币放哪里才安全?交易所vs加密货币钱包安全性比较
加密货币投资第一优先事项:安全
如果赚到钱但领不出来,或随时有可能本金被盗走,这么危险的投资应该没有人愿意做。加密货币领域还在相对早期阶段,许多机制还不是那么成熟完整,虽然有更可观的投资报酬,风险确实也比较高,但投资就是想要赚钱,赚到的钱要能带走,本金要能保住,这是最重要的两件事。
也因此许多初入币圈的人会问:币要放在哪里才安全?交易所跟钱包哪个比较好?
这篇文会介绍交易所与钱包现有的安全机制,以及各自适合的使用场景与习惯。
交易所七安全机制- 简单保护自身资产
针对存放在交易所里头的加密资产,以及我们的交易所帐户安全,主流交易所通常有这些安全机制:
2FA (两阶段验证) 登入-交易所使用上跟网络银行有点像,要注册帐号,使用前要登入。2FA 是在帐号密码之外,还需要其他验证码才能登入,例如email 、手机简讯收验证码,或使用第三方验证工具例如google authenticator 。
新IP 登入警告-只要有新IP 尝试登入就会发email 通知,可以即时知道是否有其他人在偷偷登入你的帐号。
登入设备管理-查看登入的装置,也是用来检查是否有人偷偷登入帐号。
另外设提币密码(不同于登入密码)-提币的时候需要另外输入一组密码,就算登入密码外泄,只要提币密码设定不同,别人登入后依然无法提币。
提币白名单地址限制-只能提币到设定清单中的地址,新增地址通常会限制一段时间后(例如一天) 才能提币,就算密码都外泄,对方也无法立刻把币提走。
提币额度限制-设定一日内提币上限,就算一切失守,对方也无法在短时间内把所有资产提光。
实体金钥设定-实体的安全金钥装置,例如Yubikey (需自行购买),长的像USB,登入时需要在设备上也插入金钥装置验证才能登入,没有这个实体金钥验证就登不进帐号。
一间交易所不一定会同时有上述七种机制,但通常至少会有其中四五种以上。这些机制可以分类成三部分:
登入相关-增加登入验证步骤,确保是本人登入。
提币相关-增加提币限制,额外密码、额度或白名单地址限制。
异常警告-帐户有异常活动时立刻发通知。
安全机制通常预设关闭,必须由使用者自行开启设定,一旦开启其中多数安全设定,资产被盗走的难度会大幅提高。
一旦设定了2FA 两阶段验证,对方拿到帐号密码也没用,还得骇入其他验证装置,例如手机或email 信箱;一旦设定了提币限制,就算成功登入也无法提币,就算设定白名单地址也得等时间限制后才能提币,这时帐号主人应该已经收到异常警告,可以赶紧改密码或先把币提到其他地方。
相关安全设定都开启之后,假设真的点到钓鱼网站,在钓鱼网站输入帐号密码,也输入2FA 验证码,对方也很难盗走什么东西,最大被盗的可能性也许是对方拿到你的手机,而手机App 设定使用指纹或脸孔辨识登入,对方又刚好就在身边可以直接拿你的手指通过验证,这种情况才能绕过重重安全设定成功盗取交易所内的加密资产。
交易所帐户没有私钥,不怕遗失私钥,忘记帐号密码也没关系,只要能够证明是本人,就可以透过客服来协助重新设定帐号密码。
总结来说,如果交易所的安全设定都有开启,交易所里的资产其实很难被盗走,大多数被盗都是一开始就注册到假的网站,或没有设定2FA。交易所也不需要担心搞丢私钥,最大的风险在于交易所可能挪用客户资产,或交易所自己被骇,可能造成资不抵债,甚至可能卷款跑路。
交易所被骇的事件在近年来已经有所减少,但挪用客户资产的事件依然时有所闻,例如2022 年的FTX,2023 年的BKEX,尽量只使用头部交易所,排名前面的不一定绝对安全,但通常会比较安全;尽量使用有提供资产储备证明(POR) 的交易所,也尽量不要把所有资产放在一间交易所里,不要把所有鸡蛋放同一个篮子里。
加密货币钱包安全靠自己,私钥请妥善保存
当前的加密货币钱包其实没有太多安全机制,主要得靠使用者本身。
