買以太坊 買以太坊
Ctrl+D 買以太坊
ads
首頁 > ADA > Info

加密貨幣:加密貨幣黑暗森林生存技巧:錢包安全策略及風險層級管理_PAS

Author:

Time:1900/1/1 0:00:00

作者:darkforest

風險分級,資產隔離,偶爾的一次資產被盜并不可怕,可怕的是你的所有資產被一鍋端了。

「加密貨幣黑暗森林,曾是我無盡的夢魘, 但我在其中學習,摸索,破解安全感的鎖鏈。 采用加密技術,制定安全陣線, 縱使烏云密布,亦可自我防范。

無數次的攻防演練,在大腦中上演, 知曉自己何時可能遭受深黑的侵犯。 盡管挑戰重重,依然勇往直前, 因為我知道,星空終在眼前。」

在加密貨幣這個世界里,最悲慘的事情就是一息之間發現自己的資產被盜,此前辛辛苦苦付出的無數個日夜突然化為了烏有。曾經的我也經常在看到別人身上發生類似事件后感到非常后怕,深刻懷疑自己有沒有資產被盜風險,會不會睡一覺醒來發現我的比特幣、以太坊全沒了。

在很長一段時間里,這幾乎成為了我的夢魘。而這幾年通過在加密貨幣這個黑暗森林中不斷地學習,我慢慢的有了對抗這種不安全感的力量,采用了學習到的加密技術并根據自己的實際情況制定適合自己的錢包私鑰安全管理策略并將不同的資產分級管理。在大腦中演練了無數次的攻防戰爭,知道自己在什么情況下才有可能遭受攻擊,并損失多大的資產,發生這種情況的概率又有多大。明白了這些,我的心算是終于可以放到肚子里了,靜靜的看著監控賬戶里的幣子,享受區塊鏈世界給我帶來的福利。

我的策略不一定是最安全的,而是一個持續改進和不斷學習的過程,一家之言,歡迎有更好風險管理方式的小伙伴與我分享經驗。在這里我先隆重推薦一下慢霧創始人 COS 余弦(@evilcos)的區塊鏈暗黑森林自救手冊,非常系統的介紹了有關加密貨幣安全的非常詳盡的知識,這本手冊可謂是「區塊鏈安全寶典」,每個加密貨幣參與者都應該認真學習。

單刀直入,我所使用的硬件條件:

蘋果筆記本 MACBOOK PRO + Trezor 或其他種類硬件錢包

盡可能不要使用 windows 系統電腦,雖然蘋果系統也不能保證不受電腦病攻擊,但數量和概率上要少的多。

加下來是我的冷、熱錢包風險管理分層結構:

Prometheum:已經制定了將加密貨幣交易引入受監管市場的藍圖:金色財經報道,Prometheum經紀公司現在聲稱它有一個藍圖,可以將加密貨幣交易帶入更大的監管市場。Prometheum的計劃將涉及使用美國監管機構50年前制定的一項豁免,以允許受到某些限制的股票交易。該豁免可以每天在股票市場上使用,以出售大量股票。規則144是一項豁免,允許在滿足多項條件的情況下公開轉售受限制或控制證券。這包括持有證券的時間、出售證券的方式以及隨時可以出售的金額。它尚未在加密行業中使用。

目前,加密貨幣交易所在交易不被視為證券的加密貨幣時通常使用州規則來規避聯邦要求。如果數字資產是證券,則必須遵守注冊和豁免要求。Prometheum是一家沒有加密貨幣交易部門的初創公司,它相信自己有辦法為受監管的交易所和成熟的經??紀公司提供加密資產的流動性。[2023/6/29 22:07:16]

1.擼空投最外層(google 賬號 1 或電腦 1)

作為安全級別最低的一些熱錢包,他們存在的目的是交互各種潛在的空投項目,因為需要裝各種各樣的 chrome 錢包插件,或者是學習類,翻譯類,AI 類等,明顯其中有些插件我無法保證其安全性,所以我專門新建了一個不太常用的 google 賬號,將這些插件都安裝在這里。因為我擼空投的錢包沒什么資金,純屬是為了體驗其他錢包或者是 Layer2 交互,即使被盜也不會影響到整體資金安全。對于科學家級別的選手應該有另一套更為完善的風險管理方式,本文不做討論。

