钱包安全操作不规范，破产只需5分钟：资深从业者的建议必须听

白话区块链

从入门到精通，看我！

近期，媒体上不断出现关于加密货币钱包的安全事件：

7月10日，硬件钱包Trezor被曝仅需5分钟即可提取密钥种子，且漏洞无法通过补丁修复。 7月12日，Dash官方推特发布警告称钱包My Dash Wallet存在漏洞。 据此前消息，有用户反映价值数百万人民币的达世币被恶意盗取。

加密资产的安全性一直是重中之重，但很多用户的安全意识薄弱，对钱包的了解不多。

今天以太坊放在什么钱包最安全，白话区块链文采访了比太钱包创始人、比特派钱包开发者文浩和imToken中国区运营负责人Simon，希望能帮助大家从更多角度了解加密资产钱包的问题。

01 Trezor 和 Dash 钱包存在哪些安全问题？

比特派：首先，Trezor没有安全问题，但是My Dash Wallet有安全问题，这不是一回事。

让我们先谈谈我的达世币钱包。 从2014年开始，我们就建议用户尽量不要使用网页钱包，因为网页钱包的安全上限是最低的。 浏览器插件、恶意代码注入、钓鱼链接等对网页钱包来说是致命的。 还包括不安全的随机数环境。 我的 Dash 钱包只是网络钱包安全记录不佳和丢失硬币历史的另一个例子。

Trezor 的事情是另一回事。 过去，Ledger 一直以所谓的 Ledger Security Lab 的名义发表文章攻击 Trezor 的安全性。 我已经做出了正面明确的答复，而前几天再次流传的报道，其实是几个月前的内容，并无新意。

对于硬件钱包来说，不可能做到100%绝对防御物理攻击，大家只能努力提高物理攻击的难度。

硬件钱包的真正目的是做一个冷钱包，防止远方的黑客通过互联网将你的币转移出去。 如果你想连物理攻击也能防御，那就用密码账户吧以太坊放在什么钱包最安全，这样即使攻击者盗走了你的硬件钱包，没有密码也没用。

imToken：关于Trezor钱包，它采用单片机结构，类似于微型服务器，通过程序控制对私钥的访问，因此存在被绕过和利用的可能。 比如某些情况下的程序逻辑漏洞或内存读取，其核心是采用安全存储级别更高的加密芯片来保证访问和使用的安全。

对于My Dash Wallet，这次的问题是使用的Script脚本被恶意篡改，导致用户私钥被传送到黑客的服务器，受影响时间长达两个月，给钱包带来了极大的损害。用户资产安全。 影响。

关于在线网页钱包，可能被攻击的方面太多了，比如My Ether Wallet，由于DNS解析污染导致用户访问黑客构建的恶意脚本，以及严重依赖漏洞的第三方程序，或者他们自己的服务器。 被攻击时会出现安全问题。

因此，一般的钱包安全级别是：网页钱包<应用钱包<硬件钱包。 当然，这取决于开发运营项目方维护安全的能力和重视程度。

02 如何降低钱包使用门槛？

比特派：说到钱包的门槛，助记词是绕不过去的。 不管怎样，用户都需要自己保管助记词。 想要绕过这个门槛的用户应该把自己的币留在交易平台上，尽量把币放在更大的交易平台上，风险会更小。 区块链历史上交易平台跑路案例太多，请自行评估相关风险。

目前主流钱包已经在尽可能降低用户使用门槛。 如果真的能把这12个助记词保留下来，后面的钱包操作其实会很琐碎。

imToken：使用数字钱包的门槛主要在私钥备份和存储层面。 事实上，包括以太坊社区在内，很多技术开发者都在关注这个问题。 例如多重签名钱包、EOS多账户+私钥权重、主账户+子账户等，都在探索如何更安全地使用私钥，让私钥管理更具容错性。 但是私钥仍然存在，需要直接暴露给用户进行最终的存储和管理。 所以门槛并没有大幅降低。

我们认为，钱包的终极形态是人链交互系统，将人与区块链无缝结合。

03 如何安排钱包与交易平台的存储比例？

imToken：安全策略个性化、灵活。 对于大多数用户来说，需要频繁操作的资产可以放在交易平台上。 如果想长期持有某些代币，建议购买硬件钱包。

比特派：50%以上不用于交易或很少使用的Token应该存放在冷钱包中； 日常使用的Token中有20% - 30%可以放在热钱包中； 20% - 30% 或更多需要用于交易 Token 存在于交易平台。

04 选择钱包需要考虑哪些因素？

imToken：现在数字钱包如雨后春笋般涌现，质量也参差不齐。 近两年市场上出现了大量的基金钱包和CX钱包，比如MGC等，我觉得用户在选择钱包的时候应该注意以下几点：

首先，选择有品牌影响力和口碑好的钱包。 用户选择使用第三方提供的钱包最重要的是信任这个工具。 用户在选择钱包前可以做一些调研，选择用户量大、上市时间长、没有安全问题的钱包。

