編按更新:美籍華裔 30 歲男子張天澤(Tianze Zhang)於 2022 年 3 月 16 日下午,在鄰近舊金山伯納高地(Bernal Heights)的居民區,持刀脅持其前老闆,得手包含泰達幣、比特幣、乙太幣等總價值約300萬美金的虛擬貨幣(約9000萬新台幣),分散在幾個不同的冷錢包後逃到台灣,經舊金山警方(SFPD, San Francisco Police Department)派員來台並通報台灣刑事局,順利於上月底逮捕後,起出 Ledger 牌的冷錢包,並由舊金山警方押回歸案。
究竟虛擬貨幣放在沒有連網的冷錢包是不是比較安全?
為什麼投資加密貨幣的風險很高?認為風險高的第一印象是在於幣的價格劇烈波動,但其實不只是價格波動很大而已。大多數情況是許多初來乍到的新手,沒有老司機教你正確的觀念和操作練習,自己不小心就將自己的幣給搞丟了。不管是被駭客騙走,還是操作失誤打錯地址而鎖死在區塊鏈上,這都是常常發生的事。
在去中心化的世界裡,雖然沒有人有權利可以凍結你的資產,但是你自己如果想要,也沒有人擋得住你。所以我希望藉由這一篇,不只給新手正確的觀念,更提供手把手操作養成正確習慣。這裡綜合了我4年多以來的個人經驗和心得,以及在業界管理過上億數位資產而至今尚未出事的真實習慣,分享給大家,希望有幫助。
正確的觀念與認知是最重要的
一切行為與習慣由觀念而生,治本方式還是要好好學習。
開始之前,我先定義出簡單的三個標籤,#Easy、#Hard、#UltraHard,標籤指的是指一個行為的風險程度。
#Easy
我粗估85%不知道狀況的新手會做的事情,或是少做了哪些事,都會讓上了這個標籤的用戶暴露在極高的風險當中,損失自己的資產將會是早晚的事情。
#Hard
如果做到這個等級,就超越了85%的人了,自己不容易被盜或是損失資產之外,這應該是每個人都應該養成的觀念和習慣。
#UltraHard
要管理金額較大的數位資產時,就需要做到這種程度,雖然非常安全但也伴隨著極大的操作成本,各位讀者可以參考即可,並從中了解為何如此做會是更安全的。
重要的觀念
另外幾個重要的觀念是加密貨幣錢包通常放的不是錢,而是存放你私鑰的管理器,而私鑰是一個權限非常大的東西,私鑰的生成和保存最好都不要與網路有所接觸。通常錢包生成時給你的註記詞(Menonics)就是私鑰,千萬不要存在連線的裝置當中,最好是抄在離線的紙上。
大部分的裝置都是可疑的,包括自己的裝置也是,隨時都有可能被塞後門,更不要相信別人的手機或是電腦,以及公共場所的電腦,例如圖書館的電腦或機場與高鐵站的免費充電USB插槽。
自己的電腦與手機的剪貼簿也不是完全安全的,盡量不要直接複製自己的私鑰貼上到別處,因為複製時駭客可能已經知道你的私鑰內容了。
再來是分散風險,即數位資產的配置不要集中存放,例如全部放在某一個交易所或是某一個錢包。
還有若沒有很深的專業知識,請選擇主流或是公開網路上認證安全的工具,或是我文章中提到的工具和錢包。
工具的選擇
廣義錢包的種類很多,但大致上可以分成兩種,冷錢包與熱錢包,冷與熱的差別定義大多是以平時有沒有連網,或是有沒有保持離線環境的差別。而冷錢包的特點就是相對安全但使用較難,熱錢包則是相對風險高一些但使用方便,上圖是我大致依照易用度與安全性兩個象限去分群的分布圖。
冷錢包
左上角的Trezor、Ledger和CoolBitX是常見的冷錢包,Trezor算是第一老牌的元老冷錢包,算是指標性第一的冷錢包,也是我個人愛用款,我個人就有三個以上的 Trezor Model one和Trezor Model T。
Ledger算是老二的領導性品牌,安全性也是足夠,各自能支援的幣種大多重疊,也在我的推薦名單裡面。而CoolBitX則是我們台灣本土的明星團隊所製作的卡片式冷錢包,也有專屬的手機App可以做無線連接簽章使用,安全度與前兩名相當,但增加了一些易用度。
