幣安創辦人趙長鵬(CZ)昨(24)日傍晚在社交平台 X 上發文,更新了一篇有關加密貨幣安全建議的文章,以幫助用戶免遭駭客攻擊,本文將 CZ 這篇文章全文編譯整理。
(前情提要:V神喊「多簽+冷錢包最安全」被駭客打臉,專家:Bybit案衝擊大量機構、資安整頓期或達半年)
(背景補充:三箭Zhu Su:Bybit駭客事件的「ETH恐慌做空敘事」或將推動以太坊價格創新高)
加密貨幣交易所 Bybit 上週 21 日驚傳遭駭,損失約為 14.6 億美元,成為加密貨幣史上最大竊案;而就在昨(24)日,加密支付項目 Infini 又被確認遭遇駭客攻擊,損失金額接近 5,000 萬美元…一系列駭客事件再次為加密安全敲響警鐘。
在此背景下,幣安創辦人趙長鵬(CZ)昨(24)日傍晚在社交平台 X 上發文表示,他在週日花費一天時間,更新了一篇他在五年前寫下的有關安全建議的文章,以幫助幣圈人免遭駭客攻擊。本文將 CZ 這篇文章全文編譯如下。
Spent the Sunday updating this security tips article from 5 years ago. Shrunk it from 5500 to 4300 words. If you haven't read it before, I recommend reading it.
It might just save you from a hack (that you never know because you avoided it). Stay SAFU!https://t.co/DMjeqQmKhO pic.twitter.com/6HYAhxtblD
— CZ 🔶 BNB (@cz_binance) February 24, 2025
保持你的加密資產安全(CZ 的建議)
更新時間:2025/2/24;最初發佈時間:2020/2/25
加密貨幣用戶缺乏安全意識,真讓人痛心。看到專家推薦那些難以跟隨操作且容易出錯的高級設置,也同樣讓人痛苦。
安全是一個廣泛的話題。我絕不是專家,但我見過許多安全問題。我會盡力用通俗易懂的語言來解釋:
- 你為什麼以及如何,或為什麼不,選擇自己存儲加密貨幣?
- 你為什麼以及如何,或為什麼不,選擇將加密貨幣存儲在中心化交易所?
首先,沒有什麼是百分之百安全的。軟體有漏洞,人也可能遭遇社交工程攻擊。真正的問題是,它是否「足夠安全」?
如果你在錢包中存儲 200 美元,可能不需要超高安全性。一個移動錢包就足夠了。如果你存的是一生的積蓄,那麼你就需要更強的安全性。
為了保護你的加密貨幣,你只需要做以下三件事:
- 防止他人盜竊。
- 防止自己丟失。
- 如果你無法使用它們,必須有一種方式將它們傳遞給你的摯愛。
很簡單,對嗎?
你為什麼可能或不可能想要自己存儲加密貨幣?
你的私鑰,就是你的資金。還是說不是?
許多加密貨幣專家堅信,只有自己持有加密貨幣才能保證其安全,卻從未考慮過你的技術水平。這真的是最適合你的建議嗎?
一個比特幣私鑰長這樣:KxBacM22hLi3o8W8nQFk6gpWZ6c3C2N9VAr1e3buYGpBVNZaft2p
就這樣。擁有它副本的人可以轉移該地址上的比特幣(如果有的話)。
為了保護你的加密貨幣,你需要:
- 防止他人獲得(你的私鑰副本):防止駭客入侵,保護你的電腦免受病毒、網路攻擊等威脅。
- 防止自己丟失私鑰:做好備份,以防設備損壞或丟失,並確保備份的安全。
- 如果發生意外或死亡,必須有一種方式將私鑰傳遞給你的摯愛。這不是一個愉快的情境,但作為對摯愛負責的成年人,我們必須管理這個風險。
提防駭客
你聽說過駭客。他們使用病毒、木馬和其他惡意軟體。你不希望這些東西靠近你的設備。
要達到一定程度的信心,就要確保你的加密貨幣錢包設備永遠不連網。你也不應該在這個設備上下載任何檔案。那么,怎麼使用這樣的設備呢?
