这是白话区块链的第1808期原创?作者|day出品|白话区块链
FTX爆雷后,业内人人自危,一旦有点风吹草动,投资者首要目的便是从平台将coin提到钱包,毕竟相对可能面临的损失来说,提花不了多少成本。coingecko报告显示,CEX资产余额从11月2日的1236亿美元下降到11月13日的1028亿美元,减少了207亿美元。在不到两周的时间里,排名前六的主流CEX余额下降了约16.8%,CEX信任危机爆发,资产存储量出现断崖式下跌。
另一方面,2020年6月DeFiSummer爆发,链上交互需求提升,2021年NFT接力DeFi,再次引爆链上交易需求。随着这两年的发展,行业早已不像早期那会儿,只要在CEX买coin并放在CEX就可以满足大多数投资者的需求,大多数投资者会将部分甚至全部Token放在自己的钱包里,这也导致了这个行业变成了黑客的天堂、时不时会传出一些投资者因为授权,下载假的APP泄漏私钥或者钱包自身漏洞等问题,导致自己资产被盗,到头来变成一场空,保证自有资产安全已经成为行业内一项必不可少的技能。接下来,我们将从钱包相关知识、被盗案例以及保护私钥等知识等几个方面来全面了解如何保护区块链资产安全。
?01?钱包相关知识
在保证自己资产安全之前,需要先对业内一些关于钱包等基础知识有一定了解,才能更好的理解如何保护自己的资产。接下来简单介绍下几个相关概念。1.对称加密与非对称加密在了解公钥之前,我们先简单了解下密码学中的对称加密与非对称加密。对称加密,是指A通过某种算法,可以得到B,而反过来,B通过相同的算法也可以逆向解密出A,这里加密解密用的是同一种算法;而非对称加密,则是A通过某种算法,可以得到B,但B无法通过相同的算法逆向解密出B,这里的加密解密需要用到不同的算法。
Coinbase、Robinhood、CFTC将就加密货币法案草案在国会作证:金色财经报道,Coinbase、Robinhood和美国商品监管机构的代表将于6月6日在国会作证,讨论一项新提议的加密货币法案。这三人将分享他们公司或机构对一项拟议法案的看法,该法案可能会将某些加密代币归类为数字商品等。其他被传唤作证的证人包括前CFTC主席Chris Giancarlo、前CFTC委员Dan Berkvitz和FIAconnect创始人Walt Lukken。
早些时间报道,Coinbase首席法务官将就《数字资产市场结构讨论草案》出席国会作证。[2023/6/6 21:18:40]
如图,对称加密与非对称加密的区别在于图中消息接收方公钥与消息接收方私钥是否为同一把钥匙。2.公钥,助记词,地址了解了对称加密与非对称加密,可以更好的理解一些钱包相关的基本概念。
密钥对:在非对称加密中,有一对密钥对,分别为公钥与私钥,公钥是公开的,私钥是不公开的。
公钥:用来给数据加密,用公钥加密的数据只能使用私钥解密。
私钥:私钥可以生成公钥,用来解密公钥加密的数据。
地址:与“公钥”相对应,由于公钥过长,于是有了“地址”,地址由公钥生成。
香港虚拟资产评级机构HKVAC正式成立,将推出虚拟资产指数和交易所评级:5月31日消息,香港虚拟资产评级机构 HKVAC(Hong Kong Virtual Asset Consortium)宣布正式成立,正在推出虚拟资产指数及 虚拟资产交易所评级。其中,HKVAC 大型加密货币指数反映了市值高的加密货币在全球加密货币市场中的整体表现,包含符合其候选资格的全球市值最高的 30 种加密货币,指数调整于每季度进行检阅,调整检阅日期分别为每季度(三月、六月、九月及十二月)的最后一日。虚拟资产交易所评级反映交易平台的信用状况并促进虚拟资产交易市场透明度和问责制。
