比特幣錢包、交易所又出事了？千萬級資金被盜，大佬也翻車

最近BN和OK的用户雙雙出現資產被盜問題，資產安全相關的問題，再次引起大家熱議，一些用户在消息出來的第一時間，就將Token提出交易平臺，畢竟，君子不立危牆之下。

這波行情的發展，可以明顯感覺到，行業大的機會，主要集中在鏈上，交易平臺內卷嚴重，隨着價值投資體系的崩塌，散户想要在交易平臺賺錢可以説是千難萬難，轉向鏈上的用户也在逐漸變多，而在鏈上，最重要的問題就是自己錢包的安全問題。

接下來，我們將從錢包相關知識、被盜案例以及保護私鑰等知識等幾個方面來全面瞭解如何保護區塊鏈資產安全。

 01 

錢包相關知識

在保證自己資產安全之前，需要先對業內一些關於錢包等基礎知識有一定了解，才能更好的理解如何保護自己的資產。接下來簡單介紹下幾個相關概念。

1.對稱加密與非對稱加密

在瞭解公（私）鑰之前，我們先簡單瞭解下密碼學中的對稱加密與非對稱加密。對稱加密，是指A通過某種算法，可以得到B，而反過來，B通過相同的算法也可以逆向解密出A，這里加密解密用的是同一種算法；而非對稱加密，則是A通過某種算法，可以得到B，但B無法通過相同的算法逆向解密出B，這里的加密解密需要用到不同的算法。

如圖，對稱加密與非對稱加密的區別在於圖中消息接收方公鑰與消息接收方私鑰是否為同一把鑰匙。

2.公（私）鑰，助記詞，地址

瞭解了對稱加密與非對稱加密，可以更好的理解一些錢包相關的基本概念。

密鑰對：在非對稱加密中，有一對密鑰對，分別為公鑰與私鑰，公鑰是公開的，私鑰是不公開的。

公鑰：用來給數據加密，用公鑰加密的數據只能使用私鑰解密。

私鑰：私鑰可以生成公鑰，用來解密公鑰加密的數據。

地址：與「公鑰」相對應，由於公鑰過長，於是有了「地址」 ，地址由公鑰生成。

助記詞：與「私鑰」相對應，因為私鑰是隨機生成的字符串，過長且難記，於是催生了一組人類可讀的單詞代替私鑰，用來幫助用户記住私鑰，一般是12個無規律的短語。（私鑰=助記詞）

電子簽名：某條信息（你給某人轉賬100個以太坊），這條信息需要你的私鑰簽名后，廣播到區塊鏈上。

簽名驗證：接收端可以通過你的公鑰驗證這個消息確實是通過你的私鑰簽名，那就是你發佈的，交易記錄上鍊，因此，誰掌握了私鑰，誰就掌握了該錢包。

簡單理解，公鑰（地址）相當於你的賬號，而私鑰（助記詞），則相當於你的賬號+密碼（私鑰可以生成公鑰）。

用銀行卡來類比，公鑰=銀行賬户，地址=銀行卡號，密碼=銀行卡密碼，私鑰=銀行卡號+銀行卡密碼，助記詞=私鑰=銀行卡號+銀行卡密碼，Keystore+密碼=私鑰，關於錢包基礎知識，可以查看白話之前的科普文章《想要安全的保管資產，先要知道錢包的這些知識》。

3.私鑰（助記詞）的保存你的Token並不是存在你的錢包APP中，而是存在區塊鏈網絡中私鑰對應的地址之中，只要你擁有私鑰，就可以通過私鑰來登錄所有的錢包（該錢包支持你有Token的這條鏈），錢包僅僅是作為賬户資金顯示的前端，並不保存你的私鑰。如果私鑰丟了，意味着你的資產也將丟失，無法通過錢包找回，首次註冊錢包時，錢包頁面一般也會提醒用户注意這點。這點和我們之前用到的QQ，微信完全不同，如果密碼丟失，還可以通過手機驗證，問題以及好友驗證可以找回，當然，這也是區塊鏈去中心化的魅力所在，你的資產完全屬於你自己。

4.錢包種類

根據私鑰是否觸網，可以將錢包分為熱錢包與冷錢包，如上圖。

熱錢包：客户端錢包、插件錢包、手機端APP。

使用方便，新手易操作，交易轉賬的效率比較高，安全性較差，容易被盜。

冷錢包：硬件錢包。

安全性高，適合存放大額資產，創建複雜，轉賬麻煩，硬件損壞或私鑰丟失都可能造成數字資產的丟失。

關於錢包更詳細的分類可以查看白話區塊鏈之前的科普文章《科普 | 數字資產錢包有哪些種類?》

通過以上，我們可以知道，私鑰即一切，而我們所有保護資產的措施，其實都是保護私鑰，保護私鑰，保護私鑰。（防止私鑰的丟失，被他人獲取）

 02 被盜案例

瞭解了相關的概念，我們再來看下，目前主要存在哪些丟失的案例，通過案例，我們可以更好的保護我們自己的錢包。

1.私鑰（助記詞）泄漏

2021年初，生財有術創始人亦仁，將比特幣私鑰保存在雲筆記中，導致八位數資產的BTC丟失。

22年11月，分佈式資本創始人沈波價值4200萬美元的數字資產被盜，被盜資產包括：38,233,180 枚 USDC、1607 枚 ETH、719,760 枚 USDT 以及 4.13 枚 BTC。據安全機構慢霧后續分析稱，被盜是因為助記詞泄漏所導致。