讓我們來談談你可以使用的不同設備。
電腦是一個明顯的選擇,並且通常是支持最多幣種的設備。你永遠不應該將這台電腦連接到任何網路。如果你把它連接到網路,駭客可能透過利用操作系統或你使用的軟體中的漏洞來入侵你的設備。軟體永遠不會沒有漏洞。
那麼,如何安裝軟體呢?你使用一個 USB 隨身碟。確保它是乾淨的。使用至少三款不同的防病毒軟體來徹底掃描它。將你希望安裝的軟體(操作系統和錢包)下載到 USB 隨身碟中。等待 72 小時。查看新聞,確保該網站或軟體沒有被攻擊。
曾經有官方網站被駭客入侵,下載包被替換成了木馬。你應該只從官方網站下載軟體。你應該只使用開源軟體,以降低後門風險。即使你不是程式設計師,開源軟體會被其他開發者審查,後門風險也較低。這意味著你應該使用穩定版本的 Linux(而不是 Windows 或 Mac)作為操作系統,並且只使用開源的錢包軟體。
一旦一切安裝完成,你就可以使用乾淨的 USB 隨身碟來離線簽署交易。這一過程會根據錢包的不同而有所不同,並不在本文範圍內。除了比特幣,許多幣種的錢包無法進行離線簽名。
你需要確保設備的物理安全。如果有人偷走它,他們可能會實際訪問你的設備。確保你的硬碟已經被強加密,即使有人拿到它,他們也無法讀取。不同的操作系統提供不同的加密工具。再次提醒,硬碟加密的教程不在本文範圍內,網上有很多相關資源。
如果你能做好上述操作,那麼你就能夠進行安全備份,並且不需要閱讀本文的其他部分。如果上述內容聽起來不是你的菜,那麼還有其他選擇。
你可以使用手機。一部未 root 的手機通常比電腦更安全,這得益於手機操作系統的沙盒設計。對大多數人來說,我推薦使用 iPhone。如果你更擅長技術,我推薦使用安裝了 GrapheneOS 的 Android 手機。同樣,你應該只使用一部手機來管理錢包,而不是將其與日常使用的手機混合。你應該只安裝錢包軟體,其他什麼也不要裝。除了使用錢包進行轉帳外,應該始終保持手機處於飛行模式。我還建議使用一張單獨的 SIM 卡,並只使用 5G 來連接網路。永遠不要連接 WiFi。只有在使用手機簽署交易和更新軟體時,才連接到網路。如果你的錢包中沒有超大金額,這樣做通常是可以的。
一些移動錢包提供離線簽名交易的功能(通過掃描 QR 碼),這樣你可以完全將手機保持離線,從安裝錢包應用到生成私鑰之前。這樣,你的私鑰就永遠不會在連接到網路的手機上。這可以防止錢包有後門並將數據發送回開發者,這在過去曾發生過,甚至是官方版本的應用。你將無法更新錢包應用或操作系統。要進行軟體更新,你需要使用另一部手機,安裝新版本的應用,將其設置為飛行模式,生成新地址,備份(稍後會提到),然後將資金轉移到新手機上。這樣做不太方便。此外,這些錢包應用支持的幣種和區塊鏈有限。
這些錢包應用通常不支援質押、收益挖礦或投資迷因幣。如果你對這些有興趣,你將不得不稍微犧牲一些安全性。
你需要確保手機的物理安全。
硬體錢包
你可以使用硬體錢包。這些設備設計為讓你的私鑰「永遠」不離開設備,這樣你的電腦就不會擁有它的副本。(截至 2025 年,Ledger 的新版本可能會將私鑰發送到伺服器進行備份,所以這不再成立。)
硬體錢包在軟體等方面也有報告過漏洞。所有硬體錢包都需要與電腦(或手機)上運行的軟體互動才能運作。你仍然需要確保你的電腦沒有病毒。有些病毒會在最後一刻將你的交易目標地址切換為駭客的地址等。因此,一定要仔細核對設備上的目標地址。