冷錢包通常都要接線,目的就是要離線簽章,私鑰會在離線的裝置中簽完之後才把交易傳送連網的電腦,確保私鑰不會直接曝光。並且會自己做一個螢幕,而且是原始簡陋的那種,這部分為了要確保無法被駭客遠端竄改的可能,用的元件用途越單一越簡單,越沒辦法動手腳,所見即所得。用到冷錢包的話,標籤等級已經接近#UltraHard了。
熱錢包
稍微中間偏右的五個熱錢包是我本人親自使用過覺得不錯的,從最上面順時針順序分別是BRD wallet、Coinbase wallet、Huobi wallet、Trust wallet、imToken,它們都是手機上的App,一開始生成錢包時都會隨機產生新的私鑰,然後讓用戶去備份保存,並隨時都能在不同的手機上復原,但是私鑰是以怎樣的形式存在手機裡就比較難驗證了,但是這五家都算是幣圈裡面的領導公司。
每個錢包的優缺點就不多作介紹,有相同的特徵是它們的使用者體驗對我這種重度使用者來說,我覺得都是做得不錯的,以及都有支援多條主鏈的幣種,而且支援管理數個錢包,這對於我常常有不同業務以及用途的資金管理上非常方便。
下面的三個錢包,由左至右是Metamask、MyCrypto、MyEtherWallet,這都是屬於電腦的網頁瀏覽器錢包,私鑰儲存在瀏覽器之上,雖然也是有基本的加密保護,但我認為風險是比較高的,很容易就被各種社交工程或是遠端釣魚攻破。
私鑰與密碼管理
再來就是講到私鑰和密碼的管理,最重要的一段字串該如何保存,為什麼會這麼重要呢?一般新手可能不懂它的重要性,它就像你的靈魂一樣,要是被人控制住了,基本上就是任人宰割,被你以外的人知道私鑰的話,他隨時都能將你的錢移走,而且再也找不回來。
私鑰的生成與保存
第一個最基本該避免的,就是把私鑰截圖或者是複製紀錄在電腦手機的記事本、Evernote、Dropbox、Google Drive、Email 等等線上帳號。
從前就有一位人稱小黑的加密貨幣投資顧問,因為放在Evernote損失了上百萬美金。放在線上儲存的危險之處就是當你的線上帳密被破解,駭客一定是找經濟價值最高的資料,第一個當然就是尋找有沒有像私鑰的字串,一找到就直接自動簽章把錢移走,完全來不及擋。要是你存在上述類似的雲端儲存空間,你就會被標上#Easy的標籤。
私鑰如果不儲存在雲端那該放在哪呢?最好的方式就是記在離線材質上,最常見就是直接寫在紙條,並妥善保管,放入保險箱或者是銀行的託管金庫裡面。但如果是紙質的材料的話,發生火災或是蟲蛀也是有點風險的,所以也有人在做石板、鋼片和打印工具組來記錄私鑰,不止防水防火也抗塗改,安全性直衝 #UltraHard。
密碼、PIN code的生成和保存
第二個是密碼和PIN code的生成,有別於私鑰是隨機亂數產生的無法自己定義,但是密碼可以。設定密碼時盡量不要使用跟個資有關的內容,一般人最常見的例子就是使用生日、電話、學號、身分證等等直接當作密碼。 要知道駭客取得上述個資的難度是很低的,直接用這些資訊暴力搜尋去組合出你的密碼是幾秒內的事情,當你用這些去當密碼,#Easy的標籤主就是你。
那到底該如何設定自己的密碼呢?我自己是有兩種作法,第一種稍微難一些,請使用只有自己知道的或者跟自己有關的事件提示來做英數組合並記在腦子裡,像是你國小幾年級哪個學期的期末考分數、某個親戚的名字筆畫數、民國幾年幾月的存款數字是多少,諸如此類的私人事件,大幅增加駭客個案猜測你密碼的難度,基本上就到達了#Hard的等級了。第二種則是直接使用1password或是LastPass這種密碼管理工具幫助生成不可預測的隨機亂數密碼,安全性也是挺高的,一樣也是#Hard。
好的習慣養成
好的習慣也能讓你平時保持#UltraHard的境界,並且大幅降低損失資產的機率。