HKVAC 由专业评级机构及业界发起成立,由虚拟资产业界利益相关者包括大数据公司、交易所、机构投资者等并同香港牌照评级机构组成,旨在创造安全的虚拟资产投资环境,以提高公众投资者对虚拟资产的认可。[2023/5/31 11:49:32]
助记词:与“私钥”相对应,因为私钥是随机生成的字符串,过长且难记,于是催生了一组人类可读的单词代替私钥,用来帮助用户记住私钥,一般是12个无规律的短语。
图源网络:链上交易过程
电子签名:某条信息,这条信息需要你的私钥签名后,广播到区块链上。
签名验证:接收端可以通过你的公钥验证这个消息确实是通过你的私钥签名,那就是你发布的,交易记录上链,因此,谁掌握了私钥,谁就掌握了该钱包。
众筹平台Republic通过出售新证券型代币Republic Core完成300万美元募资:金色财经报道,作为其证券型代币 Republic Note 有限分配的一部分,众筹平台 Republic 宣布推出了新证券型代币“Republic Core”的 Reg CF 融资产品,并且已募集到 300 万美元。根据 Reg CF 发售文件显示,“Republic Core” 使用 Algorand 区块链并以数字形式发行,资产管理功能均由智能合约提供。据此前报道, Republic 曾于 2020 年通过出售 Republic Note 证券代币筹集了 1600 万美元。(crowdfundinsider)[2023/2/8 11:54:51]
简单理解,公钥相当于你的账号,而私钥,则相当于你的账号+密码。用银行卡来类比,公钥=银行账户,地址=银行卡号,密码=银行卡密码,私钥=银行卡号+银行卡密码,助记词=私钥=银行卡号+银行卡密码,Keystore+密码=私钥,关于钱包基础知识,可以查看白话之前的科普文章《想要安全的保管资产,先要知道钱包的这些知识》。3.私钥的保存你的coin并不是存在你的钱包APP中,而是存在区块链网络中私钥对应的地址之中,只要你拥有私钥,就可以通过私钥来登录所有的钱包,钱包仅仅是作为账户资金显示的前端,并不保存你的私钥。如果私钥丢了,意味着你的资产也将丢失,无法通过钱包找回,首次注册钱包时,钱包页面一般也会提醒用户注意这点。这点和我们之前用到的QQ,微信完全不同,如果密码丢失,还可以通过手机验证,问题以及好友验证可以找回,当然,这也是区块链去中心化的魅力所在,你的资产完全属于你自己。4.钱包种类
美联储12月加息50个基点的概率为77%:12月1日消息,据CME“美联储观察”:美联储12月加息50个基点至4.25%-4.50%区间的概率为77%,加息75个基点的概率为23%;到明年2月累计加息75个基点的概率为44.2,累计加息100个基点的概率为46%,累计加息125个基点的概率为9.8%。[2022/12/1 21:14:16]
根据私钥是否触网,可以将钱包分为热钱包与冷钱包,如上图。
热钱包:客户端钱包、插件钱包、手机端APP。使用方便,新手易操作,交易转账的效率比较高,安全性较差,容易被盗。
冷钱包:硬件钱包。
安全性高,适合存放大额资产,创建复杂,转账麻烦,硬件损坏或私钥丢失都可能造成数字资产的丢失。关于钱包更详细的分类可以查看白话区块链之前的科普文章《科普|数字资产钱包有哪些种类?》通过以上,我们可以知道,私钥即一切,而我们所有保护资产的措施,其实都是保护私钥,保护私钥,保护私钥。
?02?被盗案例
了解了相关的概念,我们再来看下,目前主要存在哪些丢失的案例,通过案例,我们可以更好的保护我们自己的钱包。1.私钥泄漏
2021年初,生财有术创始人亦仁,将比特币私钥保存在云笔记中,导致八位数资产的BTC丢失。
