NEW EVENT
最新活動
幣安
HOT ARTICLES
熱門文章
本文重點:
-
加密貨幣投資安全是第一優先
-
交易所有完整安全機制但交易所本身可能出事
-
現階段加密貨幣錢包沒有太多可用安全機制但使用得當就很安全
-
期待 AA 錢包未來能結合兩者優點
-
簡易判斷法:你和交易所誰出事的風險高?
加密貨幣投資第一優先事項:安全
如果賺到錢但領不出來,或隨時有可能本金被盜走,這麼危險的投資應該沒有人願意做。加密貨幣領域還在相對早期階段,許多機制還不是那麼成熟完整,雖然有更可觀的投資報酬,風險確實也比較高,但投資就是想要賺錢,賺到的錢要能帶走,本金要能保住,這是最重要的兩件事。
也因此許多初入幣圈的人會問:幣要放在哪裡才安全?交易所跟錢包哪個比較好?
這篇文會介紹交易所與錢包現有的安全機制,以及各自適合的使用場景與習慣。
交易所七安全機制 - 簡單保護自身資產
針對存放在交易所裡頭的加密資產,以及我們的交易所帳戶安全,主流交易所通常有這些安全機制:
-
2FA (兩階段驗證) 登入-交易所使用上跟網路銀行有點像,要註冊帳號,使用前要登入。2FA 是在帳號密碼之外,還需要其他驗證碼才能登入,例如 email 、手機簡訊收驗證碼,或使用第三方驗證工具例如 google authenticator 。
-
新 IP 登入警告-只要有新 IP 嘗試登入就會發 email 通知,可以即時知道是否有其他人在偷偷登入你的帳號。
-
登入設備管理-查看登入的裝置,也是用來檢查是否有人偷偷登入帳號。
-
另外設提幣密碼 (不同於登入密碼)-提幣的時候需要另外輸入一組密碼,就算登入密碼外洩,只要提幣密碼設定不同,別人登入後依然無法提幣。
-
提幣白名單地址限制-只能提幣到設定清單中的地址,新增地址通常會限制一段時間後 (例如一天) 才能提幣,就算密碼都外洩,對方也無法立刻把幣提走。
-
提幣額度限制-設定一日內提幣上限,就算一切失守,對方也無法在短時間內把所有資產提光。
-
實體金鑰設定-實體的安全金鑰裝置,例如 Yubikey (需自行購買),長的像 USB,登入時需要在設備上也插入金鑰裝置驗證才能登入,沒有這個實體金鑰驗證就登不進帳號。
一間交易所不一定會同時有上述七種機制,但通常至少會有其中四五種以上。這些機制可以分類成三部分:
-
登入相關-增加登入驗證步驟,確保是本人登入。
-
提幣相關-增加提幣限制,額外密碼、額度或白名單地址限制。
-
異常警告-帳戶有異常活動時立刻發通知。
安全機制通常預設關閉,必須由使用者自行開啟設定,一旦開啟其中多數安全設定,資產被盜走的難度會大幅提高。
一旦設定了 2FA 兩階段驗證,對方拿到帳號密碼也沒用,還得駭入其他驗證裝置,例如手機或 email 信箱;一旦設定了提幣限制,就算成功登入也無法提幣,就算設定白名單地址也得等時間限制後才能提幣,這時帳號主人應該已經收到異常警告,可以趕緊改密碼或先把幣提到其他地方。
相關安全設定都開啟之後,假設真的點到釣魚網站,在釣魚網站輸入帳號密碼,也輸入 2FA 驗證碼,對方也很難盜走什麼東西,最大被盜的可能性也許是對方拿到你的手機,而手機 App 設定使用指紋或臉孔辨識登入,對方又剛好就在身邊可以直接拿你的手指通過驗證,這種情況才能繞過重重安全設定成功盜取交易所內的加密資產。
交易所帳戶沒有私鑰,不怕遺失私鑰,忘記帳號密碼也沒關係,只要能夠證明是本人,就可以透過客服來協助重新設定帳號密碼。
總結來說,如果交易所的安全設定都有開啟,交易所裡的資產其實很難被盜走,大多數被盜都是一開始就註冊到假的網站,或沒有設定 2FA。交易所也不需要擔心搞丟私鑰,最大的風險在於交易所可能挪用客戶資產,或交易所自己被駭,可能造成資不抵債,甚至可能捲款跑路。
交易所被駭的事件在近年來已經有所減少,但挪用客戶資產的事件依然時有所聞,例如 2022 年的 FTX,2023 年的 BKEX,盡量只使用頭部交易所,排名前面的不一定絕對安全,但通常會比較安全;盡量使用有提供資產儲備證明 (POR) 的交易所,也盡量不要把所有資產放在一間交易所裡,不要把所有雞蛋放同一個籃子裡。
參考閱讀:
2023 前十大中心化交易所介紹|特色|推薦碼|官網連結|儲備查詢
新手必讀交易所安全性指南| 5 步驟確認你的交易所不會捲款跑路!