平時數位資產的分配
最簡單的就是平時數位資產的分配擺置比例,一樣是常見的二八法則,把大多數的資產放在相對安全的冷錢包,少數供平時使用的放在熱錢包,保持一定的彈性。至於放在交易所的錢是要視為可以賠掉的,如果沒有要做交易,最好都移至自己掌有私鑰的錢包之中,自己的錢才不會被別人控制。
發送前地址看頭看尾
再來是發送數位資產時簡單卻也重要的一個習慣,很多人都是複製貼上便送出,沒有額外做任何固定程序,導致將自己的錢送給了駭客事後才發現。那就是發送前對目的地的地址看頭看尾,看看前四碼和後四碼,是否與你正在交易對象或是提領地址的內容一樣,通常前後都符合的話,基本上就代表一模一樣了。
因為駭客很難找到前後四碼都一樣,但中間不一樣的地址,那要耗費相當大的算力,而且短時間內不可能的,這是這個方法有用的背後原因。如果覺得不放心,那就看前六碼後六碼,要偽造的難度又再加一個等級,但其實實務上不需要。
先傳小筆,再傳大筆
這個也是值得養成的習慣,可以避免掉非常多的麻煩。發送大筆金額時,假設10 BTC,建議先傳0.01 BTC測試,確認有收到無誤之後,再送9.99 BTC,交易1m USDT 時先傳1 USDT,再傳999,999 USDT諸如此類。幣的交易在這世界還非常新,很多錯綜複雜的情況不是每位都能理解的。
這種方式可以避免的損失有很多種,一種是對方是詐騙,可能收到款項之後就直接消失,這時如果對方再無回應,你損失的也只是一小部分,但辨識出對方的詭計。
也有可能是一部分的地址或是你使用的交易所不支援智能合約,如果直接打入會造成無法計算入金,這種情況你也能提早發現,避免掉大額資金被卡住的情況。再者是你不小心打錯地址了,但是那種狀況是要打了之後才會發現打錯,趁早發現並訂正,此時大額資金還在。
以上都是好幾年的實務經驗的結晶,簡單好學習的動作可以阻止很多冤枉路,在此無法解釋的太詳細,只能建議大家養成這種習慣。
TXID紀錄與備註
做完每筆交易時,最好都有留簡單的紀錄,除非你的交易是需要高度隱私的。集中紀錄在自己的試算表可以,留在通訊軟體裡面供日後搜尋也可以。以下是範例:
1,300,000 USDT透過xxx投yyy項目
https://etherscan.io/tx/0x8b555cb67737e99fb58da2433
77297333ea4488b2b7df096f7075367b2acc900
此舉的目的是讓日後可以使用Cmd/Ctrl+F搜尋比對,不管是透過金額數字、幣種,或是用途的關鍵字(xxx, yyy)來找尋都非常方便。在自己的錢包發現沒印象的交易時,也可以確認是不是自己發出的,因為傳多了一定會忘,確認自己沒有被盜也是一件很重要的事。
定期更換錢包
最後一個也是很簡單的動作,建議大家定期就更換一個錢包,更甚者可以每筆交易都使用不同的地址來收發,Trezor和BRD wallet就有這個功能,如此可以增加隱私性與安全性。因為長期使用同一個地址的話,容易被掌握金流的pattern,增加人家推測和鎖定你的機率。所以每過幾個月或是幾百筆交易後,可以考慮創建新錢包,把舊有的全部換過去。
結語
此篇文涵蓋的要點,不管是觀念、工具的選擇以及良好的習慣,都是我進入區塊鏈的世界以來,用血淚和繳出的學費換得的。最重要的還是對自己操作的所有幣有所了解,有了正確的觀念加上實務經驗衍生出的習慣,才是治本的方式。
(本文由Wilson Huang授權轉載自其Medium)
責任編輯:陳建鈞
《數位時代》長期徵稿,針對時事科技議題,需要您的獨特觀點,歡迎各類專業人士來稿一起交流。投稿請寄edit@bnext.com.tw,文長至少800字,請附上個人100字內簡介,文章若採用將經編輯潤飾,如需改標會與您討論。
(觀點文章呈現多元意見,不代表《數位時代》的立場
