摘要
無論您是購買、儲存還是投資加密貨幣,應始終確保其安全性。在絕大多數情況下,遺失您的幣種及代幣是永久性的。
如果您在中心化交易所進行加密貨幣交易,請使用符合「認識你的客戶 (KYC) 」及「防制洗錢 (AML) 」檢查法規的加密貨幣。點對點交易和具備審計的去中心化交易所是保證您交易安全性的最佳方式。
您可以選擇多種方式來安全儲存加密貨幣。您可以將加密貨幣保存在受監管的交易所中,這對入門者和交易者來說相當實用。然而,您並未擁有錢包的金鑰。
由您保管金鑰的非託管型錢包可提供較高的安全性,更安全的選擇是將金鑰保存在未連接網際網路的錢包中,如冷儲存裝置。在這兩種情況下,請將您的私鑰安全保存在離線的安全之地。
使用經審計的 DApp 來提高您的安全性,並定期檢查授權使用您錢包的 DApp。使用完 DApp 後,請立即撤銷這些權限。
前言
自我主權是加密貨幣的核心概念,用戶就是自己的銀行。當您妥善保管自己的資金時,其所受到的保護會比在銀行金庫還要安全。否則,您將會面臨被他人遠端清空數位錢包的風險。
學習如何妥善保護您的數位代幣是展開加密貨幣奇幻旅程的關鍵一步。這不只是攸關儲存。如今,許多加密貨幣持有者與 DeFi 世界中的 DApp 進行互動,因此您還應學習如何安全使用您的代幣。
就像您拒絕將資金交給不值得信賴的企業處理,您也不應該信任任何隨機 DApp 處理您的代幣。對於您購買和交易加密貨幣的交易所也是如此。這篇教學指南將會探討讓您隨時隨地安全保管加密貨幣資產的最佳技術。
安全購買加密貨幣
加密貨幣目前有許多不同的購買渠道。該清單包括中心化交易所、去中心化交易所 (DEX) 、加密貨幣 ATM 、點對點選項等。這些選擇各有其優缺點,並非每種都提供相同程度的安全性。對於多數用戶而言,使用信譽良好的中心化交易所才是兼顧簡單操作及安全性的最佳方式。
選擇安全的交易所
對於像幣安這類的中心化交易所,加強監管、防制洗錢 (AML) 措施及認識你的客戶 (KYC) 檢查可提供安全性。雖然早期的加密貨幣交易所存在各自的問題,但之後政府及交易所營運商已大幅改善這種情況。
在使用交易所之前,您需要先將資金轉入其託管錢包。視乎您的投資觀點,讓交易所負責您的代幣可以提供某種程度的安全性。如果您不熟悉錢包功能或剛接觸加密貨幣,使用交易所的錢包可能更為安全。如此可以避免您意外將錢包鎖住而丟失加密貨幣。
然而,有些人更喜歡將資金安全性掌握在自己手裡。您可能已經聽說過「不是你的私鑰,就不是你的代幣」 (not your keys, not your coins) 這句話。如果您並未實際擁有錢包,那麽其他人可以控制您的加密貨幣。您可以稍後查閱我們的「儲存」部分獲取更多資訊。
如果您已決定使用點對點服務或去中心化交易所,不妨留意一些跡象來提高安全性。使用去中心化交易所 (DEX) 時,檢查並確認審計來自於安全可靠的來源。我們稍後會針對審計進行深入探討。幣安憑藉其安全性及聲譽,亦提供去中心化交易所服務。
如果您需要使用點對點服務,請確保買賣雙方均需完成認識你的客戶 (KYC) 流程。理想情況下,它也應該提供託管服務。雖然將資金託管於第三方無法完全消除風險,但可以為買賣雙方提供更多保障,以免遭到詐騙。
如何保護您的帳戶安全
如果您已註冊交易所或選擇交易方式,請依照正確的標準做法來確保您帳戶的安全。這些方法與您用於網路銀行帳戶或其他敏感資訊的方法大同小異。透過以下方式可輕鬆防止他人存取您的帳戶及其中的資金:
1. 使用安全強度高的密碼,並定期更改。例如,密碼不應包含可識別個人身分的資訊,像是您的出生日期。確保密碼長度夠長且專屬於該帳號,密碼應包含符號、數字及大小寫英文字母。
2. 啟用兩步驟驗證 (2FA) 。如果您的密碼遭外洩, 兩步驟驗證會使用您的行動裝置、身分驗證應用程式或 YubiKey 作為第二層防護。您需要同時使用密碼與兩步驟驗證方式進行登入。
3.留意透過電子郵件、社交媒體及私人訊息方式進行的網路釣魚攻擊和詐騙行為。詐騙份子經常冒充交易所及受信任的個人試圖竊取您的資金 。您也不應該下載來源不明的軟體,因為其可能包含惡意軟體。
如果您想了解更多有關帳戶安全的詳情,請閱讀【7 個簡單步驟保護您的幣安帳戶】指南。
如何安全儲存您的加密貨幣
一旦您購買或交易了部分加密貨幣並確保帳戶安全性,接著應優先將其保管在安全之地。如果您之後不想將加密貨幣留在交易所進行交易,唯一的選擇就是錢包。錢包的不同之處在於您的私鑰所有權及其連接網路的方式。這兩者的選擇取決於您願意獲得的安全防護程度。
什麼是私鑰?