硬體錢包防範了許多基本類型的攻擊,若你希望獨立存儲加密貨幣,它仍然是一個不錯的選擇。然而,硬體錢包最弱的部分通常是如何存儲備份,我們將在下一部分中討論這一點。
防範自己
你可能會丟失設備或設備可能會被損壞。因此,你需要備份。
這裡也有許多方法,每種方法都有其優缺點。從根本上講,你想要實現多重備份,並且備份存放在不同的地理位置,且不易被他人看到(加密)。
你可以將它寫在紙上。一些使用種子錢包的錢包建議這麼做,因為寫下 12 或 24 個英文單字相對簡單。對於私鑰,你很容易犯錯。紙張也可能會在一堆文件中丟失、在火災或洪水中損壞,或者被你的狗咬壞。其他人也很容易讀取紙張 —— 沒有加密。
有些人使用銀行保險庫來存放紙質備份。基於上述原因,我通常不推薦這個選項。
不要拍下紙張的照片(或截圖),將其同步到雲端,並認為它安全地備份了。如果駭客入侵你的電子郵件帳號或電腦,他們會輕易找到它。雲端服務提供商有許多員工可以查看它。
有些金屬標籤專門設計來存儲種子備份。這些標籤應該是幾乎不可摧毀的,這基本上解決了火災或洪水中損壞的問題。但它並沒有解決丟失或容易被他人閱讀的問題。再者,某些人將這些標籤存放在銀行保險庫中,通常與他們的黃金或其他金屬一起存放。如果你使用這種方法,你應該理解其中的風險。
我推薦使用至少 3 個 USB 隨身碟,但這需要更多的技術設置,這是針對專家的誤區。
現在有防震、防水、防火和防磁的 USB 隨身碟。你可以將私鑰備份的加密版本存儲在多個這樣的 USB 隨身碟中,並分散在不同的地點(朋友或親戚處)。這樣可以解決本節開頭提到的所有要求:多個位置、不易損壞或丟失後不易被他人讀取。
關鍵在於強加密。現在有許多工具可以用來加密,且它們會隨著時間發展進步。VeraCrypt 是一款入門級工具,提供了合理的加密水平。請自行研究,找到最適合你的最新加密工具。
照顧你的摯愛
我們不會永遠活著。需要一個遺產計劃。事實上,加密貨幣使你能夠更輕鬆地將財富傳承給你的繼承人,並減少第三方的介入。
再次強調,有一些方法可以做到這一點。
如果你使用紙錢包或金屬標籤這種低安全性的方式,你可以簡單地與他們分享這些資訊。當然,這也有一些潛在的缺點。他們如果年輕或技術不熟練,可能缺乏適當的手段來保管或保護備份副本。如果他們在安全上出錯,駭客可以輕易地通過他們盜取你的資金。此外,他們隨時可以拿走你的錢。根據你與他們之間的信任關係,你可能會或不會希望這樣。
我強烈建議不要在人與人之間分享私鑰,無論關係如何。如果資金被盜,將無法確定是誰移動了它們或是誰被駭客入侵。這樣會很混亂。
你可以將紙錢包或金屬標籤存放在銀行保險庫或交給律師。但如上所述,如果任何相關的人得到私鑰的副本,他們可以在沒有太多痕跡的情況下移動資金。這與律師必須經過銀行才能將你的銀行帳戶餘額轉交給你的繼承人有所不同。
如果你使用上面提到的 USB 隨身碟方式,有一些方法可以更安全地傳承你的財富。再次,這需要更多的設置。
有一些在線服務叫做 Deadman’s switches。這些服務會定期向你發送電子郵件(例如,每月一次),你必須點擊連結或登入以回應。如果你在某段時間內未回應,它們會假設你已經去世,並向你預設的接收人發送電子郵件。我不會推薦或擔保任何這些服務,你應該自行搜尋並測試。事實上,Google 本身就是一個 Deadman’s switches。在 Google 的設置中,有一個選項,如果你 3 個月沒有訪問你的帳戶,則可以讓某人訪問它。就我個人而言,我沒有測試過,無法保證其安全性。請自行測試。
