定一日内提币上限,就算一切失守,对方也无法在短时间内把所有资产提光
一个交易所不一定会同时有上述六种机制,但通常至少会有其中四五种以上。这些机制可以分类成三部分:
登入相关-增加登入验证步骤,确保是本人登入。
提币相关-增加提币限制,额外密码、额度或白名单地址限制。
异常警告-帐户有异常活动时立刻发通知
安全机制通常预设关闭,必须由使用者自行开启设定,一旦开启其中多数安全设定,资产被盗走的难度会大幅提高
一旦设定了 2FA 两阶段验证,对方拿到帐号密码也没用,还得骇入其他验证装置,例如手机或 email 信箱;一旦设定了提币限制,就算成功登入也无法提币,就算设定白名单地址也得等时间限制后才能提币,这时帐号主人应该已经收到异常警告,可以赶紧改密码或先把币提到其他地方
相关安全设定都开启之后,假设真的点到钓鱼网站,在钓鱼网站输入帐号密码,也输入 2FA 验证码,对方也很难盗走什么东西,最大被盗的可能性也许是对方拿到你的手机,而手机 App 设定使用指纹或脸孔辨识登入,对方又刚好就在身边可以直接拿你的手指通过验证,这种情况才能绕过重重安全设定成功盗取交易所内的加密资产
交易所帐户没有私钥,不怕遗失私钥,忘记帐号密码也没关係,只要能够证明是本人,就可以透过客服来协助重新设定帐号密码
总结来说,如果交易所的安全设定都有开启,交易所裡的资产其实很难被盗走,大多数被盗都是一开始就注册到假的网站,或没有设定 2FA。交易所也不需要担心搞丢私钥,最大的风险在于交易所可能挪用客户资产,或交易所自己被骇,可能造成资不抵债,甚至可能卷款跑路
交易所被骇的事件在近年来已经有所减少,但挪用客户资产的事件依然时有所闻,例如 2022 年的 FTX,2023 年的 BKEX,尽量只使用头部交易所,排名前面的不一定绝对安全,但通常会比较安全;尽量使用有提供资产储备证明 (POR) 的交易所,也尽量不要把所有资产放在一间交易所裡,不要把所有鸡蛋放同一个篮子里
加密货币钱包安全靠自己,私钥请妥善保存
当前的加密货币钱包其实没有太多安全机制,主要得靠使用者本身
加密货币钱包不需要登入,主要是私钥,一旦拥有私钥就可以汇入该钱包掌控其中资产,只要私钥或助记词外流,对方就可以提走钱包中的币,就算立刻发现也无法阻止,当下能做的就是比手速,比骇客更快把币转走
名词解释:
私钥是一串乱码,助记词是转换成比较容易记忆的 12 - 14 个英文单字,再透过数学算法计算出私钥,功能上差不多,一旦外流就等于失去了这个钱包的控制权
只要是正规的加密货币钱包,都是非託管钱包,厂商只会更新软体,不会帮忙管理你的钱包和资产,私钥只有使用者自己可以纪录和备份,一旦忘记就没了,客服也无法协助恢复
私钥有没有外流? 目前无从得知
也许已经外流了,只是因为裡头钱还不多,对方还不想动手,钱包主人无法知道有没有外流;交易所有异常登入警告,加密货币钱包没有。一般的加密货币钱包也无法设定提币白名单地址限制,额度限制等也不行
加密货币钱包安全机制大概有这几项:
多重签名机制-发起交易需要好几个人一起授权签名,不怕单一私钥外洩。但这对一般人来说很难使用,资产很多的钱包才会设定
每个钱包地址都单独授权-一份助记词可以创立数十个钱包地址,在同一个钱包工具中就可以操作。每个钱包地址对应一组私钥,每次操作授权合约也只限定在这个地址上,就算出错也只有这个地址有风险,其他地址都没事 (除非外流的是助记词),如果针对每个网站都用不同的钱包地址,可以很好的做到风险隔离
某些加密货币钱包 / 浏览器扩充功能有智能合约安全扫描-加密货币钱包操作时需要和网站连线,并授权智能合约操作,但如果连线到钓鱼网站、授权给诈骗合约,资产就会有风险。有些加密货币钱包有提供相关安全扫描的功能,授权前会先扫描安全性并给予警告
使用设备进入网址登录时,一定一定一定要确认好是否为钓鱼网站,很多网站与官网只有细微的差别,一定要注意
硬体钱包操作时需要插入实体钱包 (类似交易所的实体金钥)-加密货币钱包还能分成冷钱包跟热钱包,连网的是热钱包,不连网的则是冷钱包。冷钱包通常以硬体钱包的方式呈现,私钥只存在硬体钱包裡面,硬体钱包本身不能连网路,使用时须将硬体钱包插上电脑才能签名授权,没有拿到这个实体钱包就不能用。除非自己把私钥抄给别人,不然硬体钱包几乎没有私钥外流风险,硬体钱包中的私钥隔离存放,就算使用的电脑中毒,硬体钱包中的私钥也不会外泄
总结来说,现阶段的加密货币钱包还没有太多好用的安全机制,多签对一般人来说不实际;每次连不同网站使用都创新的钱包地址,管理起来也很麻烦;安全扫描并不是每个钱包都有这功能,现阶段大多还是依靠第三方工具来检查;至于硬体钱包还得另外花钱购买以及学习使用,通常也是有一定资产规模的人才会选择硬体钱包
现阶段只要想提高加密货币钱包安全性,几乎都得伴随着不便和成本提高
加密货币钱包的安全主要还是靠使用者自己,只要确保私钥不外流,以及不要授权给有风险的智能合约,加密货币钱包裡的资产就很安全
私钥一外流就再也不安全了,如果觉得有外流疑虑,务必立刻创建新的钱包并将币转过去,不要继续使用有疑虑的钱包。外流之外还有个风险是忘记私钥,如果忘记私钥,也没有做好备份或是备份遗失,那裡头的资产就从此与你无关,所以也务必做好助记词与私钥的备份
看起来交易所比加密货币钱包安全很多,为什麽有那麽多人使用加密货币钱包?
就是因为标题这句话:
Not Your Keys, Not Your Coins
不是你的私钥,就不是你的币
交易所被骇,我们的资产就有损失风险;交易所挪用,我们有风险;交易所管理不当,我们依然有风险。风险掌握在交易所手上,自身风险掌握在他人手上,使用交易所的过程中等于要信任交易所这个中心机构,这些都违反区块链加密货币去中心化的特性
在去中心化的世界裡,我们不需要信任它人,只需要信任程式 (合约),也不把自己的安全依赖在别人的行为上,风险自己掌握自己承担
使用交易所 > 如果都做好安全设定,剩下的风险是交易所,安全要依赖交易所
使用加密货币钱包 > 不需要担心资产被挪用,不需要担心交易所乱搞,安全靠自己
没有最安全的选择,只有最适合你的安全方式
如果是个去中心化信仰者,完全认同区块链去中心化的特性,那当然得使用加密货币钱包,最符合去中心化的特点
如果不是去中心化信仰者,只想安全操作加密货币,要怎麽判断自己更适合交易所或加密货币钱包?
你的风险比较高? or 交易所的风险比较高?
如果本身资安观念很好,工作跟玩币的设备都分开,每次连新网站都会检查,知道怎麽安全备份私钥助记词,那麽使用加密货币钱包确实会比交易所更安全,毕竟不需要承担交易所本身的风险
如果本身资安不是那麽熟悉,常常贪图快速方便就忽略细节,也常搞丢东西,那麽使用交易所并开启所有安全设定,会比使用加密货币钱包要安全很多