第二，选择可以离线生成和管理私钥的钱包，也就是可以作为冷钱包使用的钱包。 我觉得这个比钱包开源更重要，因为钱包开源也会有一些问题，比如真正的产品发布使用的代码是否和开源的代码一模一样，用户的私钥是否上传到自己的服务器等等。 如果用户在关闭手机网络后仍能生成钱包，则可以证明该钱包不是由钱包提供商服务器生成的。 同时，用户还可以通过手机代理查看网络请求，看是否有传输密钥。

最后，用户可以关注开源钱包。 关于开源，大家一定要客观看待，因为开源≠安全。 开源和安全应该是相辅相成的关系。 代码开源后，更多优秀的开发者可以得到关注，自然可以提高安全级别。

比特派：大冷库一定要用开源冷钱包和硬件钱包。 日常使用的钱包应该算是安全口碑好的钱包，由非常强大的团队开发，能够保持很好的迭代速度。

05 操作钱包有哪些注意事项？

imToken：我之前提出了一个“钱包安全10条原则”，基本上涵盖了用户在使用钱包时需要注意的事项：

1. 不使用未备份的钱包 2. 不使用邮箱传输或保存私钥 3. 不使用微信收藏或云备份保存私钥 4. 不截图、拍照保存私钥 5. 不做不使用微信、QQ 传递私钥 6. 不将私钥告诉身边人 7. 不向群发私钥 8. 不使用第三方提供的来源不明的钱包应用 9. 不使用他人提供的Apple ID 10. 不要将私钥导入未知的第三方网站

用户资产被盗的原因多种多样。 一些使用不安全的钱包导致资产损失。 当然，更多的是由于私钥管理和存储不当造成的。 比较常见的盗窃是“自我窃取”的类型，比如和身边的朋友伙伴一起管理私钥，或者不小心把私钥泄露给身边的人，因为区块链是匿名的，所以很容易出现这种情况.

用户应时刻注意私钥应自行保管，不得告诉任何人，不得通过任何即时通讯软件传播。

比特派：助记词的保存是最重要的，因为助记词保存不当导致丢失和被盗的币太多了。

06 如何选择硬件钱包？

比特派：选择硬件钱包有几个因素：1、开源； 2.有屏幕； 3、一个能保持良好迭代的钱包团队； 4、结构合理，价格合理。

imToken：硬件钱包的普及率还比较低，绝大多数用户对硬件钱包了解不多。 但是我建议大资产应该存放在硬件钱包里。

在建议用户选择硬件钱包方面，一定要选择安全芯片级别更高的硬件钱包。 因为市面上的一些硬件钱包还是建立在Android系统之上，即使使用开源代码，也会存在较大的安全隐患，因为硬件钱包是软件和硬件的结合，在使用时是没有问题的软件层面，不代表硬件层面没有问题。 会有问题。

关于开源的问题，我也讲了开源≠安全。 有一个很有意思的问题值得思考：是闭源的苹果系统安全，还是开源的安卓系统安全？

在我看来，在某些场景下关闭源代码实际上会增加黑客攻击的难度。

07 如何识别欺诈钱包？

imToken：具有明显CX和超高回报、吸人等筹资行为的项目，需要引起用户的关注。

其实，用户并不是分不清什么是基金钱包，而是被高额利润吸引而失去了理智。 之前imToken曝光MGC钱包时，很多用户告诉我们：我知道MGC是个骗子项目，但只要更多人被骗，我就能赚钱。 你这样暴露，谁也不会被骗。 我会丢钱。

所以，这不是如何帮助用户识别骗局的问题，而是人性的问题。 庞氏骗局已经存在了整整 100 年，并且仍在反复试验。 还是希望用户能理性一些，不要天上掉馅饼。

比特派：利率高的肯定是骗子。 在钱包中，用户自己保管私钥，私钥本身并没有很高的利息。 如果公链有staking模型，那当然另当别论。 因此，欺诈必须一眼看出。

08 PoS区块链节点会成为钱包发展方向吗？

比特派：新公链一般是PoS模式，会有staking收益和相关机制，新公链设计的时候是钱包（而不是交易平台）场景。

我们已经开始为用户提供质押服务。 这种布局对我们来说是很自然的事情。 未来我们将为各大Sktaing公链提供一键Staking服务，让用户更方便的使用相关功能。

imToken：我觉得钱包是一个天然的 Staking 平台，可以和 PoS 完美结合。 这将是未来钱包的一项重要业务。

我们的团队也非常关注Staking经济的发展，第一时间支持了Cosmos公链和ATOM的Staking服务。 同样，我们也关注波卡等社区流行的优质项目，并会第一时间支持这些项目。

留言挖矿第280期：你的加密资产钱包主要在钱包还是交易平台？ 为什么？ 欢迎在留言区分享你的看法。