加密货币钱包不需要登入,主要是私钥,一旦拥有私钥就可以汇入该钱包掌控其中资产,只要私钥或助记词外流,对方就可以提走钱包中的币,就算立刻发现也无法阻止,当下能做的就是比手速,比骇客更快把币转走。
名词解释:私钥是一串乱码,助记词是转换成比较容易记忆的12 - 14 个英文单字,再透过数学算法计算出私钥,功能上差不多,一旦外流就等于失去了这个钱包的控制权。
只要是正规的加密货币钱包,都是非托管钱包,厂商只会更新软体,不会帮忙管理你的钱包和资产,私钥只有使用者自己可以纪录和备份,一旦忘记就没了,客服也无法协助恢复。
私钥有没有外流?目前无从得知。
也许已经外流了,只是因为里头钱还不多,对方还不想动手,钱包主人无法知道有没有外流;交易所有异常登入警告,加密货币钱包没有。一般的加密货币钱包也无法设定提币白名单地址限制,额度限制等也不行。
加密货币钱包安全机制大概有这几项:
多重签名机制-发起交易需要好几个人一起授权签名,不怕单一私钥外泄。但这对一般人来说很难使用,资产很多的钱包才会设定。
每个钱包地址都单独授权-一份助记词可以创立数十个钱包地址,在同一个钱包工具中就可以操作。每个钱包地址对应一组私钥,每次操作授权合约也只限定在这个地址上,就算出错也只有这个地址有风险,其他地址都没事(除非外流的是助记词),如果针对每个网站都用不同的钱包地址,可以很好的做到风险隔离。
某些加密货币钱包/ 浏览器扩充功能有智能合约安全扫描-加密货币钱包操作时需要和网站连线,并授权智能合约操作,但如果连线到钓鱼网站、授权给诈骗合约,资产就会有风险。有些加密货币钱包有提供相关安全扫描的功能,授权前会先扫描安全性并给予警告。
或安装某些浏览器扩充功能,有的可以在交易前先扫描智能合约,预览交易内容,有的则可以检视当下网站是否为安全网站。
例如DeFiLlama的扩充功能提供白名单网站检视,检查目前连线的网站是否在它们的安全清单中。
而Fire的扩充功能则可以先预览交易,这被称为合约可读性工具,在实际交易前先预览智能合约内容,并告知使用者这笔交易具体会发生什么事
硬件钱包操作时需要插入实体钱包(类似交易所的实体金钥)-加密货币钱包还能分成冷钱包跟热钱包,连网的是热钱包,不连网的则是冷钱包。冷钱包通常以硬件钱包的方式呈现,私钥只存在硬件钱包里面,硬件钱包本身不能连网络,使用时须将硬件钱包插上电脑才能签名授权,没有拿到这个实体钱包就不能用。除非自己把私钥抄给别人,不然硬件钱包几乎没有私钥外流风险,硬件钱包中的私钥隔离存放,就算使用的电脑中毒,硬件钱包中的私钥也不会外泄。
AA 智能合约钱包将可以设定白名单地址和额度限制-目前加密货币钱包以EOA (外部拥有帐户) 钱包为主,需要私钥,能客制化设定的功能也不多,在ERC - 4337 协议升级之后,出现了AA (抽象帐户) 钱包,将不再需要私钥,还可以设定例如白名单和提币限额,并支援社交恢复以及多重签名机制。在未来,AA 钱包可以拥有跟交易所几乎一样的安全机制。
总结来说,现阶段的加密货币钱包还没有太多好用的安全机制,多签对一般人来说不实际;每次连不同网站使用都创新的钱包地址,管理起来也很麻烦;安全扫描并不是每个钱包都有这功能,现阶段大多还是依靠第三方工具来检查;至于硬件钱包还得另外花钱购买以及学习使用,通常也是有一定资产规模的人才会选择硬件钱包。
现阶段只要想提高加密货币钱包安全性,几乎都得伴随着不便和成本提高。
加密货币钱包的安全主要还是靠使用者自己,只要确保私钥不外流,以及不要授权给有风险的智能合约,加密货币钱包里的资产就很安全。
私钥一外流就再也不安全了,如果觉得有外流疑虑,务必立刻创建新的钱包并将币转过去,不要继续使用有疑虑的钱包。外流之外还有个风险是忘记私钥,如果忘记私钥,也没有做好备份或是备份遗失,那里头的资产就从此与你无关,所以也务必做好助记词与私钥的备份。
Not Your Keys, Not Your Coins
看起来交易所比加密货币钱包安全很多,为什么有那么多人使用加密货币钱包?
