logo

新手教學

投資理財

區塊百科

賽道專題

幣種分析

優惠福利

市場週報

活動優惠搜尋

NEW EVENT

最新活動

OKX

幣安

web3 community

加入每日幣研 Telegram 群組,即時掌握幣圈最新資訊

HOT ARTICLES

熱門文章

    Featured Articles

    專題精選

    PolitiFi
    BTC
    Meme 迷因幣
    AI
    DeFi
    DePIN

      幣放哪裡才安全?交易所 vs. 加密貨幣錢包|安全性比較

      東東

      2023/10/05

      本文重點:

      • 加密貨幣投資安全是第一優先

      • 交易所有完整安全機制但交易所本身可能出事

      • 現階段加密貨幣錢包沒有太多可用安全機制但使用得當就很安全

      • 期待 AA 錢包未來能結合兩者優點

      • 簡易判斷法:你和交易所誰出事的風險高?

       

      加密貨幣投資第一優先事項:安全

      如果賺到錢但領不出來,或隨時有可能本金被盜走,這麼危險的投資應該沒有人願意做。加密貨幣領域還在相對早期階段,許多機制還不是那麼成熟完整,雖然有更可觀的投資報酬,風險確實也比較高,但投資就是想要賺錢,賺到的錢要能帶走,本金要能保住,這是最重要的兩件事。

      也因此許多初入幣圈的人會問:幣要放在哪裡才安全?交易所跟錢包哪個比較好?

      這篇文會介紹交易所與錢包現有的安全機制,以及各自適合的使用場景與習慣。

       

      交易所七安全機制 - 簡單保護自身資產

      針對存放在交易所裡頭的加密資產,以及我們的交易所帳戶安全,主流交易所通常有這些安全機制:

      1. 2FA (兩階段驗證) 登入-交易所使用上跟網路銀行有點像,要註冊帳號,使用前要登入。2FA 是在帳號密碼之外,還需要其他驗證碼才能登入,例如 email 、手機簡訊收驗證碼,或使用第三方驗證工具例如 google authenticator  

      2. 新 IP 登入警告-只要有新 IP 嘗試登入就會發 email 通知,可以即時知道是否有其他人在偷偷登入你的帳號。

      3. 登入設備管理-查看登入的裝置,也是用來檢查是否有人偷偷登入帳號。

      4. 另外設提幣密碼 (不同於登入密碼)-提幣的時候需要另外輸入一組密碼,就算登入密碼外洩,只要提幣密碼設定不同,別人登入後依然無法提幣。

      5. 提幣白名單地址限制-只能提幣到設定清單中的地址,新增地址通常會限制一段時間後 (例如一天) 才能提幣,就算密碼都外洩,對方也無法立刻把幣提走。

      6. 提幣額度限制-設定一日內提幣上限,就算一切失守,對方也無法在短時間內把所有資產提光。

      7. 實體金鑰設定-實體的安全金鑰裝置,例如 Yubikey (需自行購買),長的像 USB,登入時需要在設備上也插入金鑰裝置驗證才能登入,沒有這個實體金鑰驗證就登不進帳號。

      一間交易所不一定會同時有上述七種機制,但通常至少會有其中四五種以上。這些機制可以分類成三部分:

      • 登入相關-增加登入驗證步驟,確保是本人登入。

      • 提幣相關-增加提幣限制,額外密碼、額度或白名單地址限制。

      • 異常警告-帳戶有異常活動時立刻發通知。

      安全機制通常預設關閉,必須由使用者自行開啟設定,一旦開啟其中多數安全設定,資產被盜走的難度會大幅提高。

      一旦設定了 2FA 兩階段驗證,對方拿到帳號密碼也沒用,還得駭入其他驗證裝置,例如手機或 email 信箱;一旦設定了提幣限制,就算成功登入也無法提幣,就算設定白名單地址也得等時間限制後才能提幣,這時帳號主人應該已經收到異常警告,可以趕緊改密碼或先把幣提到其他地方。

      相關安全設定都開啟之後,假設真的點到釣魚網站,在釣魚網站輸入帳號密碼,也輸入 2FA 驗證碼,對方也很難盜走什麼東西,最大被盜的可能性也許是對方拿到你的手機,而手機 App 設定使用指紋或臉孔辨識登入,對方又剛好就在身邊可以直接拿你的手指通過驗證,這種情況才能繞過重重安全設定成功盜取交易所內的加密資產。

      交易所帳戶沒有私鑰,不怕遺失私鑰,忘記帳號密碼也沒關係,只要能夠證明是本人,就可以透過客服來協助重新設定帳號密碼。

      總結來說,如果交易所的安全設定都有開啟,交易所裡的資產其實很難被盜走,大多數被盜都是一開始就註冊到假的網站,或沒有設定 2FA。交易所也不需要擔心搞丟私鑰,最大的風險在於交易所可能挪用客戶資產,或交易所自己被駭,可能造成資不抵債,甚至可能捲款跑路。

      交易所被駭的事件在近年來已經有所減少,但挪用客戶資產的事件依然時有所聞,例如 2022 年的 FTX,2023 年的 BKEX,盡量只使用頭部交易所,排名前面的不一定絕對安全,但通常會比較安全;盡量使用有提供資產儲備證明 (POR) 的交易所,也盡量不要把所有資產放在一間交易所裡,不要把所有雞蛋放同一個籃子裡。

      參考閱讀:
      2023 前十大中心化交易所介紹|特色|推薦碼|官網連結|儲備查詢

      新手必讀交易所安全性指南| 5 步驟確認你的交易所不會捲款跑路!