此外如果你還有娛樂、游戲的需求,最好的方式是在另一臺電腦中進行,盡量避免游戲與錢包在同一臺電腦中交互混用。

2.交易最外層(google 賬號 2 或電腦 2)

這一層不同于擼空投最外層,是作為正經 defi 交易的幾個熱錢包,我自己使用的是 metamask chrome 瀏覽器插件,而這個 google 賬號下,除了小狐貍(metamask)我就只有 1password 這個必須要用到的密碼管理插件了,當然你更可以將其他所有插件一律清除掉,避免一些惡意插件或是漏洞對錢包造成攻擊。因此這個賬號下的 chrome 瀏覽器非常清爽,只用于錢包操作用。

動態 | Bithumb通過加密貨幣籌資支持韓國白血病兒童基金會:據韓國中央日報9月4日消息,加密交易所Bithumb通過加密貨幣籌資支持韓國白血病兒童基金會,并捐贈未使用的家庭用品。此外,Bithumb還舉辦慈善活動,向能源匱乏的國家捐贈太陽能燈。[2018/9/4]

資產量級 %,用于各種 defi 操作,簽名授權,NFT 交易等等,把你認為夠能承受損失的錢放在這幾個交易最外層熱錢包中。對于穩定幣的無限授權,定期去revoke.cash進行檢視并取消。最好的操作習慣是永遠不要給無限授權,用多少資金就授權多少,除非是特別信任的 defi 藍籌項目。

一般來說,這幾個熱錢包我也會有風險等級的排序,你可以有最無懼風險的土狗型錢包(當然我并沒有),有做精品空投賬號的錢包(交互最廣泛的 DEFI 項目),和只交互大型藍籌 DEFI 的錢包,如我個人比較信任的 curve, convex, uniswap, liquity, lido 等。但不管是什么項目,謹防釣魚網站,我之前遇到過一個 rocketpool 的釣魚網站,一模一樣,可是一連接錢包就自動讓你簽名交易,再仔細查看交易內容,發現是把你的全部 ETH 轉走。所以每簽名一筆交易都務必要看清楚交易金額,目標地址等內容。

具體需要注意的類似細節還有很多,請自行學習,本文重點放在錢包的風險管理上。

以上兩個層級是你日常生活 99% 的時間里所使用到的錢包,但里面的資金量最好在你的承受范圍內,上面提到的每個需要注意的安全點都是前人犯過的錯,流過的淚以及海量的再也無法追回的資金,務必要有清醒的認識。對于每一起安全事故,別人犯過的錯,我們都應當做個舉一反三,審視一下自己的資產管理有沒有漏洞,不要在別人摔倒過的地方自己再摔一次。

接下來進入到資產管理的核心圈層——冷錢包資產。

3.冷錢包外層

所謂冷錢包,就是指你的錢包私鑰從不觸網,最原始的有紙錢包,腦錢包,鋼板助記詞,廢舊手機等存儲介質。個人認為比較穩妥又方便使用的方式是使用硬件錢包 + 紙錢包或鋼板助記詞的組合。單純電子設備壽命沒有那么長久,總有壞的時候,而紙張在妥善保存的情況下放個一千年不成問題,不銹鋼鋼板更是可以防火,上萬年輕輕松松。

CryptoUK敦促國會議員支持監管加密貨幣市場的提議:根據CoinTelegraph的報道,英國數字貨幣行業自律協會CryptoUK近日向多位議會議員呼吁,在數字貨幣行業建立更良好的監管。CryptoUK以書面形式向財政部特別委員會的數字貨幣調查組提出建議,該調查組正在調查數字貨幣在英國的影響,包括消費者、企業和和政府使用數字貨幣所帶來的風險。CryptoUK認為,監管應集中于經紀商與交易平臺,而非數字貨幣本身。CryptoUK是英國加密貨幣行業的第一個自律行業協會,旨在促進更高標準的行為。[2018/5/2]