2.私鑰（助記詞）丟失

英國IT工程師James Howells在2013年弄丟電腦硬盤，里面存有8000枚比特幣，9年后，計劃花7430萬美金翻遍垃圾場來找回電腦硬盤。

4.隨意授權，應用出現漏洞

10 月 2 日，Token Pocket 旗下閃兑 DEX Transit Swap 官方表示遭遇黑客攻擊，資產損失超 1500 萬美元，提醒用户取消授權。

10 月 11 日，DeBank團隊開發的插件錢包Rabby稱其Swap合約存在漏洞，建議用户取消Rabby Swap授權，最終黑客獲利超19萬美元。

5.下載假的APP（帶病毒軟件）

一用户下載假的Binance app，轉賬時，轉入其他人地址，5個ETH的資產徹底丟失。

 03 

如何避免財產損失

1.私鑰的保存（核心：不易丟失，不易損壞，其他人無法接觸或接觸也無法使用）

錢包生成后及時備份，雙重備份，因為一旦丟失，將無法找回

助記詞保存在不聯網且不易丟失和損壞的介質上，比如抄在紙上，自己進行加密（增加或減少特定字符，方便記憶）；找一臺永不聯網手機的拍照存儲；有一些錢包提供商會出售助記詞相關的鐵板。

使用冷錢包（硬件錢包），選擇知名的冷錢包；應從官方渠道購買，不要通過第三方渠道購買（第三方渠道可能存在病毒）；設置較強的密碼，同時備份私鑰，防止硬件錢包丟失或損壞。

2.防止私鑰（助記詞）泄漏

• 不要複製粘貼私鑰，有些軟件可以讀取用户的剪切板

• 不要將私鑰保存在微信收藏，傳輸文件，百度雲，印象筆記等網絡平臺

• 絕不告訴任何人私鑰，記住，是任何人，一些騙子假冒錢包官方人騙取你的私鑰，不要相信，錢包方也沒有權力獲取用户私鑰

• 使用公共Wi-Fi時，不要複製粘貼私鑰

• 下載各種應用，應去官方渠道，所有應用商店有時也不可信（記住，是所有），存在虛假應用

• 錢包簽名時要謹慎，DeFi 協議和NFT交互重度用户，記得及時撤銷授權，防止應用出現漏洞后導致資產被盜

• 一旦發現錢包有一點資產泄漏，應第一時間捨棄錢包，不要抱任何僥倖心理

• 不使用免費的VPN

• 緊跟新聞，實時瞭解新的被盜信息

• 如果鏈上玩的比較多的用户，建議安裝 ScamSniffer 瀏覽器插件，它可以在你訪問釣魚網站的時候攔截並提示，當瀏覽假的官推回復時，也會出現提醒。

以上所有的措施，其實都是爲了保護你的私鑰不泄密，Not your key, not your money！

3.資產分散放置

可以將自身資金分散放置在錢包與交易平臺中，雖然FTX出事，導致中心化交易平臺信任缺失，但對於絕大多數人來説，資產放在幾個中心化頭部交易平臺比拿在自己手中相對要安全很多，便利性也會比錢包好一些，只要不是特別大的損失，幾個頭部平臺一般都能賠的起。

使用中心化交易平臺需要注意幾點：

• 開啟三重驗證（手機，郵箱，谷歌二次驗證）

• 開啟提Token白名單

• 從官方渠道下載App

• 轉賬時，確認地址是否正確

另外使用瀏覽器登錄交易平臺官網時，BN官方給的幾條安全建議：

• 隔離 — 單獨創建一個chrome用户登錄DAPP，不要安裝插件；

• 清除 — 涉及資金的APP，登錄了網頁記得及時退出；

• 無痕 — 無痕模式打開網頁，禁用任何插件；

• 隱私 — 資金操作單獨一臺電腦，或者蘋果手機，相比較安全係數會更高

• 權限 — 涉及到資金權限，建議設置成幾分鍾立刻登出。

 04 結語

通過上述相關知識，可以使新手用户對區塊鏈資產安全的相關的知識有個全面的認識，隨着區塊鏈的發展，鏈上交互的增加，使得錢包的使用也將逐漸變成一項重要基礎技能，各種措施，其實都沒有絕對的安全，只是相對來説，可以讓我們避掉大多數坑，而隨着區塊鏈的發展，也會不斷出現新的問題，需要我們不斷提升自己的知識儲備。

小額資金，可以不完全遵照上面的方式來保存，但自己大倉位資金的保存，一定要慎重慎重再慎重，因為你的一次失誤，可能導致你永遠被區塊鏈這條列車所甩開，永遠無法追上。