      你買的加密貨幣SAFE 嗎? 7 間臺灣交易所牌照、合規現況、安全性盤點

       

      加密貨幣錢包安全靠自己,私鑰請妥善保存

      當前的加密貨幣錢包其實沒有太多安全機制,主要得靠使用者本身。

      加密貨幣錢包不需要登入,主要是私鑰,一旦擁有私鑰就可以匯入該錢包掌控其中資產,只要私鑰或助記詞外流,對方就可以提走錢包中的幣,就算立刻發現也無法阻止,當下能做的就是比手速,比駭客更快把幣轉走。

      名詞解釋:
      私鑰是一串亂碼,助記詞是轉換成比較容易記憶的 12 - 14 個英文單字,再透過數學算法計算出私鑰,功能上差不多,一旦外流就等於失去了這個錢包的控制權。

      只要是正規的加密貨幣錢包,都是非託管錢包,廠商只會更新軟體,不會幫忙管理你的錢包和資產,私鑰只有使用者自己可以紀錄和備份,一旦忘記就沒了,客服也無法協助恢復。

      私鑰有沒有外流? 目前無從得知。

      也許已經外流了,只是因為裡頭錢還不多,對方還不想動手,錢包主人無法知道有沒有外流;交易所有異常登入警告,加密貨幣錢包沒有。一般的加密貨幣錢包也無法設定提幣白名單地址限制,額度限制等也不行。

      加密貨幣錢包安全機制大概有這幾項:

      1. 多重簽名機制-發起交易需要好幾個人一起授權簽名,不怕單一私鑰外洩。但這對一般人來說很難使用,資產很多的錢包才會設定。

      2. 每個錢包地址都單獨授權-一份助記詞可以創立數十個錢包地址,在同一個錢包工具中就可以操作。每個錢包地址對應一組私鑰,每次操作授權合約也只限定在這個地址上,就算出錯也只有這個地址有風險,其他地址都沒事 (除非外流的是助記詞),如果針對每個網站都用不同的錢包地址,可以很好的做到風險隔離。

      3. 某些加密貨幣錢包 / 瀏覽器擴充功能有智能合約安全掃描-加密貨幣錢包操作時需要和網站連線,並授權智能合約操作,但如果連線到釣魚網站、授權給詐騙合約,資產就會有風險。有些加密貨幣錢包有提供相關安全掃描的功能,授權前會先掃描安全性並給予警告。

        或安裝某些瀏覽器擴充功能,有的可以在交易前先掃描智能合約,預覽交易內容,有的則可以檢視當下網站是否為安全網站。
        例如 DeFiLlama 的擴充功能提供白名單網站檢視,檢查目前連線的網站是否在它們的安全清單中。
        DeFiLlama
        Fire 的擴充功能則可以先預覽交易,這被稱為合約可讀性工具,在實際交易前先預覽智能合約內容,並告知使用者這筆交易具體會發生什麼事。Fire
        Fire

       

      1. 硬體錢包操作時需要插入實體錢包 (類似交易所的實體金鑰)-加密貨幣錢包還能分成冷錢包跟熱錢包,連網的是熱錢包,不連網的則是冷錢包。冷錢包通常以硬體錢包的方式呈現,私鑰只存在硬體錢包裡面,硬體錢包本身不能連網路,使用時須將硬體錢包插上電腦才能簽名授權,沒有拿到這個實體錢包就不能用。除非自己把私鑰抄給別人,不然硬體錢包幾乎沒有私鑰外流風險,硬體錢包中的私鑰隔離存放,就算使用的電腦中毒,硬體錢包中的私鑰也不會外洩。

      2. AA 智能合約錢包將可以設定白名單地址和額度限制-目前加密貨幣錢包以 EOA (外部擁有帳戶) 錢包為主,需要私鑰,能客製化設定的功能也不多,在 ERC - 4337 協議升級之後,出現了 AA (抽象帳戶) 錢包,將不再需要私鑰,還可以設定例如白名單和提幣限額,並支援社交恢復以及多重簽名機制。在未來,AA 錢包可以擁有跟交易所幾乎一樣的安全機制。

       

      總結來說,現階段的加密貨幣錢包還沒有太多好用的安全機制,多簽對一般人來說不實際;每次連不同網站使用都創新的錢包地址,管理起來也很麻煩;安全掃描並不是每個錢包都有這功能,現階段大多還是依靠第三方工具來檢查;至於硬體錢包還得另外花錢購買以及學習使用,通常也是有一定資產規模的人才會選擇硬體錢包。