一直以來,對于私鑰或助記詞的線下保存存在著一個悖論,那就是你分散存儲的份數越多,盡管越不容易丟失,但卻最容易被單點攻破,更容易泄漏。

面對這個困局,密碼學家們發明了一種基于密碼學的私鑰分片備份方案——shamir backup,shamir backup 的牛逼之處在于,原本的一份私鑰你可以將其分成若干片,并且只使用其中的幾片完成私鑰的恢復。這也正是最近比較火的 DVT(分布式驗證技術)所采用的密碼學技術之一(Shamir’s secret sharing),只不過后者分片的對象是以太坊質押的驗證器密鑰。

我所知道的目前支持 shamir backup 的硬件錢包只有 Trezor model T 這一個款。

舉個例子,假如你想分散私鑰存儲的地緣風險,將私鑰分別存放在世界五大洲的 5 個地方分別保管,通過 shamir backup,你創建了 5 份分片的私鑰,把它們安置妥當后,你完全可以高枕無憂了。因為當你需要恢復私鑰時,你可以任選其中三份即可完成恢復。你私鑰保管的冗余度大大增強,因為你知道不管是盜賊的入室盜竊還是動用國家力量強行開你的銀行保險箱,都無法撼動你的私人財產,即使你丟掉或是被盜走了其中兩份,也不影響你的資產安全性。當然你也可以使用 2/3 方案,4/7 方案甚至多達 16 個分片的方案,總之,只要你還掌握私鑰分片數量的大部分,你就始終保有資產的控制權。

排名前五的加密貨幣價格均出現下跌,排名前一百的加密貨幣僅有兩個幣種出現上漲:根據非小號數據顯示,目前市值排名前一百的加密貨幣中,僅有兩個上漲,分別為ONT,上漲10.29%,目前價格為人民幣32.63元;STEEM上漲17.18%,當前價格為人民幣25.41元,排名前五的加密貨幣均出現大幅回調,其中瑞波幣下跌14.14%。[2018/4/26]

shamir backup 簡潔而美麗,但卻極大提升了你線下存儲私鑰的安全性和可靠性,在我看來是非常理想的私鑰管理方案了。

Trezor 官網對 shamir backup 的介紹(https://trezor.io/learn/a/what-is-shamir-backup)。

我在這一層的資金量級:%

操作策略:只與最大型藍籌 defi 項目交互,而且盡量少交互,無無限授權,無 NFT 交互。

為什么私鑰管理已經這么安全了,我仍然沒有把大量資金放在其中呢?

一方面是預防萬分之一的可能性,比如我的大部分私鑰分片都在我不知情的情況下泄漏出去了,這個錢包也就不安全了。此外還有一個攻擊向量無法預防,那就是 5扳手攻擊。

也就是當有人已經把刀架你脖子上了,逼你說出硬件錢包 PIN 碼,你這時候是要命還是要錢呢?當然是老老實實交出密碼了,所以在里面留點錢就當破財免災吧。

為了避免這種情況下的發生,我們就知道平時應該如何應對這種危機了。比如,

第一點,不要沒事帶著硬件錢包到處晃。沒有了這個攻擊點,如果攻擊者還需要挾持你去尋找你散落世界各地的幾個分片時,恐怕他是沒這個耐性和精力的。

NEM董事長:加密貨幣的價格操縱“不可避免”:據美國財經網站CNBC報道,加密貨幣公司NEM的負責人周二說,在加密貨幣的世界里,操縱價格是“不可避免的”,但一旦市場成熟,價格操縱就會消失。“操縱價格并不是什么新鮮事。你也可以在主流市場看到它。我們的行業正處在一個剛剛起步的發展階段,這些事情是不可避免的。”NEM的董事長Lon Wong告訴CNBC。NEM旗下的加密貨幣新經幣(XEM)最近卷入了一場巨大的加密貨幣盜竊事件,黑客從日本的加密貨幣交易所Coincheck竊取了價值5.3億美元的數字資產。Wong告訴CNBC,監管機構應努力對數字貨幣交易所形成統一監管。[2018/2/14]

Trezor 硬件錢包有一個特性你或許需要知道,那就是可以提前設置 WIPE CODE,一旦被輸入,你硬件錢包里的所有數據都會被清除掉,包括恢復的種子信息。輸入 WIPE CODE 并不需要你連接電腦,只要能加上電,不管是充電保,車載充電或是什么,都可以進行輸入。

