如何安全存储数字货币
目录
导语
安全购买加密货币
选择安全的交易平台
如何保护账户安全
如何安全存储加密货币
什么是私钥?
助记词
如何保护助记词
热钱包与冷钱包对比
热钱包
冷钱包
硬件钱包
托管钱包与非托管钱包对比
最佳存储方式有哪些?
安全使用去中心化金融和DApp
如何解除钱包权限
通过审计的项目更具安全性。
如何防止被骗
总结
如何安全存储数字货币
首页文章
如何安全存储数字货币

如何安全存储数字货币

初阶
Published Jun 17, 2020Updated Sep 29, 2021
15m

摘要

无论购买、存储还是投资,必须始终确保加密货币安全无虞。在大多数情况下,丢失货币和代币永远无法找回。

如果在中心化交易平台交易加密货币,请选择身份认证(KYC)与反洗钱(AML)检查符合监管的交易平台。通过审计的点对点交易以及去中心化交易平台最为安全。

在本文中,我们将介绍多种安全存储加密货币的方式。将加密货币存储于受监管的交易平台是初学者和交易者的理想选择。然而,钱包的密钥并不归用户所有。

非托管型钱包的密钥由用户保管,安全性更高。将货币存储在冷存储设备等离线钱包中会更加安全。这两种方式要求以离线方式将私钥妥善存储在安全位置。

使用通过审计的DApp提升安全性,并定期检查哪些DApp享有使用钱包使用权限。DApp使用完毕后,应立刻解除权限。


导语

加密货币的核心是自我主权概念,即用户可以充当自己的个人银行。若能妥善保管您的资金,其安全性甚至将优于戒备最为森严的银行金库。但如若不能,您数字钱包中的资产就将面临远程失窃的风险。

学习如何妥善保护加密货币是踏上加密货币奇幻之旅的关键一步。存储只是安全保障的一个方面。如今,许多加密货币持有者与去中心化金融(DeFi)领域中的DApp交互,还应学习如何安全地使用货币。

就像拒绝将资金托付给信誉存疑的公司打理一样,您也不应该随意使用DApp交易代币。购买和交易加密货币的交易平台也是同样道理。在本指南中,我们会讨论无论将加密货币资产存储于何处,都能有效保障资金安全的最佳技巧。


安全购买加密货币

如今,购买加密货币的平台有很多。其中包括中心化交易平台、去中心化交易平台(DEX)加密货币ATM以及点对点交易等。每个平台的安全系数不同,各有优缺点。对于多数用户而言,信誉良好的中心化交易平台完美融合了便捷性与安全性。


选择安全的交易平台

币安等中心化交易平台通过加强监管、采取反洗钱(AML)措施以及身份验证(KYC)检查提供安全保障。早期的加密货币交易平台存在问题。经过政府和交易平台运营方的不懈努力,交易环境得到显著改善。

如需使用交易平台,需要将资金转入其托管型钱包。将保障代币安全的责任委托给交易平台,由其根据个人风险状况提供安全保护。如果对钱包不熟悉或对加密货币不了解,使用交易平台钱包可能更安全。此举可避免不小心将自己锁在钱包之外,白白损失加密货币。

然而,部分用户更喜欢通过直接控制资金来保障安全。您可能听说过“不是你的密钥,就不是你的代币”。如果没有真正拥有钱包,其他任何人均可控制您的加密货币。欲了解详情,可以稍后阅读有关存储的章节。

如果决定使用点对点服务或去中心化交易平台,可从以下几点提高安全性。从信誉良好的来源检查针对DEX的审计。稍后,我们会对审计进行详细介绍。币安也会基于公司的安全性和信誉提供DEX。

如需使用点对点服务,买卖双方均需通过身份认证。在理想情况下,还应提供托管服务。虽然不能完全消除风险,但第三方在托管服务中持有资金可以尽量保护买卖双方免于受骗。


如何保护账户安全

如果注册了交易平台或所选交易方法,符合标准的良好做法能够保护账户安全。这些建议与保护在线银行账户或其他敏感信息的方法别无二致。通过以下方式可轻松避免他人盗取您的账户与资金:

1.使用高强度密码并定期更换。密码不得涉及生日等个人身份信息。密码必须足够长并且专属于账户,由符号、数字以及大小写字母组成。
2.启用双重身份验证(2FA)。如果密码不慎泄露,2FA会使用移动设备、验证器App或YubiKey启动第二层保护。登录时,需要使用密码和2FA方法。
3.当心邮件、社交媒体和私信中的钓鱼攻击和诈骗。诈骗犯频繁冒充交易平台以及值得信赖的人,妄图盗取资金。此外,不得下载来源不明的软件,其中可能包含恶意软件。
有关保护账户安全的详情,敬请阅读我们的《7大简单措施为个人币安账户保驾护航》指南。


如何安全存储加密货币

购买或交易部分加密货币并确保账户安全后,下一项重要任务是将加密货币存放于安全位置。如果您不是要将其存入交易平台以供日后交易使用,那么唯一的选择是将其存储于钱包。钱包的私钥所有权以及联网方式各有不同。选择哪种钱包取决于希望达到的安全水平。


什么是私钥?

私钥与真实钥匙相同,可解锁加密货币以供消费。妥善保管私钥并安全使用是保障整体安全性的头等要务。密钥只是一串很长的数字,复杂到任何人都无法准确猜中。用“1”代表硬币的正面,用“0”代表硬币的反面,将硬币抛掷256次就将得到最终的私钥。以下就是一个刚刚生成的私钥。它按十六进制编码(使用数字0-9和字符a-f),从而以更加紧凑的方式呈现:

8b9929a7636a0bff73f2a19b1196327d2b7e151656ab2f515a4e1849f8a8f9ba

如果在Google搜索上述数字,将不会找到除本文之外的任何结果(除非该数字后来被复制到其他位置)。这体现了这串数字的随机性。在此之前,其他人见过这串数字的概率微乎其微。

上述示例仍然无法充分证明私钥是完全随机的。实际上,私钥的数量接近于已知宇宙中的原子数量。简而言之,对于比特币以太币等加密货币来说,这是一项至关重要的安全原则。您的代币隐藏在难以置信的庞大范围内,因此安全性将得到有效保障。
如果您曾经接收过资金,就一定不会对公共地址感到陌生,它也是由随机数字组成的字符串。公钥是通过对私钥进行某种加密处理之后获得的,继续对公钥进行哈希处理即可得到公共地址。

本文不会详细介绍其原理。您只需要了解,用私钥可以轻松地生成公共地址,但迄今为止用公共地址来生成私钥却毫无可能。因此,您完全可以在博客和社交媒体等渠道公布公共地址,这样做是安全的。只要没有对应的私钥,任何人都无法消费其中的资金。

如果您丢失了私钥,就将无法使用资金;如果有人破解了您的私钥,那么这些资金就可以为其所用。因此,您应保证私钥安全性,使其远离不法分子的视线,这一点尤为重要。


助记词

请注意,现在的钱包很少使用单一的私钥,而是属于分层确定性(HD)钱包,可存储数十亿个不同的私钥。您只需要掌握助记词就够了,这是一组人类可读取的字词,借由这些字词可以生成上述私钥。助记词看起来会是这个样子的:

strike sadness boss daring voice connect holiday vintage quantum pony stable genuine(打击悲伤老板勇敢声音连接假期古老量子小马稳定基因)

除非自己选择使用单一私钥,否则在创建新钱包时,系统会要求您备份助字词。在稍后讨论密钥存储时,密钥一词代表私钥和助记词,可互换使用。


如何保护助记词

12、18或24位助记词是安全保障的关键。取得助记词的人能够将密钥输入个人钱包并盗取资金。您可能也有JSON文件或独立私钥,其功能与助记词相同。根据以下提示,认真思考如何管理密钥。

1.不建议将助记词存储于联网设备。如果下载了病毒或计算机遭到黑客攻击和远程控制,助记词就会面临安全威胁。
2.离线储存更加安全。助记词可以存储在实物或离线设备。即便使用将在后文讨论的冷存储设备,也应妥善备份,以免在设备损坏时无法取得密钥。
3.如果决定将助记词存储于实物,应谨慎考虑使用的材料以及存储位置。将助记词写在纸上不是好方法,很容易毁坏或在家中丢失。您可以选择存放于安全位置的保险柜或将助记词存入银行。一些人甚至将助记词刻入不易损坏的金属,或在助记板上使用金属字体。