私鑰有如真實鑰匙,可以解鎖您的加密貨幣以供使用。保管您的私鑰並確保其安全存取是全面保障您的整體安全性最重要的一步。它由一組很長的數字組成,無法讓任何人猜到該組密碼。如果您把硬幣投擲 256 次,「1」代表正面,「0」代表反面,您可以獲得一個私鑰。這裡就是一組剛剛生成的私鑰。它以經過壓縮的十六位進制編碼(數字 0-9 和字母 a-f)表示﹕
8b9929a7636a0bff73f2a19b1196327d2b7e151656ab2f515a4e1849f8a8f9ba
如果您在 Google 搜尋以上這組數字,搜尋結果只會顯示這篇文章(除非您把數字複製到別處)。這顯示了該組數字的隨機性,其他人看過這組數字的機率極低。
以上例子仍不足以充分說明。可使用的私鑰數量與宇宙中已知的原子數量相近。簡單來說,它是比特幣和以太坊這類加密貨幣中最為重要的安全原則。您的代幣之所以安全,是因為它們隱藏的範圍之大,超乎想像。
如果您曾收取過資金,應該對公共地址並不陌生,它也是一組看起來相當隨機的數字。透過對您的私鑰進行某種加密處理可獲得公鑰,而對公鑰進行雜湊處理則可獲得公共地址。
我們不會在本篇文章深入探討這個操作。您只需要知道,雖然可以用私鑰輕鬆生成公共地址,但卻無法進行逆向操作。這也解釋了為何您可在部落格及社交媒體上公開您的公共地址。沒有相應的私鑰,任何人都無法動用其資金。
如果您丟失了私鑰,就無法取用資金。如果其他人獲知您的私鑰,他們就可以動用其中的資金。因此,保管好私鑰以免遭人覬覦才是最重要的。
助記詞
您會發現現在的錢包很少只有一個私鑰,它們屬於分層確定性 (HD) 錢包,表示它們可以存放數十億個不同的金鑰。您只需要知道一組助記詞,由一組人類可讀的字詞組成,可用於生成這些金鑰。類似內容如下﹕
strike sadness boss daring voice connect holiday vintage quantum pony stable genuine
除非您故意只使用一個私鑰,否則系統會在您建立新錢包時要求提供備用的助記詞。稍後探討金鑰儲存時,我會提到「金鑰」一詞,可交替用來描述私鑰及助記詞。
如何保護您的助記詞
您的 12 字、18 字或 24 字長的助記詞對於確保安全性相當重要。任何有權存取此助記詞的人都可以將您的金鑰匯入他們的錢包並竊取您的資金。您可能還有一個 JSON 檔案或個人私鑰,其作用與助記詞相同。請依照下面的指示,格外留意如何管理您的金鑰。
1. 不建議將助記詞存放在連網裝置上。如果您下載了病毒或電腦遭到遠端駭客入侵及控制,您的助記詞可能會受到損害。
2. 離線儲存更安全。您可以將助記詞以實體或離線裝置的方式儲存。即使您有冷儲存裝置(我們稍後會討論到),也應擁有備份金鑰,以防您的裝置遭到損壞。