如果你在想,「哦,太好了,我只需要把私鑰發送到電子郵件給我的孩子」,那麼請重新閱讀本文的開頭。
你可能也會想,「我可以把我用來加密 USB 隨身碟的密碼放在這些電子郵件裡;這樣,我的孩子或配偶就可以解鎖它們。」這樣的想法更接近,但還是不夠好。你不應該將備份的密碼存放在網路上的伺服器上。這會大大削弱你的備份/資金的安全性。
如果你在想,「我可以用另一個我和摯愛共享的密碼來加密包含 USB 隨身碟密碼的電子郵件」,那麼你已經走在正確的道路上。事實上,你不需要第二個密碼。
有一個經過時間考驗的電子郵件加密工具叫做 PGP(或 GPG),你應該使用它。PGP 是最早使用非對稱加密(與比特幣使用的相同)的工具之一。同樣,我不會在這裡提供 PGP 的完整教程,網上有很多這樣的教程。總結來說,你應該讓你的配偶或孩子生成他們自己的 PGP 私鑰,然後你用他們的公鑰加密你發送給他們的死人的訊息,這樣只有他們能讀取訊息內容,其他人無法讀取。這種方法相對安全,但要求你的摯愛能夠保持他們的 PGP 私鑰安全,並且不要丟失它們。當然,他們也需要知道如何使用 PGP 電子郵件,這本身就有一定的技術性。
如果你遵循了到目前為止分享的建議,那麼你已經達到了能夠自行存儲一定數量加密貨幣的基本(而非高級)水平。還有很多其他主題我們可以討論,這些也可能解決到目前為止提到的一些問題,包括多重簽名、閾值簽名等,但這些屬於更高級的指南。在下一部分,我們將探討:
使用交易所
在本文中,當我們說到交易所時,是指那些持有你資金並幫助你託管的中心化交易所。
那麼,在閱讀了上一部分後,你可能會說,「哎呀,這真麻煩。那我還是把幣存在交易所吧」。好吧,使用交易所也不是沒有風險的。雖然交易所負責保管資金和保障系統安全,但你仍然需要遵循正確的做法來保障你的帳戶安全。
僅使用大而有聲譽的交易所
是的,我這麼說很容易,因為幣安是全球最大的交易所之一。然而,這樣說是有充分理由的。並不是所有的交易所都一樣。
大型交易所在安全基礎設施上投入巨大。幣安每年投入數十億美元於安全領域。這對於我們的業務規模來說是合情合理的。安全涉及的領域非常廣泛,包括設備、網路、流程、員工、風險監控、大數據、人工智慧檢測、培訓、研究、測試、第三方合作夥伴,甚至是全球執法機構的合作關係。確保適當的安全需要大量的資金、人才和努力。較小的交易所根本沒有足夠的規模或財務實力來做到這一點。我可能會因為這樣說而受到批評,但這就是為什麼我經常說,對於大多數普通人來說,使用受信任的中心化交易所比自己保管幣更安全的原因。
存在對手風險。許多較小/新的交易所從一開始就是退出騙局。他們收取一些存款後就逃走了。正因為如此,請遠離那些自稱無利可圖的交易所或提供 0 費用、大額回扣或其他負利潤激勵的交易所。如果它們的目標不是商業收入,那麼你的資金很可能就是它們的唯一目標。
適當的安全措施是昂貴的,需要來自可持續商業模式的資金支持。對於你的資金,不要在安全上省錢。大型有利可圖的交易所沒有動機去進行退出詐騙。當你已經營運一個盈利且可持續的十億美元企業時,你又怎麼可能有動機偷幾百萬美元,然後過著隱匿生活,提心吊膽呢?