热钱包与冷钱包对比

钱包分为热钱包和冷钱包两类,两者的安全性不同。两类钱包涵盖一系列不同的解决方案——敬请阅读《加密货币钱包类型解析》,了解多种示例。让我们来了解两种钱包的不同之处。


热钱包

热钱包是指所有连入互联网的数字货币钱包(例如智能手机和桌面钱包)。热钱包往往能够提供最连贯而流畅的用户体验,在发送、接收以及交易数字货币和代币时非常便捷。然而,这种便捷性往往会以牺牲一定的安全性为代价。

热钱包与互联网相连,因而很容易遭受攻击。虽然在任何时候都不会对私钥进行广播,但在线连接的设备却可能会感染病毒或被不法分子远程访问。

但这并不代表热钱包一点都不安全,只能说它不如冷钱包那么安全。热钱包的实用性更胜一筹,因此通常会成为小额持币的首选。


冷钱包

为了消除重大的在线攻击向量,许多人选择始终离线保管密钥。这正是冷钱包的用武之地。与热钱包不同,冷钱包不会连接互联网。部分加密货币持有者以前会保留纸钱包,即一张印有钱包私钥(通常是二维码)的打印纸。如今,我们认为这种方法已经过时并且存在安全风险。冷存储最好的选择绝对是硬件钱包。


硬件钱包

硬件钱包(如Trezor OneLedger Nano S)旨在采用类似的私钥离线保管原理,同时又致力于优化用户体验。这些钱包专为存储数字货币而生,与完整计算机相比,便携性更强并且更便宜。
这种实物设备能够安全存储私钥并且无需联网。良好的硬件钱包可确保私钥永远不会离开设备。它们通常存放在设备中的特殊位置,不可移除。如需了解详情,敬请阅读《什么是硬件钱包(以及用它的理由)
近年来,硬件钱包行业迅速发展,市场中涌现出数十款不同产品。您可以在币安学院查看有关这些设备的测评


托管钱包与非托管钱包对比

您也可以选择托管型或非托管型钱包,表明其是否可以访问并控制私钥。如果您使用加密货币交易平台这类在线服务,那么在协议层面,您还并非真正的持币者。相反,您的资金和密钥由交易平台托管和管理(术语“托管型钱包”就是这么来的)。在多数情况下,交易平台会同时使用热钱包和冷钱包,为用户的资金安全保驾护航。
因此,如果您想用币安币交易比特币时,交易平台将在数据库中降低您的币安币余额并增加比特币余额。上述过程并不涉及区块链交易。只有在决定提取比特币时,才会要求交易平台代替您为交易签名。随后,交易平台向网络广播交易,从而将代币转入您提供的比特币地址。

对于愿意将资金交给第三方托管的用户,加密货币交易平台是非常便捷的选择。充当自己的个人银行也会面临一大风险,那就是出现问题时只能自行承担责任。

如果不慎丢失私钥,您的资金就永远也找不回来了。而如果丢失的是帐户密码,只需将其重置即可。您的登录信息仍有可能遭窃,必须按上文所述采取适宜的预防措施保障账户安全。


最佳存储方式有哪些?

不幸的是,这个问题还没有标准答案。否则,这篇文章就可以省去不少篇幅了。采取哪种解决方案,很大程度上取决于您的个人风险偏好以及数字货币的使用方式。

例如,活跃的波段交易者与长期持有者的需求是不同的。另外,处理大额资金的机构必须设置多签名机制,即转移资金需要多位用户同意。
对于普通用户来说,通过冷存储保管不常使用的资金不失为一种好办法。硬件钱包是是最简单直接的选择,但一开始尝试的时候请确保存储您能够承受风险的小额资金。此外,必须依据上述建议对密钥进行安全备份,防止设备丢失或出现故障。

在线钱包是以小额资金购买商品或服务的理想之选。如果将冷存储设备比喻成储蓄帐户,那么移动钱包就好比随身携带的实体钱包。最好的情况是您存储的金额即便丢失也不会导致严重的财务问题。

对于借贷质押和交易等操作来说,托管解决方案无疑是绝佳之选。然而,在投入资金前,建议制定详细的资金分配计划(例如头寸调整策略)。请注意,加密货币的波动性极大,因此永远不要投入超出个人承受范围的资金。