3. 如果您決定以實體方式儲存助記詞,請考慮將使用的材料及其保管位置。將助記詞寫在可能被損毀或極易在家中遺失的紙上可不是一個好主意。您可以考慮存放在保險箱並放置於安全之地,或將助記詞儲存在您的銀行中。有些人甚至會將他們的助記詞刻在難以損毀的金屬上,或使用助記詞板上的金屬字母。
熱錢包與冷錢包
錢包分為兩類﹕熱錢包和冷錢包。兩者的不同之處在於其提供的安全性。這兩種錢包涵蓋了廣泛的解決方案,可查閱【加密貨幣錢包類型解釋】了解更多用例。現在,讓我們來探討兩種錢包之間的差異。
熱錢包
熱錢包是指連接至網際網路的加密貨幣錢包(例如智慧型手機及桌面版錢包)。熱錢包一般會提供最順暢的用戶體驗。不論是發送、接收或交易加密貨幣及代幣都非常方便。但這種方便常常會伴隨有安全問題。
熱錢包因為會連接到網際網路,所以容易受到攻擊。即使私鑰是安全保管,但您的連線裝置有機會被惡意參與者入侵或遙距控制。
這並不是說熱錢包一點都不安全,只是它的安全性仍比不上冷錢包。熱錢包相當容易使用,且往往都是較小餘額資金散戶的錢包首選。
冷錢包
為了杜絕線上媒介的攻擊,許多人都會將其金鑰保持為離線狀態,使用冷錢包就是一種方式。有別於熱錢包,冷錢包不用連接網際網路。以往一些加密貨幣持有者會保留一個紙錢包:一張列印出錢包私鑰的白紙,通常以二維碼的形式存在。然而,我們現在認為這種保護方式過時且存在風險。冷儲存的最佳選擇無疑是硬體錢包。
硬體錢包
硬體錢包(例如 Trezor One 或 Ledger Nano S)的目的是提供更好的用戶體驗,同時採用讓私鑰保持離線的類似方式來保障安全性。這些錢包相較於一台電腦更易攜帶且更便宜,而且專為儲存加密貨幣而設計。
實體裝置能安全儲存您的私鑰,且永遠不需要連接至網際網路。一個好的硬體錢包能確保私鑰永遠不會離開裝置。它們通常存放在裝置中不可移除的特殊位置。詳情請參閱【什麼是硬體錢包(以及為何使用硬體錢包)】。
近年來,硬體錢包產業發展迅速,為市場帶來了數十種不同的產品。您可以在幣安學院查看相關裝置的評論。
託管與非託管
您的錢包也可以是託管型或非託管型,意即您是否有權存取並控制您的私鑰。如果您使用加密貨幣交易所之類的線上服務,在協定層面上您其實並未真正擁有自己的代幣。相反,交易所保管您的資金和金鑰並代表您進行管理(因此稱為託管錢包)。大多數情況下,交易所都會混合使用熱錢包和冷錢包來安全保管您的代幣。
因此,如果您想用 BTC 交易 BNB(幣安幣),交易所就會減少您的 BNB 餘額,並在資料庫中增加您的 BTC 持有量,整個過程並不涉及區塊鏈交易。當您決定提取 BTC 時,便可要求交易所代表您簽署交易。它們會發送交易推播,並把代幣發送到您提供的比特幣地址。
加密貨幣交易所為那些不擔心資金由第三方託管的用戶提供了非常便捷的體驗。自己擔任自己銀行的風險之一就是,如果出現問題,沒有人可以幫助您解決。
如果您丟失了私鑰,將再也無法拿回資金。另一方面,如果您丟失帳戶密碼,您只需重置密碼。您的私鑰仍然有被盜的風險,因此您需要確保採取上方所述的正確預防措施來保護您的帳戶安全。
哪項是最安全的儲存方法?