大型交易所的安全性測試也更多。是的,這也是一種風險。駭客更容易攻擊大型交易所。但是,駭客也同樣會攻擊較小的交易所,且其中一些甚至更容易成為目標。大型交易所通常會有 5-10 家外部安全公司,定期為它們進行滲透測試和安全測試。
幣安在安全方面比大多數交易所走得更遠。我們在大數據和人工智慧方面投入重金,來對抗駭客和詐騙者。我們曾成功防止許多用戶在遭遇 SIM 卡交換攻擊時損失資金。一些使用多個交易所的用戶還報告說,當他們的電子郵件帳戶被駭客入侵時,其他交易所的資金被盜取,而幣安的資金則得到保護,因為我們的人工智慧系統阻止了駭客提取他們資金的嘗試。即使小型交易所有心想做這些事,它們也做不到,因為它們根本沒有那麼多的大數據。
保護你的帳戶
在使用交易所時,保護你的帳戶仍然非常重要。讓我們從基本的做起。
保護你的電腦
再次提醒,電腦往往是安全鏈中的最薄弱環節。為了訪問你的交易所帳戶,使用專門的電腦。在這台電腦上安裝商業防病毒軟體(是的,請投資於安全),並且僅安裝最基本的其他軟體。將防火牆設置為最高級別。
將你的遊戲、上網、下載等活動放在另一台電腦上進行。即使在這台電腦上,也要開啟防病毒軟體並將防火牆設置為最高級別。一台電腦上的病毒會讓駭客更容易訪問同一網路中的其他電腦,因此保持電腦乾淨。
不要下載
即使你只使用中心化交易所(CEX),我還是建議你不要在電腦上下載任何文件。如果有人發送給你 Word 文檔,請要求他們發送 Google 文檔連結。如果他們發送 PDF 文件,請在 Google Drive 中打開,而不是在你的電腦上打開。如果他們發送給你搞笑影片,請要求他們發送在線平台的連結。是的,我知道這樣做很麻煩,但安全不是免費的,失去資金也同樣不免費。將所有內容都查看於雲端。
關閉即時消息應用中的「自動保存照片和影片」功能。很多應用默認會下載 GIF 和視頻,這並不是一個好的安全做法。
保持軟體更新
我知道所有操作系統的更新都很煩人,但它們包含了針對最近發現的安全漏洞的修補程式。駭客也會監控這些更新,並經常針對那些懶於更新的人進行攻擊。所以,確保你總是盡快安裝這些補丁。對於你使用的錢包和其他軟體也要同樣處理。
保護你的電子郵件
我建議使用 Gmail 或 Protonmail。這兩個電子郵件服務提供商比其他平台更安全,我們在其他平台上看到的安全漏洞更多。
我建議為每個你使用的交易所設置一個獨特的電子郵件帳戶,並且讓它不容易被猜到。這樣,如果某個交易所遭到入侵,你的幣安帳戶不會受到影響。這也會減少你收到的網路釣魚或針對性電子郵件詐騙的數量。
Protonmail 有一個名為 SimpleLogin 的功能,允許你為每個訪問的網站創建一個獨特的電子郵件地址。如果你不使用其他電子郵件轉發服務,我建議你使用這個功能。
為你的電子郵件服務啟用雙重身份驗證(2FA)。我建議為你的電子郵件帳戶使用 Yubikey。這是一種強大的防止各種駭客攻擊(包括釣魚網站等)的方式。稍後會詳述 2FA。
如果你居住在有報告 SIM 交換案件的國家,不要將你的手機號碼作為電子郵件帳戶的恢復方法。我們已經看到很多 SIM 交換受害者因為這樣導致電子郵件帳戶密碼被重設並遭到駭客攻擊。我不再建議將手機號碼與電子郵件帳戶綁定,應該將它們分開。
使用密碼管理器
為每個網站使用強而獨特的密碼。不要費心去記住密碼;使用密碼管理器工具。對大多數人來說,Keeper 或 1Password 可能足夠使用。這兩款工具都與瀏覽器、手機等良好集成,都聲稱只會將密碼本地存儲,但會通過加密密碼在設備之間同步。
如果你更為認真,則可以選擇 KeePass。它只將資訊本地存儲,因此你不必擔心加密的密碼儲存在雲端。它不會在設備之間同步,且對手機的支持較少。它是開源的,因此你不必擔心後門問題。
做自己的研究,選擇適合你的工具。但不要試圖通過在各個地方使用簡單或更糟的相同密碼來節省時間。確保你使用強密碼,否則你節省的時間可能會讓你付出很大的代價。
即使擁有這些工具,如果你的電腦上有病毒,你也會慘遭破壞。所以,確保你的電腦有良好的防病毒軟體。
啟用 2FA