      現階段只要想提高加密貨幣錢包安全性,幾乎都得伴隨著不便和成本提高。

      加密貨幣錢包的安全主要還是靠使用者自己,只要確保私鑰不外流,以及不要授權給有風險的智能合約,加密貨幣錢包裡的資產就很安全。

      私鑰一外流就再也不安全了,如果覺得有外流疑慮,務必立刻創建新的錢包並將幣轉過去,不要繼續使用有疑慮的錢包。外流之外還有個風險是忘記私鑰,如果忘記私鑰,也沒有做好備份或是備份遺失,那裡頭的資產就從此與你無關,所以也務必做好助記詞與私鑰的備份。

       

      參考閱讀:
      虛擬貨幣錢包|冷錢包、熱錢包有何不同?|加密貨幣錢包的使用

      智能合約錢包將取代 Metamask?以太坊抽象帳戶 (AA) 賽道 6 個熱門項目!| ERC-4337

      如何備份錢包私鑰助記詞?三種安全備份方式

       

      Not Your Keys, Not Your Coins 

      看起來交易所比加密貨幣錢包安全很多,為什麼有那麼多人使用加密貨幣錢包?

      就是因為標題這句話:
      Not Your Keys, Not Your Coins
      不是你的私鑰,就不是你的幣

      交易所被駭,我們的資產就有損失風險;交易所挪用,我們有風險;交易所管理不當,我們依然有風險。風險掌握在交易所手上,自身風險掌握在他人手上,使用交易所的過程中等於要信任交易所這個中心機構,這些都違反區塊鏈加密貨幣去中心化的特性。

      在去中心化的世界裡,我們不需要信任它人,只需要信任程式 (合約),也不把自己的安全依賴在別人的行為上,風險自己掌握自己承擔。

      使用交易所 > 如果都做好安全設定,剩下的風險是交易所,安全要依賴交易所

      使用加密貨幣錢包 > 不需要擔心資產被挪用,不需要擔心交易所亂搞,安全靠自己

       

      交易所 vs. 加密貨幣錢包安全性比較表

       

      交易所

      加密貨幣錢包

      密碼或私鑰外洩

      有設定 2FA 就沒事,除非全部一起被駭

      完了

      忘記密碼或私鑰

      請客服協助登入

      完了

      交易所挪用資產或跑路

      完了

      沒有這風險

      有人偷偷登入帳號 / 匯入錢包

      會發異常通知

      不會知道

      不小心連了釣魚網站

      安全設定都有做基本上沒事,除非過一天還沒發現,趕緊改密碼即可

      如果已經輸入私鑰或給出授權,完了,跟駭客拚手速

       

      小結 - 沒有最安全的選擇,只有最適合你的安全方式

      如果是個去中心化信仰者,完全認同區塊鏈去中心化的特性,那當然得使用加密貨幣錢包,最符合去中心化的特點。

      如果不是去中心化信仰者,只想安全操作加密貨幣,要怎麼判斷自己更適合交易所或加密貨幣錢包?

      你的風險比較高? or 交易所的風險比較高?

      如果本身資安觀念很好,工作跟玩幣的設備都分開,每次連新網站都會檢查,知道怎麼安全備份私鑰助記詞,那麼使用加密貨幣錢包確實會比交易所更安全,畢竟不需要承擔交易所本身的風險。

      如果本身資安不是那麼熟悉,常常貪圖快速方便就忽略細節,也常搞丟東西,那麼使用交易所並開啟所有安全設定,會比使用加密貨幣錢包要安全很多。

      簡易判別法:

      你被駭的風險比較高,你忘記私鑰的風險比較高 > 使用交易所

      你很安全,交易所亂搞的風險比較高 > 使用加密貨幣錢包

       

      但這是現階段,ERC-4337 今年才通過,再給它一點發展時間,未來的 AA 錢包有機會做到結合兩者優點,在去中心化的情況下兼具所有交易所能提供的安全性。

       

      延伸閱讀:
      揭開虛擬貨幣詐騙帝國的幕後操作!遇到詐騙怎麼辦?常見的七種詐騙手法一次破解!

      投資比特幣賺錢教學|漲跌趨勢風險、詐騙手法、購買方式詳解

      去中心化是什麼?跟區塊鏈的關係?




      「以上文章內容並不代表每日幣研立場」

      東東

      加密貨幣愛好者 | 2017 入圈,認為區塊鏈是下個世代的網路,期待區塊鏈與加密貨幣普及到日常生活的那一天。

      RECOMMENDED ARTICLES

      推薦文章

      how-to-withdraw-crypto-currency

      #

      基礎知識

      #

      新手教學

      #

      定期定額

      加密貨幣出金全攻略,如何出金換台幣 6 大方法教給你!

      加密貨幣投資第一優先事項:安全

      每日幣研 市場週報

      每週兩則電子報,全方位從總體經濟、鏈上數據、融資近況、項目動向快速解讀加密貨幣市場

      訂閱週報

      logo

      首頁

      全部文章關於我們聯絡我們網站聲明 隱私權政策

      HK

      TW

      ©台灣每日幣研版權所有