很可惜,沒有一個方法是最安全的,否則就不會有這篇長篇大論的文章。答案很大程度取決於您的風險狀況以及您如何使用加密貨幣。
例如,活躍的波段交易者與長期持有者有不同的需求。或者,如果您經營一家處理大量資金的機構,您就會想設定多重簽名功能,也就是轉移資金時必須獲得多位用戶同意。
對於一般用戶來說,最好將沒有動用的資金放入冷儲存裝置。硬體錢包會是最直接的選擇,但建議您先以少量資金進行測試,然後再安心使用。您也可以按照我們的方法另行備份私鑰,以防裝置丟失或出現故障。
網路錢包適合裝放少量款項,用於購買商品及服務。如果您的冷儲存裝置像儲蓄帳戶,那麼您的手機錢包就像是您隨身攜帶的實體錢包。在理想情況下,即使是遺失了資金,亦不會為您帶來嚴重的財務問題。
託管錢包是您進行貸款、質押及交易的最佳選擇。但是,在投入資金之前,您應該制定一個資金分配的計劃(例如,採用倉位調整策略)。記住,數位貨幣具有很大的波動性,因此,您的投入金額永遠不應超過您可以承受的損失。
安全使用去中心化金融以及 DApp
如果您想質押您的代幣、在區塊鏈遊戲中使用或參與去中心化金融 (DeFi),您需要與 DApp 及智能合約進行互動。用戶必須授權 DApp 使用其錢包中的資金。以下為 SushiSwap 的用例。
例如,授權 PancakeSwap 允許其進行自動交易,像是將多個代幣新增至流動性資金池中。DApp 可以一次完成多個不同步驟,為您節省時間。雖然這種方式很有用,但也存在一些風險。
除非您自行研究過智能合約並確切了解其作用,否則總有可能面臨後門攻擊。一般而言,專案會通過審計來保證其智能合約的安全性。Certik 是著名的審計服務提供商,但這不代表能始終保證安全性。
受侵害的專案將會要求授權移動數量不限或大量的代幣。經驗不足的用戶更有可能接受這些並成為詐欺的受害者。即使您從 DeFi 平台撤出自己的資金,此專案仍可能有一些控制權並能夠竊取資金,而駭客也可能嘗試操控及濫用智能合約。如果您已對某個專案授予權限,在這種情況下,您可能會再次面臨風險。
如何撤銷錢包權限
您應該定期檢查您在錢包中給予的授權。如果您使用的是幣安智能鏈 (BSC),BscScan 的代幣批准檢查器工具可讓您檢查及撤銷任何權限。
首先,複製並貼上您的公共 BSC BEP-20 地址。接著,按一下右邊的搜尋圖示。
您現在將看到您帳戶中擁有權限的智能合約清單及其批准數量。如欲撤銷權限,按一下下方紅色圈圈中的按鈕。
使用更具安全性的審計專案
正如上面提到的,經審計的專案是投資代幣及加密貨幣更安全的選擇。如果您正在與智能合約互動、在池中質押或提供流動性資產,建議您始終尋找具備審計的專案。
審計會針對 DApp 的智能合約代碼進行分析,而審計員將會尋找後門、可利用的腳本及安全問題,將之報告給專案創辦人,進而對代碼進行修改。任何變更都會新增到最終報告中,以向用戶展示完整、透明的過程,並公開最終報告。
雖然審計無法保證專案的安全性,但確實能提高您資金獲得保障的機會。明智的做法是將資金投入具有審計的專案。一些智能合約會處理大量資金,這對駭客來說極具吸引力。如果審計員沒有檢查代碼,這些智能合約便很容易成為目標。
Certik 會定期更新他們的已審計專案清單,以及他們的 100 分評級及其他重要資訊。
如何避免詐騙
遺憾的是,加密貨幣會引起許多詐騙份子的注意。人們試圖從其他用戶身上掠取加密貨幣,一旦資金被盜,則通常拿不回來。加密貨幣的匿名性以及許多用戶直接控制大量資金的情形為詐騙份子下手提供了契機。
您應該一直保持警惕,切勿向不認識的用戶匯款,並且隨時仔細檢查您的任何收款者的身分。以下是您需要留意的一些最常見詐騙情況:
1. 網路釣魚 - 您可能會收到來自您使用的交易所或其他服務的電子郵件,要求您登入或提供個人資訊。但這可能是某個想要竊取您資訊的詐騙份子所為。
2. 假冒交易所- 這些通常是偽裝成交易所的行動應用程式或網站。一旦您輸入您的詳細資料,詐騙份子就會利用它來盜取您的實際帳戶。
