币放哪里才安全?交易所vs加密货币钱包安全性比较
加密货币投资第一优先事项:安全
如果赚到钱但领不出来,或随时有可能本金被盗走,这么危险的投资应该没有人愿意做。加密货币领域还在相对早期阶段,许多机制还不是那么成熟完整,虽然有更可观的投资报酬,风险确实也比较高,但投资就是想要赚钱,赚到的钱要能带走,本金要能保住,这是最重要的两件事。
也因此许多初入币圈的人会问:币要放在哪里才安全?交易所跟钱包哪个比较好?
这篇文会介绍交易所与钱包现有的安全机制,以及各自适合的使用场景与习惯。
交易所七安全机制- 简单保护自身资产
针对存放在交易所里头的加密资产,以及我们的交易所帐户安全,主流交易所通常有这些安全机制:
2FA (两阶段验证) 登入-交易所使用上跟网络银行有点像,要注册帐号,使用前要登入。2FA 是在帐号密码之外,还需要其他验证码才能登入,例如email 、手机简讯收验证码,或使用第三方验证工具例如google authenticator 。
新IP 登入警告-只要有新IP 尝试登入就会发email 通知,可以即时知道是否有其他人在偷偷登入你的帐号。
登入设备管理-查看登入的装置,也是用来检查是否有人偷偷登入帐号。
另外设提币密码(不同于登入密码)-提币的时候需要另外输入一组密码,就算登入密码外泄,只要提币密码设定不同,别人登入后依然无法提币。
提币白名单地址限制-只能提币到设定清单中的地址,新增地址通常会限制一段时间后(例如一天) 才能提币,就算密码都外泄,对方也无法立刻把币提走。
提币额度限制-设定一日内提币上限,就算一切失守,对方也无法在短时间内把所有资产提光。
实体金钥设定-实体的安全金钥装置,例如Yubikey (需自行购买),长的像USB,登入时需要在设备上也插入金钥装置验证才能登入,没有这个实体金钥验证就登不进帐号。
一间交易所不一定会同时有上述七种机制,但通常至少会有其中四五种以上。这些机制可以分类成三部分:
登入相关-增加登入验证步骤,确保是本人登入。
提币相关-增加提币限制,额外密码、额度或白名单地址限制。
异常警告-帐户有异常活动时立刻发通知。
安全机制通常预设关闭,必须由使用者自行开启设定,一旦开启其中多数安全设定,资产被盗走的难度会大幅提高。
一旦设定了2FA 两阶段验证,对方拿到帐号密码也没用,还得骇入其他验证装置,例如手机或email 信箱;一旦设定了提币限制,就算成功登入也无法提币,就算设定白名单地址也得等时间限制后才能提币,这时帐号主人应该已经收到异常警告,可以赶紧改密码或先把币提到其他地方。
相关安全设定都开启之后,假设真的点到钓鱼网站,在钓鱼网站输入帐号密码,也输入2FA 验证码,对方也很难盗走什么东西,最大被盗的可能性也许是对方拿到你的手机,而手机App 设定使用指纹或脸孔辨识登入,对方又刚好就在身边可以直接拿你的手指通过验证,这种情况才能绕过重重安全设定成功盗取交易所内的加密资产。
交易所帐户没有私钥,不怕遗失私钥,忘记帐号密码也没关系,只要能够证明是本人,就可以透过客服来协助重新设定帐号密码。
总结来说,如果交易所的安全设定都有开启,交易所里的资产其实很难被盗走,大多数被盗都是一开始就注册到假的网站,或没有设定2FA。交易所也不需要担心搞丢私钥,最大的风险在于交易所可能挪用客户资产,或交易所自己被骇,可能造成资不抵债,甚至可能卷款跑路。
交易所被骇的事件在近年来已经有所减少,但挪用客户资产的事件依然时有所闻,例如2022 年的FTX,2023 年的BKEX,尽量只使用头部交易所,排名前面的不一定绝对安全,但通常会比较安全;尽量使用有提供资产储备证明(POR) 的交易所,也尽量不要把所有资产放在一间交易所里,不要把所有鸡蛋放同一个篮子里。
加密货币钱包安全靠自己,私钥请妥善保存
当前的加密货币钱包其实没有太多安全机制,主要得靠使用者本身。
加密货币钱包不需要登入,主要是私钥,一旦拥有私钥就可以汇入该钱包掌控其中资产,只要私钥或助记词外流,对方就可以提走钱包中的币,就算立刻发现也无法阻止,当下能做的就是比手速,比骇客更快把币转走。
名词解释:私钥是一串乱码,助记词是转换成比较容易记忆的12 - 14 个英文单字,再透过数学算法计算出私钥,功能上差不多,一旦外流就等于失去了这个钱包的控制权。
只要是正规的加密货币钱包,都是非托管钱包,厂商只会更新软体,不会帮忙管理你的钱包和资产,私钥只有使用者自己可以纪录和备份,一旦忘记就没了,客服也无法协助恢复。
私钥有没有外流?目前无从得知。
也许已经外流了,只是因为里头钱还不多,对方还不想动手,钱包主人无法知道有没有外流;交易所有异常登入警告,加密货币钱包没有。一般的加密货币钱包也无法设定提币白名单地址限制,额度限制等也不行。
加密货币钱包安全机制大概有这几项:
多重签名机制-发起交易需要好几个人一起授权签名,不怕单一私钥外泄。但这对一般人来说很难使用,资产很多的钱包才会设定。
每个钱包地址都单独授权-一份助记词可以创立数十个钱包地址,在同一个钱包工具中就可以操作。每个钱包地址对应一组私钥,每次操作授权合约也只限定在这个地址上,就算出错也只有这个地址有风险,其他地址都没事(除非外流的是助记词),如果针对每个网站都用不同的钱包地址,可以很好的做到风险隔离。