強烈建議你在註冊 Binance 帳戶後立即啟用 2FA(雙重身份驗證),如果你尚未啟用,請立即設置。由於 2FA 代碼通常會存儲在你的手機上,它可以在一定程度上防止你的電子郵件和密碼被竊取。
然而,2FA 並不能保護你免受所有攻擊。如果你的電腦上有病毒,竊取你的電子郵件和密碼的病毒也可以在你輸入 2FA 代碼時監控你的鍵入,並竊取該代碼。你可能會與釣魚網站互動,輸入電子郵件和密碼,然後在假網站上輸入 2FA 代碼。駭客隨後使用這些資訊登入到你的 Binance 真實帳戶。這裡有很多可能的情形,我們無法一一列舉。
設置 U2F
U2F 是一種硬體設備,可以生成唯一的、基於時間的域專屬代碼。Yubikey 是這一領域的事實標準設備。
U2F 有三個主要優勢。首先,它們是基於硬體的,因此幾乎不可能竊取存儲在設備中的密鑰。其次,它們是域專屬的。即使你不小心與釣魚網站互動,它也能保護你。第三,它們易於使用。你只需隨身攜帶它即可。
基於以上原因,我建議你將 Yubikey 綁定到你的 Binance 帳戶。它提供了對抗駭客的最佳保護之一。
你還應該將 Yubikey 綁定到你的 Gmail、密碼管理器和其他帳戶,以保護它們的安全。
停止使用 SMS 驗證
曾經 SMS 驗證被廣泛推廣,但隨著 SIM 交換事件的增多,我們建議你不再使用 SMS 驗證,而是更多依賴上述提到的 2FA 或 U2F。
設置提現地址白名單
我們強烈建議你使用 Binance 的提現白名單功能。這個功能允許你快速向已批准的地址提現,並使駭客難以新增提現地址。
對新添加的白名單地址啟用 24 小時等待期。這樣,如果駭客想要添加新的地址,你將會收到 24 小時的通知期。
API 安全
我們的許多用戶使用 API 進行交易。Binance 提供了多個版本的 API,支持非對稱加密。這意味著 Binance 只需要你的公鑰。你在自己的環境中生成私鑰,並將公鑰提供給平台。我們使用你的公鑰來驗證訂單是否來自你,並且從不存儲你的私鑰。你必須保護好你的私鑰。
你不必像持有加密貨幣一樣備份你的 API 密鑰。如果你丟失了 API 密鑰,你可以隨時創建一個新的。只要確保沒有人擁有你的 API 密鑰。
除非你真的知道自己在做什麼,否則不要啟用 API 密鑰的提現功能。
完成 L2 KYC
保持帳戶安全的最佳方法之一是完成 L2 KYC(身份驗證)。這樣,我們就能知道你長什麼樣子。當我們的大數據風險引擎檢測到帳戶異常時,我們可以使用先進的自動化影片驗證。
這對於如果你無法再使用帳戶的情況也很重要。Binance 能夠幫助家庭成員在進行適當驗證後,訪問已故親屬的帳戶。
物理安全保護你的設備
再次強調,保持你的手機安全。你可能在手機上有電子郵件應用程式、Binance 應用程式和 2FA 代碼。不要對手機進行 root 或越獄,這會大大降低其安全性。你還應該保持手機的物理安全,設置適當的螢幕鎖。其他設備也是如此。
防範釣魚攻擊
當心釣魚攻擊。這類攻擊通常以電子郵件、簡訊或社交媒體帖文的形式出現,內含指向假 Binance 網站的連結。該網站會邀請你輸入帳戶憑證,駭客將利用這些憑證來訪問你的真實 Binance 帳戶。
防範釣魚攻擊只需要警覺。不要點擊電子郵件或社交媒體網站中的連結。只通過輸入 URL 或使用書籤來訪問 Binance。不要與其他人共享你的電子郵件。不要在其他網站上使用相同的電子郵件。當陌生人(尤其是名為 CZ 或類似的)突然在 Telegram、Instagram 等平台上聯繫你時,保持謹慎。
如果你遵循上述建議,你的 Binance 帳戶應該會比較安全。
那麼,哪個更好?
我通常建議人們使用中心化交易所和自有錢包相結合。如果你不太懂技術,那麼我建議將大部分資金存放在 Binance,並擁有自己的支出錢包(如TrustWallet)。如果你在技術上比較強,那麼可以根據需要調整資金配置。
中心化交易所偶爾會進行維護,如果你需要快速進行交易,擁有一個獨立的錢包是非常方便的。
如果你遵循這裡描述的建議,你應該能夠安全地持有資金,無論是自己持有還是通過像 Binance 這樣的 CEX。
保持 SAFU!
CZ
📍相關報導📍
北韓駭客軍團拉撒路 Lazarus 的背後故事:如何用鍵盤犯下Web3最大搶案
