個人簡介和開篇
我是 Blue,多年來一直關注區塊鏈行業,主要研究區塊鏈技術及相關漏洞等,當然也對此行業大起大落的幣價感到驚奇。
十多年安全行業生涯,接觸過各式各樣的黑客攻擊和網絡詐騙等,對在網絡上如何保管自己的幾塊錢有一定的心得體會。我認為能夠一直安全地行走在互聯網上,除了自我安全意識良好外,主要還是因為我們安全行業常提的一句話“你沒有被黑,是因為你還沒有被黑的價值”,沒有資產就是保障自己資產最最安全的方式。當然對你們資產豐厚的人來說,保障的方式可以轉換成:保持低調。
數字資產歸類
在區塊鏈的圈子裡待得足夠久,就會見到玲瑯滿目的項目和眼花繚亂的技術。為了能夠保持對不同鏈的技術熱情,持有相關項目的幣會是一個不錯的方式,所以業餘時間也陸續購買了一些幣種,都是零花錢的程度以應對技術測試之需,相關分類有:
- 主流:有 BTC、ETH、EOS 等,大家聽得最多,技術上及社區形態很完備,這些主流幣各家錢包或交易所也都是支持得最好的;
- 小幣種:另外還有一些感興趣的小幣種,如匿名幣 Beam、Grin 等,基本上各條鏈都持有一些,數量和沒有持有也差不多,純愛好研究;
- 新興幣種:即一些還沒有發布主網或剛剛發布主網的項目,實際大多掌握在代投手裡,或者項目方在以太坊上提前發布的代幣。
數字資產放在哪裡
資產總額雖小但分類太多,亂七八糟的,秉著萬事小心的原則,能放在自己手裡的便放在自己手裡,所以大多放在去中心化錢包中,當然主要是 imToken,搭配硬件錢包使用更好。其它那些錢包不支持的,如小幣種和新興幣種,需要放在各家項目自己的或指定的平台上,如果交易所支持了,會第一時間轉到交易所裡。
如何選擇交易所
關於交易所的選擇,品牌是很重要的選擇標準,必須要大型知名,這樣家大業大的,交易所自身“跑路”的可能性小,被黑客攻擊出問題了也能有一定的賠付能力;當然知名交易所在安全上的投入也會更多更專業,安全雖然大家都說放在第一位,但歸根結底還是要賺錢了才會有投入。
另一個對我個人來說的選擇標準是能否及時出手,兌換成現實世界中可真實流通的幣種,以方便日常生活;還有關於新興項目,在主網上線時需要做映射等麻煩的操作,而這些交易所都會代辦,也算省心省力。以當前大多數用戶的安全意識之低,選擇知名交易所來存儲資產不失為一個好辦法。
如何選擇錢包
錢包目前我只會選擇去中心化的錢包,畢竟中心化錢包和中心化交易所很難區分開了,實質上都差不多。
大家都說區塊鍊是在解決信任問題,代碼即法律,代碼可以決定一切,但在你進入這個不需要信任的區塊鏈世界之前,還是要解決選擇哪一條路的問題,這條路可以簡化為區塊鏈錢包;“信任是一種滑稽的好感,我求之,卻不得之”,很難說你信任誰或者誰信任你,選擇錢包也是如此。
個人感觸很多時候不是因為信任一款錢包而選擇將資產存放在裡面,而是用上了並且一用就很久,慢慢地才有了安全感,正所謂“情不知所起,一往而深”。
我在沒有加入 imToken 前就一直使用 imToken,當時是 1.0 版本,垂直於以太坊功能簡單卻出奇的好用,可謂是一個時代的典範,至今還有一些圈裡的朋友過來諮詢錢包問題時,發來的截圖還是 imToken 1.0 版本。雖然簡單但能看出在安全上的許多努力,像轉賬時針對惡意黑客、詐騙地址的封禁,還有大額資產的冷錢包方案,都是極其優秀的安全實踐方式。
基於對 imToken 錢包的認可,我在18 年初有機會的情況下選擇加入 imToken 團隊,自此深入跟進並負責錢包安全,尤其是後面的 imToken 2.0 版本,安全貫穿始終,代碼安全審計、用戶風控系統、漏洞賞金計劃、第三方安全公司合作等都在有條不紊地進行著。
因為了解所以使用,因為使用所以信任,因為信任所以選擇,安全放心,至此不變。
(imToken 1.0)
(imToken 2.0,官网截图,资产和本人无关)
如何保管錢包備份
使用去中心化錢包,私鑰即一切,自己是可以百分百掌握資產了,但手機上的錢包 App 刪除了或者手機出問題了,如果沒有備份,那可以說資產百分百丟失了。
所以使用錢包很重要的一部分是如何安全地備份,可以是直接導出私鑰,也可以使用助記詞;推薦以助記詞的形式來備份錢包,畢竟私鑰太長容易抄錯,使用紙筆抄下助記詞後安全放在只有自己知道的地方。
日常一直在處理用戶丟盜幣事件,見慣了太多因為錢包備份不安全而丟幣的事件,如:將私鑰/助記詞寫在雲筆記裡導致被盜、微信收藏私鑰/助記詞被盜、郵件傳輸私鑰/助記詞被盜等等,基本大都是將錢包備份上傳到網絡上被盜的。
另外再次說一下“保持低調”的重要性,我們也接觸過很多被親朋好友甚至配偶盜幣的情況,黑客大多時候是在“背鍋”,千萬不要拿金錢來考驗人性,沒必要。
硬件錢包
說到安全的資產保管,硬件錢包是不得不提的,我認為它是目前最佳的資產保管及使用方式。
聊硬件可以先從交易所說起,因為被盜事件頻發,交易所們慢慢形成了統一的安全標准或者說底線:即用 KMS(Key Management Service,密鑰管理服務)系統來管理自己和用戶的私鑰,而這裡面的安全核心是 HSM(Hardware Security Module,硬件安全模塊)。
HSM 用硬件加密芯片來保證私鑰永不離開“黑盒”,通過 KMS 系統來對外提供接口支持轉賬等操作,程序可能被黑,但私鑰始終是可信的。交易所使用的這套硬件安全方案,下放到個人用戶身上,便是硬件錢包。
所以從交易所到個人用戶這條發展“歷史”上來看,加密芯片是核心,硬件錢包是否有加密芯片和 KMS 是否有 HSM 支撐一樣重要,沒有加密芯片的硬件錢包只是有著一種不同於手機載體的軟件而已。另外我們經常談的硬件安全上還有供應鏈攻擊,從生產到運輸、固件更新等,都有可能破壞硬件的安全性,如被嵌入惡意程序等。
目前我在使用的是 imKey 硬件錢包,安全團隊從頭到尾見證了它的立項及最後的產出過程,甚至於進駐工廠驗收質量,滿足了我個人在硬件錢包上的安全選擇要求:
- 加密芯片,軍工級芯片 CC EAL6 +,等級非常高;
- 安全完善的固件管理及升級的校驗機制;
- 知名硬件廠商(銀行U盾等生產商)代工,並且出廠直發順豐,保障供應鏈安全;
- 還有硬件安全團隊的嚴格測試,及各家的安全評測等。
話不多說,上圖為敬:
結束語
最後總結一下,作為一個安全從業者,我的資產保管方式:
- 錢包:imToken + imKey;
- 交易所:排名前三;
- 備份:助記詞抄寫在紙上藏起來;
- “熱愛學習並視金錢為糞土”,或保持低調。