伊朗出台新措施打击非法加密货币挖矿:6月13日消息,伊朗国家输配电公司官员表示,政府将出台新措施以打击非法加密货币挖矿,被发现多次进行非法加密货币挖矿的人将被处以监禁。
2019年7月起,伊朗将加密货币挖矿作为合法行业进行管理,挖矿者需获得工矿贸易部许可并支付更高电费。电价差异导致非法挖矿行为频发。此前已有6914个非法挖矿中心被取缔,上述单位耗电接近645兆瓦,对伊朗国家输配电公司造成3800亿里亚尔(约130万美元)损失。该官员表示,新措施还旨在鼓励可再生能源的发展,挖矿中心可自行建立可再生能源电厂或与可再生能源电厂达成供电协议。目前,伊朗境内有56个合法加密货币挖矿中心,耗电量合计约400兆瓦。(驻伊朗伊斯兰共和国大使馆经济商务处)[2022/6/13 4:21:30]
22年11月,分布式资本创始人沈波价值4200万美元的数字资产被盗,被盗资产包括:38,233,180枚USDC、1607枚ETH、719,760枚USDT以及4.13枚BTC。据安全机构慢雾后续分析称,被盗是因为助记词泄漏所导致。
2.私钥丢失
英国IT工程师JamesHowells在2013年弄丢电脑硬盘,里面存有8000枚比特币,9年后,计划花7430万美金翻遍垃圾场来找回电脑硬盘。
3.点击病链接
一用户胡乱点击别人发送的链接,导致黑客读取metamask本地加密备份,所有资产被盗。
推特KOL点击别人私发链接,导致推特账户被盗,然后发布带空投信息,利用粉丝对KOL的信任点击链接盗走粉丝资产。
4.随意授权,应用出现漏洞
10月2日,TokenPocket旗下闪兑DEXTransitSwap官方表示遭遇黑客攻击,资产损失超1500万美元,提醒用户取消授权。
10月11日,DeBank团队开发的插件钱包Rabby称其Swap合约存在漏洞,建议用户取消RabbySwap授权,最终黑客获利超19万美元。
5.下载假的APP
一些黑客获取平台用户信息后,通过短信给用户散布恐慌信息,平台已经不安全,需要点击链接重新安装应用或登录账户,登录后,账户资金被盗。
一用户下载假的Binanceapp,转账时,转入其他人地址,5个ETH的资产彻底丢失。
我们从上述案例可以看出,用户资产被盗,主要集中在这几种情况:私钥泄漏,私钥丢失,点击病链接,随意授权,应用出现漏洞,下载假的APP等几种情况。接下来,我们来整理下有哪些方法可以避免上述情况的发生。
?03?如何避免财产损失
1.私钥的保存
钱包生成后及时备份,双重备份,因为一旦丢失,将无法找回
助记词保存在不联网且不易丢失和损坏的介质上,比如抄在纸上,自己进行加密;找一台永不联网手机的拍照存储;有一些钱包提供商会出售助记词相关的铁板。
使用冷钱包,选择知名的冷钱包;应从官方渠道购买,不要通过第三方渠道购买;设置较强的密码,同时备份私钥,防止硬件钱包丢失或损坏。
2.防止私钥泄漏
不要复制粘贴私钥,有些软件可以读取用户的剪切板
不要将私钥保存在微信收藏,传输文件,百度云,印象笔记等网络平台
绝不告诉任何人私钥,记住,是任何人,一些子假冒钱包官方人取你的私钥,不要相信,钱包方也没有权力获取用户私钥
使用公共Wi-Fi时,不要复制粘贴私钥
下载各种应用,应去官方渠道,所有应用商店有时也不可信,存在虚假应用
钱包签名时要谨慎,DeFi协议和NFT交互重度用户,记得及时撤销授权,防止应用出现漏洞后导致资产被盗
不要随意点击别人发送的链接,下载别人分享的文件,甚至一些kol的链接也不要随意点击,有可能含有病
一旦发现钱包有一点资产泄漏,应第一时间舍弃钱包,不要抱任何侥幸心理
不使用免费的VPN
紧跟新闻,实时了解新的被盗信息
以上所有的措施,其实都是为了保护你的私钥不泄密,Notyourkey,notyourcoin!