你買的加密貨幣SAFE 嗎? 7 間臺灣交易所牌照、合規現況、安全性盤點
加密貨幣錢包安全靠自己,私鑰請妥善保存
當前的加密貨幣錢包其實沒有太多安全機制,主要得靠使用者本身。
加密貨幣錢包不需要登入,主要是私鑰,一旦擁有私鑰就可以匯入該錢包掌控其中資產,只要私鑰或助記詞外流,對方就可以提走錢包中的幣,就算立刻發現也無法阻止,當下能做的就是比手速,比駭客更快把幣轉走。
名詞解釋:
私鑰是一串亂碼,助記詞是轉換成比較容易記憶的 12 - 14 個英文單字,再透過數學算法計算出私鑰,功能上差不多,一旦外流就等於失去了這個錢包的控制權。
只要是正規的加密貨幣錢包,都是非託管錢包,廠商只會更新軟體,不會幫忙管理你的錢包和資產,私鑰只有使用者自己可以紀錄和備份,一旦忘記就沒了,客服也無法協助恢復。
私鑰有沒有外流? 目前無從得知。
也許已經外流了,只是因為裡頭錢還不多,對方還不想動手,錢包主人無法知道有沒有外流;交易所有異常登入警告,加密貨幣錢包沒有。一般的加密貨幣錢包也無法設定提幣白名單地址限制,額度限制等也不行。
加密貨幣錢包安全機制大概有這幾項:
-
多重簽名機制-發起交易需要好幾個人一起授權簽名,不怕單一私鑰外洩。但這對一般人來說很難使用,資產很多的錢包才會設定。
-
每個錢包地址都單獨授權-一份助記詞可以創立數十個錢包地址,在同一個錢包工具中就可以操作。每個錢包地址對應一組私鑰,每次操作授權合約也只限定在這個地址上,就算出錯也只有這個地址有風險,其他地址都沒事 (除非外流的是助記詞),如果針對每個網站都用不同的錢包地址,可以很好的做到風險隔離。
-
某些加密貨幣錢包 / 瀏覽器擴充功能有智能合約安全掃描-加密貨幣錢包操作時需要和網站連線,並授權智能合約操作,但如果連線到釣魚網站、授權給詐騙合約,資產就會有風險。有些加密貨幣錢包有提供相關安全掃描的功能,授權前會先掃描安全性並給予警告。
或安裝某些瀏覽器擴充功能,有的可以在交易前先掃描智能合約,預覽交易內容,有的則可以檢視當下網站是否為安全網站。
例如 DeFiLlama 的擴充功能提供白名單網站檢視,檢查目前連線的網站是否在它們的安全清單中。
而 Fire 的擴充功能則可以先預覽交易,這被稱為合約可讀性工具,在實際交易前先預覽智能合約內容,並告知使用者這筆交易具體會發生什麼事。
-
硬體錢包操作時需要插入實體錢包 (類似交易所的實體金鑰)-加密貨幣錢包還能分成冷錢包跟熱錢包,連網的是熱錢包,不連網的則是冷錢包。冷錢包通常以硬體錢包的方式呈現,私鑰只存在硬體錢包裡面,硬體錢包本身不能連網路,使用時須將硬體錢包插上電腦才能簽名授權,沒有拿到這個實體錢包就不能用。除非自己把私鑰抄給別人,不然硬體錢包幾乎沒有私鑰外流風險,硬體錢包中的私鑰隔離存放,就算使用的電腦中毒,硬體錢包中的私鑰也不會外洩。
-
AA 智能合約錢包將可以設定白名單地址和額度限制-目前加密貨幣錢包以 EOA (外部擁有帳戶) 錢包為主,需要私鑰,能客製化設定的功能也不多,在 ERC - 4337 協議升級之後,出現了 AA (抽象帳戶) 錢包,將不再需要私鑰,還可以設定例如白名單和提幣限額,並支援社交恢復以及多重簽名機制。在未來,AA 錢包可以擁有跟交易所幾乎一樣的安全機制。
總結來說,現階段的加密貨幣錢包還沒有太多好用的安全機制,多簽對一般人來說不實際;每次連不同網站使用都創新的錢包地址,管理起來也很麻煩;安全掃描並不是每個錢包都有這功能,現階段大多還是依靠第三方工具來檢查;至於硬體錢包還得另外花錢購買以及學習使用,通常也是有一定資產規模的人才會選擇硬體錢包。