3. 勒索- 詐騙份子可能會向您發送惡意軟體,挾持您的檔案進行勒索。您可能必須發送比特幣或其他貨幣進行付款才能取回檔案。付款後您甚至可能收不到這些檔案。
4. 金字塔和龐氏騙局- 您可能會受邀參與一個新專案並購買其代幣,或要求您支付加密貨幣以進行一項特殊交易。然而,看起來這麼好的交易往往不太可能是真的。您得自行調查研究,確保所投資的對象是安全的。
5. 冒充- 一些詐騙份子可能會冒充政府官員、可靠人士,甚至是朋友。接著,他們會要求您提供加密貨幣或資訊(您通常無需提供)。在這種情況下,請謹慎檢查該人士是否符合他們所宣稱的身分。
有關這類詐騙案件的更多資訊以及如何避免其發生,請閱讀【8 種常見比特幣騙局以及如何避免】指南。
以下是真實社區詐騙經驗及更多防詐訣竅。
讀者1:Discord社區投稿者 @kei8888#6675
『請拒絕提供任何資訊給陌生來電或SMS』
如果有陌生人以電郵,手機SMS或者打電話給你,要求你提供密碼或個人資料,就要提高警覺。
其次,利用假的USDT行騙也是近期非常常見的手法。騙徒會自稱意外轉錯USDT去你的錢包,並需要你立即轉回給他。在這個情況下,可以可以先去不同的區塊瀏覽器例如Etherscan和Bscscan仔細核對清楚USDT合約地址以及交易數據是否正確。
另外如果遇上不知名的交易所,最好先 DYOR 在Coinmarketcap調研一下。 如果在Coinmarketcap網頁是找不到,就要提高警覺。
讀者2:Discord社區投稿者 @WX115#7394
『切勿點擊陌生連接、勿相信過美好的報酬』
如果用戶對3個方面多加注意就可以盡量避免資產被盜走的情況。
1:騙子大多活躍在電報(Telegram)和Discord,他們會先跟你私聊,慢慢贏取妳的信任。然後再發你假錢包鏈接,讓妳開帳戶並輸入錢包助記詞。騙徒會在假錢包內每天給妳返佣,等妳以為很安全的時候,並轉入自己的資產,就會發現資產被騙子盜走並轉去其他錢包。
2:一定要認真查看Dapp 的鏈結是否與官方網頁地址顯示一致。很多騙子就是在網址上動手腳,讓用戶信以為真,一旦用戶授權錢包或者導入錢包後,用戶的資產就會被盜了。
3:切莫貪小便宜,很多騙子抓住普通人愛貪小便宜的心態去行騙。騙子會自製Dapp 並在程式內提供比正常交易所更高額的年化率,吸引用戶使用。把但當你想把全部資產轉移到這個Dapp,並在及後提現的時候,網址就會變成404。
上述這些慘痛經驗,讓我們知道驗證網站和Dapp安全性的重要,讀者4 Myron也提供一些驗證Dapp安全性的方法給大家參考。
讀者3: Discord社區投稿者 @Myron#2738
【仔細驗證網站的真實性】
許多用戶與Dapp互動的時候,習慣直接於瀏覽器搜尋,並點選位於最上方的網站選項,然而這正正有機會落入不法之徒的騙局。如今的詐騙者已經學會利用投放廣告的方式,令假網站出現在搜尋引擎的優先顯示列表,若用戶不慎點入假網站並與該網站連結錢包,就可能會損失所有的錢包資產。
因此您務必仔細核對欲使用的網站是正確的,以下提供幾個方法:
1.從Dapp項目的官方社群(如: Twitter、Discord、Linktree、Telegram)點選其公告的網址。
2.在第一次進入Dapp官方網站並使用及連結錢包後,將該網址加入您的瀏覽器書籤,往後使用該DAPP時只點選書籤保留的網址,而不是重新在瀏覽器中搜尋。
3.若從瀏覽器搜尋Dapp,仔細查看該網站的網址是否異常或明顯不是正確的網址;又或是進入已使用過的Dapp網站時若跳出不尋常的連結、授權的指令要求簽屬,則不要連結您的錢包並盡快退出該網站。
總結
在安全儲存加密貨幣方面,現今的區塊鏈產業提供了許多安全措施。從交易到儲存和使用您的加密貨幣,簡單的方法可有效確保您的資金安全。就加密貨幣儲存而言,每種替代方案各有其優缺點,選擇時需有所取捨。一如以往,在您投入資金或加密貨幣時,確保您對任何投資工具進行適當的研究。