3.资产分散放置
可以将自身资金分散放置在钱包与交易平台中,虽然FTX出事,导致中心化交易平台信任缺失,但对于绝大多数人来说,资产放在几个中心化头部交易平台比拿在自己手中相对要安全很多,便利性也会比钱包好一些,只要不是特别大的损失,几个头部平台一般都能赔的起。使用中心化交易平台需要注意几点:
开启三重验证
开启提coin白名单
从官方渠道下载App
转账时,确认地址是否正确
图源网络
?04?结语
通过上述相关知识,可以使新手用户对区块链资产安全的相关的知识有个全面的认识,随着区块链的发展,链上交互的增加,使得钱包的使用也将逐渐变成一项重要基础技能,各种措施,其实都没有绝对的安全,只是相对来说,可以让我们避掉大多数坑,而随着区块链的发展,也会不断出现新的问题,需要我们不断提升自己的知识储备。小额资金,可以不完全遵照上面的方式来保存,但自己大仓位资金的保存,一定要慎重慎重再慎重,因为你的一次失误,可能导致你永远被区块链这条列车所甩开,永远无法追上。
END
上一篇:获利1500万成本仅数千元,套利者竟比黑客还赚钱,身份可疑?推荐阅读RedditNFT爆火,全球最大社区论坛成为Web3大规模应用前哨站过去几轮熊市是怎么牛回来的?这轮熊市的出路又在那里?小狐狸收集隐私暴露出Web3的"去中心化"并没有那么美好?加密凛冬,对于Web3来说或是最好的时候小狐狸收集隐私引热议,起底全球最大钱包的开发商
『声明:本文为作者独立观点,不代表白话区块链立场,本内容仅供广大加密爱好者科普学习和交流,不构成投资意见或建议,请理性看待,树立正确的理念,提高风险意识。文章版权和最终解释权归白话区块链所有。』
喜欢请点「在看」
2022年是充满惊喜的,不是吗?至少我没想到……一个排名前三的交易所犯下历史上最严重的欺诈行为之一最大的加密货币基金是一个大规模的过度杠杆化局最大的区块链之一归零并被国际刑警组织通缉但我们应该感到惊讶吗?虽然具体细节永远无法预测.
1900/1/1 0:00:00FTX?曾是最大的加密货币交易所之一,其总部位于一个拥有友好监管制度的加勒比海岛屿巴哈马,理论上来说超出了美国的管辖范围。而周二提起的诉讼表明,美国监管机构总能找到方法来掣肘那些海外加密业务.
1900/1/1 0:00:00监管框架提供了数字资产行业的运营指南,规定了数字资产的发行、托管和交易、投资服务等活动要遵守的要求.
1900/1/1 0:00:00自2016年以来,我每年都会对未来一年的区块链生态系统进行预测。2022年是加密货币领域最动荡的年份之一,一连串的去中心化和中心化实体垮台或处于奄奄一息的阶段,这感觉好比我们处于新生生态系统的最后阵痛中,在充满戏剧性的过程中优胜劣汰,
1900/1/1 0:00:00艺人都希望自己的声音能有人聆听。无论是Spotify还是TikTok——这些战略伙伴都拥有一个共同的目标:吸引更多的粉丝。谈到音乐,唱片公司是每一位负有雄心壮志的艺人想要倾力合作的战略伙伴.
1900/1/1 0:00:00DAO2.0特别是在加入Dash的治理机制和智能合约后,随着下一阶段的区块链协议,如Ethereum、EOS和Tezos的出现而诞生。Dash是比特币的一个分支,是第一个拥有自筹资金、自治协议的加密货币DAO.
1900/1/1 0:00:00