現階段只要想提高加密貨幣錢包安全性,幾乎都得伴隨著不便和成本提高。
加密貨幣錢包的安全主要還是靠使用者自己,只要確保私鑰不外流,以及不要授權給有風險的智能合約,加密貨幣錢包裡的資產就很安全。
私鑰一外流就再也不安全了,如果覺得有外流疑慮,務必立刻創建新的錢包並將幣轉過去,不要繼續使用有疑慮的錢包。外流之外還有個風險是忘記私鑰,如果忘記私鑰,也沒有做好備份或是備份遺失,那裡頭的資產就從此與你無關,所以也務必做好助記詞與私鑰的備份。
參考閱讀:
虛擬貨幣錢包|冷錢包、熱錢包有何不同?|加密貨幣錢包的使用
智能合約錢包將取代 Metamask?以太坊抽象帳戶 (AA) 賽道 6 個熱門項目!| ERC-4337
Not Your Keys, Not Your Coins
看起來交易所比加密貨幣錢包安全很多,為什麼有那麼多人使用加密貨幣錢包?
就是因為標題這句話:
Not Your Keys, Not Your Coins
不是你的私鑰,就不是你的幣
交易所被駭,我們的資產就有損失風險;交易所挪用,我們有風險;交易所管理不當,我們依然有風險。風險掌握在交易所手上,自身風險掌握在他人手上,使用交易所的過程中等於要信任交易所這個中心機構,這些都違反區塊鏈加密貨幣去中心化的特性。
在去中心化的世界裡,我們不需要信任它人,只需要信任程式 (合約),也不把自己的安全依賴在別人的行為上,風險自己掌握自己承擔。
使用交易所 > 如果都做好安全設定,剩下的風險是交易所,安全要依賴交易所
使用加密貨幣錢包 > 不需要擔心資產被挪用,不需要擔心交易所亂搞,安全靠自己
交易所 vs. 加密貨幣錢包安全性比較表
|
交易所 |
加密貨幣錢包 |
|
|
密碼或私鑰外洩 |
有設定 2FA 就沒事,除非全部一起被駭 |
完了 |
|
忘記密碼或私鑰 |
請客服協助登入 |
完了 |
|
交易所挪用資產或跑路 |
完了 |
沒有這風險 |
|
有人偷偷登入帳號 / 匯入錢包 |
會發異常通知 |
不會知道 |
|
不小心連了釣魚網站 |
安全設定都有做基本上沒事,除非過一天還沒發現,趕緊改密碼即可 |
如果已經輸入私鑰或給出授權,完了,跟駭客拚手速 |
小結 - 沒有最安全的選擇,只有最適合你的安全方式
如果是個去中心化信仰者,完全認同區塊鏈去中心化的特性,那當然得使用加密貨幣錢包,最符合去中心化的特點。
如果不是去中心化信仰者,只想安全操作加密貨幣,要怎麼判斷自己更適合交易所或加密貨幣錢包?
你的風險比較高? or 交易所的風險比較高?
如果本身資安觀念很好,工作跟玩幣的設備都分開,每次連新網站都會檢查,知道怎麼安全備份私鑰助記詞,那麼使用加密貨幣錢包確實會比交易所更安全,畢竟不需要承擔交易所本身的風險。
如果本身資安不是那麼熟悉,常常貪圖快速方便就忽略細節,也常搞丟東西,那麼使用交易所並開啟所有安全設定,會比使用加密貨幣錢包要安全很多。
簡易判別法:
你被駭的風險比較高,你忘記私鑰的風險比較高 > 使用交易所
你很安全,交易所亂搞的風險比較高 > 使用加密貨幣錢包
但這是現階段,ERC-4337 今年才通過,再給它一點發展時間,未來的 AA 錢包有機會做到結合兩者優點,在去中心化的情況下兼具所有交易所能提供的安全性。
東東
加密貨幣愛好者 | 2017 入圈,認為區塊鏈是下個世代的網路,期待區塊鏈與加密貨幣普及到日常生活的那一天。
