NEW EVENT
最新活動
幣安
HOT ARTICLES
熱門文章
讓你的 Metamask 小狐狸錢包更安全|合約可讀性工具 Wallet Guard & Fire 介紹
這是一篇關於提高 Metamask 小狐狸加密貨幣錢包使用安全性的工具介紹文,如果還不知道什麼是加密貨幣錢包、還不會使用 Metamask 小狐狸錢包的讀者,建議先閱讀以下兩篇文章。
▌Metamask 小狐狸錢包新手教學– 安裝 / 創建助記詞/ 轉帳 / 新增鏈與幣種
Metamask 不是詐騙!
但總是會有壞人,會嘗試透過 Metamask 來詐騙,最常見的是透過 email 或其他社交媒體,假扮是官方人員,引誘你進入釣魚網站輸入註記詞或是授權給假合約。
Metamask 本身是安全的正統加密貨幣錢包,不是詐騙項目
但使用 Metamask 時的安全性則仰賴我們自己的使用習慣
關於 Metamask 安全的四個基本安全原則
正確網址:務必確保是在官方網站下載安裝 https://metamask.io/,第一次連上後趕緊加入我的最愛,未來都直接從書籤連結。
正確的私鑰備份方式:安裝成功後請一定要安全的備份私鑰跟助記詞,絕對不要未經加密就隨意放在網路上,實體保存也務必放在安全的地方,關於安全備份方式可參考這篇:
如何備份錢包私鑰助記詞?三種安全備份方式
正確的項目方網址:錢包每次和新的網站連線時,都要再三確認是正確的項目網站,不是釣魚假網站,接著跟比照第一點趕緊加入最愛,未來都從書籤直接連結。
不隨意授權資產:就算都連到正確項目官網,項目也可能事後被駭被盜,出事時或每隔一段時間要檢查移除已經沒有使用的合約授權,如何移除合約授權參考這篇:
撤銷智能合約授權|如何在 Metamask 取消授權?| 工具介紹
除了上述四個基本安全原則之外,還能讓 Metamask 更安全嗎?答案是可以,只要搭配適合的錢包安全工具。
Metamask 在 2023 / 09 / 12 時宣布推出 Metamask Snaps。
Metamask Snaps 算是 Metamask 的擴充套件,類似在 Google 瀏覽器上安裝擴充工具,由第三方開發人員創建的功能,使用者可以自行選擇並安裝到自己的 Metamask 錢包中,來擴充自己的小狐狸錢包功能。
目前官方已推出了三十多種 Metamask Snaps,分為三大類別:
互操作性:連結非 EVM 的區塊鏈網路
交易洞察:在確認交易前就可以先了解更多交易資訊內容
通知:直接在 Metamask 接收更多 web 3 的通知
詳細 Snaps 清單可以在官網查看:
這次要介紹的就是屬於交易洞察 Transaction Insights 類別的小工具:Wallet Guard
首先記得安全原則第一點,安裝任何東西都一定要從官網前往。Metamask 官網的 Features 最下方就是 Metamask Snaps 的連結。
接著點 Discover Snaps 就能前往目前所有 Snaps 的清單。找到 Wallet Guard 後點進去有更多說明,也可以先前往 Wallet Guard 的官網看一看再決定是否要安裝使用。
按下 Add to MetaMask 後會跑一段 installing 畫圈圈,接著錢包跳出通知,按下同意後過一下就安裝完成了。
Wallet Guard 屬於交易洞察類的小工具,算是一種合約可讀性工具,當我們使用加密貨幣錢包操作 DeFi 時,實際跟錢包互動的是智能合約,於是我們總是在做合約授權,授權智能合約操作我們錢包中的資產。
但有時候我們不一定真的知道合約要幹嘛?我們按下授權到底是授權智能合約做什麼事?