就是因为标题这句话:
Not Your Keys, Not Your Coins
不是你的私钥,就不是你的币
交易所被骇,我们的资产就有损失风险;交易所挪用,我们有风险;交易所管理不当,我们依然有风险。风险掌握在交易所手上,自身风险掌握在他人手上,使用交易所的过程中等于要信任交易所这个中心机构,这些都违反区块链加密货币去中心化的特性。
在去中心化的世界里,我们不需要信任它人,只需要信任程式(合约),也不把自己的安全依赖在别人的行为上,风险自己掌握自己承担。
使用交易所> 如果都做好安全设定,剩下的风险是交易所,安全要依赖交易所
使用加密货币钱包> 不需要担心资产被挪用,不需要担心交易所乱搞,安全靠自己
交易所vs. 加密货币钱包安全性比较表
交易所 | 加密货币钱包 | |
密码或私钥外泄 | 有设定2FA 就没事,除非全部一起被骇 | 完了 |
忘记密码或私钥 | 请客服协助登入 | 完了 |
交易所挪用资产或跑路 | 完了 | 没有这风险 |
有人偷偷登入帐号/ 汇入钱包 | 会发异常通知 | 不会知道 |
不小心连了钓鱼网站 | 安全设定都有做基本上没事,除非过一天还没发现,赶紧改密码即可 | 如果已经输入私钥或给出授权,完了,跟骇客拼手速 |
小结- 没有最安全的选择,只有最适合你的安全方式
如果是个去中心化信仰者,完全认同区块链去中心化的特性,那当然得使用加密货币钱包,最符合去中心化的特点。
如果不是去中心化信仰者,只想安全操作加密货币,要怎么判断自己更适合交易所或加密货币钱包?
你的风险比较高?or 交易所的风险比较高?
如果本身资安观念很好,工作跟玩币的设备都分开,每次连新网站都会检查,知道怎么安全备份私钥助记词,那么使用加密货币钱包确实会比交易所更安全,毕竟不需要承担交易所本身的风险。
如果本身资安不是那么熟悉,常常贪图快速方便就忽略细节,也常搞丢东西,那么使用交易所并开启所有安全设定,会比使用加密货币钱包要安全很多。
简易判别法:
你被骇的风险比较高,你忘记私钥的风险比较高> 使用交易所
你很安全,交易所乱搞的风险比较高> 使用加密货币钱包
但这是现阶段,ERC-4337 今年才通过,再给它一点发展时间,未来的AA 钱包有机会做到结合两者优点,在去中心化的情况下兼具所有交易所能提供的安全性。
你可能感兴趣的文章
-
交易所和热钱包哪个安全性高?更可靠?
在联网的情况下,该钱包可以随时进行转账、收款等数字货币交易,因此不少投资者想知道交易所和热钱包哪个安全性高?下面就由小编来为大家详细介绍交易所和热钱包哪个更可靠…
2023-08-17 -
硬核讲解币在交易所安全还是在钱包安全
对于加密货币投资者而言,资产安全是至关重要的考虑因素,常见的两种资产管理是将币放在交易所和将币放在钱包,加密货币交易所作为数字资产交易平台提供了便利的交易和管理…
2023-08-01 -
囤币放在交易所安全吗?需要提到个人钱包吗
这篇文章主要介绍了囤币放在交易所安全吗?需要提到个人钱包吗的相关资料,需要的朋友可以参考下本文详细内容介绍…
2023-06-28 -
交易所转账什么时候可以到账?交易所转到钱包要多久
那么究竟交易所转账什么时候可以到账呢?下面就让小编为大家详细介绍一下,…
2023-10-01 -
数字货币交易所和钱包的区别是什么?
在加密货币投资领域,数字货币交易所和钱包是两个至关重要的概念,通过深入了解数字货币交易所和钱包的区别是什么?投资者能够更好地选择合适的平台和工具,接下来小编就来…
2023-08-22 -
交易所提币到钱包需要多久?
在数字货币交易所中,有时会出现用户将数字资产转移到个人控制的外部钱包的情况,比如硬件钱包、桌面钱包、移动钱包等,那一般交易所提币到钱包需要多久?下面就有小编为大…
2023-08-17 -
交易所的钱包地址是公用的吗?
交易所的钱包地址在一定程度上是安全的,但也存在潜在风险的可能,大多数交易所都采取了安全措施来保护用户的资产,他们使用安全的服务器和加密技术,以确保用户的账户信息…
2023-08-04 -
一文搞懂币放钱包危险还是放交易所危险
币放钱包意味着投资者自己完全掌握私钥,而币放交易所则将私钥交由交易所保管,两者各自有着优劣势,因此投资者必须深入了解币放钱包危险还是放交易所危险?是做出明智决策…
2023-08-03 -
一文读懂钱包买币好还是交易所买币好
这篇文章主要介绍了一文读懂钱包买币好还是交易所买币好的相关资料,需要的朋友可以参考下…
2023-04-21