某些加密货币钱包/ 浏览器扩充功能有智能合约安全扫描-加密货币钱包操作时需要和网站连线,并授权智能合约操作,但如果连线到钓鱼网站、授权给诈骗合约,资产就会有风险。有些加密货币钱包有提供相关安全扫描的功能,授权前会先扫描安全性并给予警告。
或安装某些浏览器扩充功能,有的可以在交易前先扫描智能合约,预览交易内容,有的则可以检视当下网站是否为安全网站。
例如DeFiLlama的扩充功能提供白名单网站检视,检查目前连线的网站是否在它们的安全清单中。
而Fire的扩充功能则可以先预览交易,这被称为合约可读性工具,在实际交易前先预览智能合约内容,并告知使用者这笔交易具体会发生什么事
硬件钱包操作时需要插入实体钱包(类似交易所的实体金钥)-加密货币钱包还能分成冷钱包跟热钱包,连网的是热钱包,不连网的则是冷钱包。冷钱包通常以硬件钱包的方式呈现,私钥只存在硬件钱包里面,硬件钱包本身不能连网络,使用时须将硬件钱包插上电脑才能签名授权,没有拿到这个实体钱包就不能用。除非自己把私钥抄给别人,不然硬件钱包几乎没有私钥外流风险,硬件钱包中的私钥隔离存放,就算使用的电脑中毒,硬件钱包中的私钥也不会外泄。
AA 智能合约钱包将可以设定白名单地址和额度限制-目前加密货币钱包以EOA (外部拥有帐户) 钱包为主,需要私钥,能客制化设定的功能也不多,在ERC - 4337 协议升级之后,出现了AA (抽象帐户) 钱包,将不再需要私钥,还可以设定例如白名单和提币限额,并支援社交恢复以及多重签名机制。在未来,AA 钱包可以拥有跟交易所几乎一样的安全机制。
总结来说,现阶段的加密货币钱包还没有太多好用的安全机制,多签对一般人来说不实际;每次连不同网站使用都创新的钱包地址,管理起来也很麻烦;安全扫描并不是每个钱包都有这功能,现阶段大多还是依靠第三方工具来检查;至于硬件钱包还得另外花钱购买以及学习使用,通常也是有一定资产规模的人才会选择硬件钱包。
现阶段只要想提高加密货币钱包安全性,几乎都得伴随着不便和成本提高。
加密货币钱包的安全主要还是靠使用者自己,只要确保私钥不外流,以及不要授权给有风险的智能合约,加密货币钱包里的资产就很安全。
私钥一外流就再也不安全了,如果觉得有外流疑虑,务必立刻创建新的钱包并将币转过去,不要继续使用有疑虑的钱包。外流之外还有个风险是忘记私钥,如果忘记私钥,也没有做好备份或是备份遗失,那里头的资产就从此与你无关,所以也务必做好助记词与私钥的备份。
Not Your Keys, Not Your Coins
看起来交易所比加密货币钱包安全很多,为什么有那么多人使用加密货币钱包?
就是因为标题这句话:
Not Your Keys, Not Your Coins
不是你的私钥,就不是你的币
交易所被骇,我们的资产就有损失风险;交易所挪用,我们有风险;交易所管理不当,我们依然有风险。风险掌握在交易所手上,自身风险掌握在他人手上,使用交易所的过程中等于要信任交易所这个中心机构,这些都违反区块链加密货币去中心化的特性。
在去中心化的世界里,我们不需要信任它人,只需要信任程式(合约),也不把自己的安全依赖在别人的行为上,风险自己掌握自己承担。
使用交易所> 如果都做好安全设定,剩下的风险是交易所,安全要依赖交易所
使用加密货币钱包> 不需要担心资产被挪用,不需要担心交易所乱搞,安全靠自己
交易所vs. 加密货币钱包安全性比较表
交易所 | 加密货币钱包 | |
密码或私钥外泄 | 有设定2FA 就没事,除非全部一起被骇 | 完了 |
忘记密码或私钥 | 请客服协助登入 | 完了 |
交易所挪用资产或跑路 | 完了 | 没有这风险 |
有人偷偷登入帐号/ 汇入钱包 | 会发异常通知 | 不会知道 |
不小心连了钓鱼网站 | 安全设定都有做基本上没事,除非过一天还没发现,赶紧改密码即可 | 如果已经输入私钥或给出授权,完了,跟骇客拼手速 |
小结- 没有最安全的选择,只有最适合你的安全方式
如果是个去中心化信仰者,完全认同区块链去中心化的特性,那当然得使用加密货币钱包,最符合去中心化的特点。
如果不是去中心化信仰者,只想安全操作加密货币,要怎么判断自己更适合交易所或加密货币钱包?
你的风险比较高?or 交易所的风险比较高?
如果本身资安观念很好,工作跟玩币的设备都分开,每次连新网站都会检查,知道怎么安全备份私钥助记词,那么使用加密货币钱包确实会比交易所更安全,毕竟不需要承担交易所本身的风险。
如果本身资安不是那么熟悉,常常贪图快速方便就忽略细节,也常搞丢东西,那么使用交易所并开启所有安全设定,会比使用加密货币钱包要安全很多。
简易判别法:
你被骇的风险比较高,你忘记私钥的风险比较高> 使用交易所
你很安全,交易所乱搞的风险比较高> 使用加密货币钱包
但这是现阶段,ERC-4337 今年才通过,再给它一点发展时间,未来的AA 钱包有机会做到结合两者优点,在去中心化的情况下兼具所有交易所能提供的安全性。
本站提醒:投资有风险,入市须谨慎,本内容不作为投资理财建议。