合約可讀性工具就是在實際授權之前,先告訴我們這次授權的操作範圍是?授權後具體會發生什麼事情?而且是在實際按下授權之前就先告訴我們,如果發現異常就可以停止操作,只要沒有授權出去對方就無法進行後續。
舉個實際例子,在去中心化交易所 DODO 上將 USDT 兌換成 DODO 幣,因為是第一次操作,DODO 會先要求我授權它操作 USDT,這時 Wallet Guard 就跳出通知視窗了,針對這次授權它顯示了風險警告:我正在授權無上限的 USDT。
交易授權時可以授權額度無上限,未來不用每次都重新授權,或是只授權這次要操作的金額,未來要每次重新授權。
以方便來說當然是無上限比較方便,只要授權一次未來就可以持續交易;但以安全來說則是只授權這次要操作的金額比較安全,一旦這次操作完額度就用完,就算智能合約事後被駭也不能動用我的資產。
授權交易所操作 USDT 的權限後,下一步要進行兌換,這時 Wallet Guard 又跳出通知:
通知告訴我這次交易具體內容是什麼,按下同意後會發生什麼事:我會送出 21.44 USDT,會收到 204.759 個 DODO 幣。如果都正確那沒問題,如果有異常,這時候就可以停止操作,不用等到事後才發現有問題。
如果常常會操作 DeFi,很常會在新的網站做新的交易,像 Wallet Guard 這樣的合約可讀性工具,可以大幅提升操作的透明度跟安全性,更早發現異常狀況,更早停止跟有疑慮的合約互動。
Wallet Guard 除了可以直接安裝在 Metamask 上之外,官網中也有提供錢包安全掃描的功能,掃描錢包目前是否有什麼風險疑慮。
Wallet Guard Security Dashboard
掃描前須先將錢包連線,必須做一次錢包簽名驗證,都是在 Metamask 的通知視窗按下同意即可。
掃描完後會類似這樣跑出一個安全分數,以及風險疑慮,也可以直接在這裡移除有疑慮的合約授權。
目前 Wallet Guard 支援四條鏈,以太坊主網、Polygon,以及兩條 Layer 2:Arbitrum & Optimism。
還有一些其他的合約可讀性工具,這邊再介紹一個 Fire,它也提供類似的功能,但有不同的介面,大家也可以去看看自己更喜歡哪一個,操作上很類似就不再寫教學了。
Fire 也是支援同樣的四條鏈。
舉個實例,撰寫此文時我的瀏覽器這兩個工具都有裝,在進行 Wallet Guard Secutity Dashboard 的錢包掃描之前,必須先做一次錢包簽名來驗證,在按下簽名同意之前,Fire 就跳出這個通知視窗:
第一句告訴我:這個合約常用在驗證地址,發送簽名給 DApp;第二句告訴我這個簽名無法授權或移轉任何資產。
跟未知的網站互動時,看到像這樣的通知和說明,能提高不少操作時的安全感,這就是合約可讀性工具的最重要價值。
最重要的還是第一段提到的 Metamask 四個基本安全原則,合約可讀性工具這屬於更進階一些的工具,在使用這類進階工具時,也別忘記那最基本的四個安全原則。
一定要確保是可信賴的工具,以及確保是在項目正確的官網才能安裝使用,如果為了使用一個安全工具,反而被釣魚被詐騙,因此外洩私鑰那就得不償失了。
很難說 CeFi 和 DeFi 究竟誰更安全一點,但可以確定的是 DeFi 中的安全有更大部分得仰賴自己。
安全主要來自兩部分:
正確的觀念
合適的工具
觀念在很多篇文章中都持續不斷地反覆說明,至於跟安全有關的工具,文章最末再分享一個可以用來評估加密貨幣項目安全性的工具網站 Certik。
如何評估加密貨幣項目安全性?|區塊鏈安全公司 Certik 介紹與網站教學
東東
加密貨幣愛好者 | 2017 入圈,認為區塊鏈是下個世代的網路,期待區塊鏈與加密貨幣普及到日常生活的那一天。