本文由區塊鏈安全領先企業慢霧科技所著,詳細介紹了各種類型的錢包,包括瀏覽器錢包、移動端錢包、硬體錢包,以及不建議使用的網頁錢包等。文章同時探討了錢包面臨的常見風險,如意外下載假錢包、電腦受木馬影響,以及錢包自身可能存在的安全漏洞等。
(前情提要:SAFE即將交易》結合智能合約錢包、多簽、帳戶抽象三大優點,代幣經濟學及生態速覽)
(背景補充:以太坊下個升級「Pectra」有什麼料?質押者救濟機制、錢包用戶體驗.. )
隨著加密市場越發火熱,Web3 專案與玩法以極快的速度更迭著,玩家們的情緒也處於越發高漲的狀態,隨之而來的是玩家在參與各類新專案的過程中不小心踩坑被盜或遭遇釣魚。在這個背景下,同時結合我們在鏈上鏈下所收集到的資訊,我們希望擴展出一系列與使用者資產安全息息相關的例項科普,於是便有了 —— Web3 安全入門避坑指南。
我們計劃盡可能全面地整合 Web3 領域中的風險點,並以例項為背景,幫助讀者們更好地辨別與防範風險。本指南主要內容包括但不限於:錢包下載及使用過程中的風險;參與 Web3 各生態專案的過程中可能會掉入的坑;如何更好地辨別簽名授權是否存在危險;不幸被盜後如何補救等。(Ps. 內容是暫定的,計劃趕不上現實及小編想法的變化,所以最終呈現內容比計劃更多或更少都有可能)
無論是新入門的小白,想要探索未知新奇的 Web3 世界,但又被行業黑話、異於 Web2 的玩法以及未知的風險弄得不知所措;又或者是 Web3 老玩家,已經在區塊鏈這片黑暗森林中跋涉了一段時間,聽過見過許多 「坑」,甚至已經踩過,但對於被盜原因以及如何避免再次受損並不太清楚,都可以和我們一起學習這本避坑指南。本指南旨在讓每一個使用者都能更好地保護自己的資產,在區塊鏈黑暗森林中行走得更遠。
眾所周知,錢包是加密世界的入口及 Web3 基礎設施,其重要性也不言而喻。所以話不多說,現在我們來介紹第一道 「開胃小菜」 —— 錢包分類及風險。
錢包類別
瀏覽器錢包
瀏覽器錢包比如 MetaMask、Rabby 等,是作為瀏覽器的外掛安裝在使用者的瀏覽器(如 Google Chrome、Firefox 等)。瀏覽器錢包通常更易於訪問和使用,並且不需要下載或安裝額外的軟體。
網頁錢包(不建議使用)
網頁錢包允許使用者通過網頁瀏覽器訪問和管理加密資產,雖然這種方式較為便利,但背後的風險不容忽視,網頁錢包一般把助記詞加密存在瀏覽器的本地儲存裡,因此可能受到惡意軟體或網路攻擊的威脅。
移動端錢包
移動端錢包的運作方式與網頁端類似,通常作為應用程式提供,使用者可以在手機上下載和安裝。
桌面錢包
桌面錢包在加密貨幣問世的早期較為常見,較為知名的如 Electrum,Sparrow 等。這類錢包是安裝在電腦上的應用程式,私鑰和交易資料儲存在使用者的本地裝置上,使用者對其加密貨幣私鑰有完全控制權。
硬體錢包
硬體錢包是用於儲存加密貨幣和數位資產的物理裝置,如 Trezor,imKey,Ledger,Keystone,OneKey 等。硬體錢包提供了一種離線儲存私鑰的方式,這意味著在使用硬體錢包和 DApp 進行互動的時候,私鑰不會暴露在網上。
紙錢包(不建議使用)
紙錢包是以二維碼的形式,將加密貨幣地址與其私鑰列印在一張紙上,然後通過掃描二維碼來開展加密貨幣交易。
錢包常見風險
下載到假錢包
由於很多手機不支援 Google Play 或者因為網路問題,很多人會從其他途徑下載錢包,比如第三方下載站,或者直接用瀏覽器搜尋某錢包,然後隨機點進一個排名靠前的連結,這樣大概率會下載到一個假錢包,因為搜尋引擎的廣告位及自然流量是可以買到的,騙子可以通過購買排名靠前的廣告位,偽造一個假錢包官網,誘騙使用者訪問。下圖為使用百度搜索 TP 錢包的結果:
購買到假錢包
供應鏈攻擊是硬體錢包安全性的主要威脅之一。如果使用者不是在官方商店或授權經銷商處購買硬體錢包,那麼在錢包到使用者手上之前,會經多少人之手,內部元件是否被篡改過,這些都是不確定的。下圖中,右邊的硬體錢包是被篡改過的。
電腦中木馬
如果電腦中了木馬,錢包便會被惡意軟體影響。慢霧安全團隊曾寫過一篇《暗夜小偷:Redline Stealer 木馬盜幣分析》,對該風險的形成過程及影響做了詳細分析,感興趣的讀者可以點選檢視。我們在此建議使用者安裝防毒軟體,如卡巴斯基、AVG、360 等,保持安全軟體即時防護開啟,並隨時更新最新病毒庫。
錢包自身漏洞
最後,或許你下載了正版的錢包,使用過程足夠小心,裝置及現實環境也足夠安全,但如果是錢包自身設計存在問題的話,也可能被駭客攻擊,使用該錢包的使用者一樣會資產受損。這也就是為什麼在選擇錢包的時候不能僅考慮錢包的便利程度,還要看錢包程式碼是否開源。外部開發和審計人員可以通過開源的程式碼發現潛在漏洞,降低錢包被攻擊的可能性。即使不幸出現錢包因存在漏洞被盜的情況,安全人員也能快速定位漏洞位置,及時補救。
總結
本期我們主要介紹了錢包的分類,並列舉了常見風險點,幫助讀者形成基本的錢包安全概念。無論選擇哪種型別、哪種品牌的錢包,都應始終對助記詞和私鑰保密並確保其安全。可以考慮整合不同型別錢包的優點,多型別錢包結合使用,如使用知名硬體錢包 + 知名軟體錢包組合來管理重資產,使用多個知名軟體錢包分散管理輕資產。下期我們將對下載和購買錢包中的坑進行詳細介紹,歡迎追更。(Ps. 本文提到的錢包品牌及圖片,僅作輔助讀者理解之用,不構成推薦與擔保)
📍相關報導📍
以太坊下一步:EIP-3074納入布拉格升級,智能合約引入錢包帶來三大改革