安全使用去中心化金融和DApp

如需质押代币,请在区块链游戏中使用或参与去中心化金融(DeFi)。您需要与DApp以及智能合约交互。用户必须允许DApp使用钱包中的资金。下文以SushiSwap为例。


例如,授予PancakeSwap自动交易权限,就会允许其开展诸如向流动性资金池增加多种代币这样的自动交易。DApp将不同步骤合并以节约时间。这种操作虽然有效,也存在相关风险。

除非研究过智能合约,清楚了解其运作原理,否则会为后门侵入留下可乘之机。一般来说,项目需要通过审计来证明其智能合约的安全性。Certik是一家著名的审计服务供应商,即使享有如此声誉,也无法一直保证安全性。

不安全的项目会申请转移金额不限或高额代币的权限。缺乏经验的用户很可能会接受这项请求,成为诈骗受害者。即使将资金转出DeFi平台,项目可能仍有部分控制权,有机会盗取资金。黑客也企图控制并滥用智能合约。此时,如果为项目开启了相应权限,可能会遭遇此类风险。


如何解除钱包权限

您应定期检查为钱包开启了哪些权限。若使用币安智能链(BSC),BscScan拥有代币审批查看器工具,可检查并解除任何权限。
首先,复制并粘贴BSC BEP-20地址。然后,点击右侧的搜索图标。


现在可以看到账户中拥有权限的智能合约列表以及通过审批的数量。如需解除权限,点击下方红圈中的按钮。


通过审计的项目更具安全性。

如上文所述,在通过审计的项目中投资代币和货币更加安全。如果与智能合约交互、在资金池质押代币或提供流动性,建议始终寻找通过审计的项目。

审计会分析DApp的智能合约代码。他们负责查找后门、趁机而入的脚本以及其他安全问题。这些问题均报告给项目创建者,由其负责更改代码。所有变更都将体现在最终报告中,向用户展示清晰完整的审计过程。最终报告会面向公众发布。

虽然一次审计并不能保证项目安全,但资金安全性的确可以得到改善。将资金投入未通过审计的项目极具风险。部分智能合约处理大笔资金,很容易引起黑客的注意。如果审计师没有检查代码,这些合约很容易成为攻击目标。

Certik定期更新通过审计的项目列表、项目排名(共100个)以及其他重要信息。


如何防止被骗

不幸的是,加密货币吸引了许多不法分子。他们企图趁机侵入其他用户的账户并盗取加密货币。一旦资金被盗,通常无法追回。不法分子滥用加密货币的匿名性,许多用户直接控制高额资金也让他们有机可乘。

您应始终保持警惕,拒绝给不认识的用户转账。转账前,也必须仔细核查对方的身份信息。以下最常见的骗局值得警惕:

1.网络钓鱼 - 您可能收到过交易平台或使用的其他服务发送的邮件,要求登录账户或提供个人信息。这可能是意欲盗取信息的骗局。
2.虚假交易平台 - 部分移动App或网站经常仿照交易平台的外观。输入个人信息后,不法分子就会趁机盗取真实账户。
3.敲诈勒索 - 不法分子可能会发送恶意软件,随意盗取文件。用户很可能使用比特币或其他货币将文件赎回,但付款后也未必会收到文件。
4.金字塔骗局和庞氏骗局 - 不法分子邀请您加入新项目并购买其代币,或者完成一笔要求支付加密货币的特殊交易。然而,这些过于诱人的条件,往往是陷阱的征兆。您必须自己做好调研,确保投资安全。
5.冒名顶替 - 不法分子经常冒充官方人士、您信任的人甚至是好友。他们会向您索要加密货币或者通常需要严格保密的信息。在这种情况下,必须反复确认对方是否为本人。
如需详细了解这些骗局以及防范策略,敬请阅读我们的《8种常见的比特币骗局及其防范策略》指南。


总结

在加密货币安全保障方面,当今的区块链领域提供了诸多安全手段。从交易、存储到使用加密货币,这些简单建议有助于保障资金安全。每种存储方案的优缺点并存,因此必须了解折衷方案。还是那句话,无论您在哪个平台投入资金或加密货币,请务必自己做好调研。