第二點,不要炫耀你有多少資產,攻擊者一旦知道了你的底細,所謂的破財免災也就無從談起了,不把你吃干榨凈恐怕你是難逃魔爪。

3.冷錢包中層

冷錢包外層并不裝載你的核心資產,他充其量也就只是個幌子,你只要監控到冷錢包外層的資產始終保持安全,那么就意味著你的私鑰始終保持了安全。即使一旦被盜,你的損失也不大,還有時間趕緊將冷錢包中層資產轉移走。

那這個中層與外層冷錢包的區別在哪呢?那就是使用了基于 passphrase 技術的 hidden wallet——你的隱藏錢包。這兩篇官方的介紹非常詳細,也有很意思。

https://trezor.io/learn/a/passphrases-and-hidden-wallets

https://blog.trezor.io/passphrase-the-ultimate-protection-for-your-accounts-3a311990925b

passphrase 不光在 Trezor 可以使用,Ledger 也是可以使用的。使用方式是通過在原有 24 個助記詞(或 12 個)的基礎上增加一個只有你自己知道的詞或任何字符串(甚至包括一個空格),最長可以包括 50 個字符。這將引導硬件錢包在原有私鑰的基礎上派生出一個嶄新的地址,因為這個 passphrase 并不存在在任何存儲介質上,唯一保管他的介質就是你那肉長的大腦或者是你告訴家人的大腦里,不管是黑客還是現實中的強盜,都無從得知,這將是你和家人保守的永恒的秘密。

我在這一層的資金量級:~50%

資產類型:LSD 資產,原生以太坊 SAAS 方式 POS 質押。

以太坊 SAAS 質押方式在我之前的文章里有講,https://mirror.xyz/darkforest.eth/Y-fvJCbGdJN0aFkAIFWH1vf7j5rRVblVpXERglgfAUg

至于為什么我會去使用 SAAS 方式進行質押,那是因為這是真正讓你掌握提款 key 和驗證 key 這兩把鑰匙,也就是真正掌握自己資產的以太坊質押方式。

操作策略:無任何 DEFI 交互,授權,只和冷錢包外層地址進行轉賬(轉賬 LSD 資產)。唯一在這個錢包上做的操作就是質押以太坊過程中的簽名和與以太坊 POS 存款合約的交互。并且以太坊質押的提款地址也是這個地址。

以太坊 POS 質押還有一個比較有意思的特性,就是你可以將執行層獎勵使用另一個錢包進行接收,這意味著,只要你不在這層錢包中解除質押,那么在你另外指定的錢包中會每天不間斷的收到質押收益,你可以使用熱錢包接收,并把這筆錢當做你的日常消費零用錢,也可以不改變收益地址,等著若干年后攢出另一個 32ETH 質押節點。

這樣的操作策略,黑客唯一攻破你的方式就只有 1)拿到你私鑰分片的大多數,2)知道你的真實資產底細,3)從你口中獲取 passphrase,4)了解到你有以太坊 POS 質押,5)簽名退出質押序列,并且安安穩穩的等待 4,5 天時間解除質押。經過了上述五步才可能真正獲取你的資產。

在我看來,這個冷錢包中層的安全性已經達到了一個新高度,技術上講,除了以太坊存款合約被攻破,我不知道它還有什么可以被攻擊的向量了。

以太坊 POS 質押作為一種安全的屯幣手段,0xdog(@ivanstarbb) 在他的文章中做了精彩的論述,個人深以為然(https://mirror.xyz/0x26DA4f747dD974f873Be9422918FAf1c3C0049D6/OY-mMHadkGKogrUg4_sDno-7vUOQBA3zS8MDEYqv4XI)。

不過這還沒完……

4.冷錢包核心層

構建冷錢包核心層的方式與中層是一致的,只不過中層的防御弱點在于你的 passphrase 可能不夠強大。在黑客直接掌握你私鑰的情況下,破解一個位數不多的常用詞 passphrase 的時間會非常短,這就是為什么我們還需要構建更深層安全性冷錢包的必要性。

上面這張表展示了你使用 passphrase 不同類型與長度在當下和 2030 年這兩個時間維度下黑客破解密碼的攻擊成本對照表。

看到這張表,原本自信滿滿的我又開始焦慮了……雖然我知道攻擊的發生是有前置條件的,而且冷錢包中層你質押的以太坊并不會馬上被轉走,你還有時間去與黑客進行一番爭奪,但我還可以做得更好。

我可以在冷錢包中層 passphrase1 的基礎上繼續加長,也許我和我的家人的腦子里存儲的不應該是一個詞,而更應該是一串……咒語……?

此外,如果說 LSD 項目有可能會倒掉,以太坊 POS 存款合約也有可能被攻擊,這個世界沒什么代碼是本質安全的。那么,我干脆在這一層只存原生資產,那就是原生比特幣和以太幣。除非宇宙盡頭,私鑰可以被量子計算機破解,那么加密貨幣也就一文不值,這一層的安全性也因此喪失任何意義了。

這一層的資金量級:~40%

資產類型:原生比特幣和以太幣

操作策略:只有錢包之間的轉賬。

總結

大道至簡,正所謂最簡單的就是最安全的,你的操作越少,花活越少,你的錢包才會越安全。當然你又不能過于陳腐,拒絕新事物,拒絕新體驗。你所能做的就是像這篇文章描述的那樣,風險分級,資產隔離,偶爾的一次資產被盜并不可怕,可怕的是你的所有資產被一鍋端了。某種意義上講,這樣做也是一種每次都在 all in 的賭局,久賭必輸,只要稍有差池,你之前賺到的錢最后屬于誰那就還真不一定。

區塊鏈技術賦予我們每個人「私人財產神圣不可侵犯」的權利與資本無障礙全球流動的自由,只不過這種權利與自由對很多人來說過于沉重了,這意味著無限的責任與擔當。當你的資產安全與否僅僅取決于你的一念之間的時候,參與其中的每個人都只有不斷地學習,吸取別人的經驗與教訓,舉一反三,如此才能在這片血腥與殘暴的黑暗森林中牢牢掌握住自己的命運,為那個遲早有一天可以通向自由世界的你做好充足的準備。

darkforest

個人專欄

閱讀更多

金色財經 善歐巴

元宇宙Lab

比推 Bitpush News

Tags:加密貨幣以太坊ASSPAS加密貨幣市場分析以太坊硬幣TerraClassicKRWpas幣價格

ADA
USD:金色早報 | Paypal推出美元穩定幣PYUSD_pala幣怎么樣怎么轉換

▌Paypal推出美元穩定幣PYUSDPaypal(PYPL.O)推出美元穩定幣PayPal USD(PYUSD)用于轉賬和支付.

1900/1/1 0:00:00
數字資產:解讀美國加密稅:一般稅制、加密稅制及其未來發展趨勢_數字資產合法嗎

本文旨在為讀者介紹美國加密稅的基本情況,包括三部分;美國一般稅制、加密稅制及其未來發展趨勢。美國的一般稅制是以所得稅為主體的復稅制,即聯邦、州和地方分別立法和征管各自的所得稅,同時還有其他稅種作.

1900/1/1 0:00:00
NBS:詳解Opensea新推出的Deals功能:NFT界的“以物易物”_SEADOG

今天,Opensea 發布一項 NFT 組合交換功能Deals,允許用戶使用一系列 NFT 組合與其他用戶 NFT 組合進行.

1900/1/1 0:00:00
比特幣:為什么納斯達克退出托管對加密貨幣而言是壞消息?_什么是比特幣工廠

作者:Daniel Kuhn,CoinDesk;編譯:松雪,金色財經昨天,美國著名的科技前沿證券交易所納斯達克宣布取消推出加密貨幣托管服務的計劃.

1900/1/1 0:00:00
比特幣:BTC挖礦難度躍升6%至新高 哈希率顯示“高度信心”_以太坊

作者:WILLIAM SUBERG,COINTELEGRAPH;編譯:松雪,金色財經比特幣網絡基本面沒有跟隨本周看跌的 BTC 價格走勢.

1900/1/1 0:00:00
ARB:Arbitrum無需許可驗證協議BOLD解讀_BIT

作者:terence.eth,Arbitrum 開發人員;翻譯:金色財經xiaozou本文我來總結一下 Arbitrum開發公司OffChain Labs 聯創 Ed Felten 和.

1900/1/1 0:00:00
ads