保住你的代幣－鏈上玩家錢包攻略

聰明錢不只玩的聰明，更要聰明的保管。

越來越多的玩家正在湧入鏈上的金礦中，試圖發掘自己的未來機會。而在鏈上使用過程中，用戶可能會產生一定的誤操作，包括但不限於轉錯地址（有鏈上用戶因為轉錯近8000 枚ezETH 而導致巨額​​損失）、簽名損失（permit）、授權被盜等等。

而在自身操作之外，外部風險也悄悄逼近。最近一鏈上交易工具的暴雷將用戶號稱「自託管」的錢包私鑰透過各種方式傳輸並盜取，也為許多鏈上用戶的資產安全蒙上些許陰影。本文整理了在錢包使用上的基本認知，希望為鏈上使用者提供更好的錢包使用參考。

原文作者：Pzai
原文來源：Foresight News

錢包私鑰

鏈上錢包大部分都是「自託管」錢包，一般需要用戶自我保管錢包私鑰/ 助記詞。而對於錢包私鑰的保存，市場上的解決方案五花八門，現有較主流的私鑰保存方式有以下幾類：

• 手動型－在錢包使用前，用戶創建的錢包需要自己手動備份錢包助記詞或私鑰。大部分軟體和硬體錢包都採用此模式
• 雲端備份－一些錢包（例如Worldcoin 或Ledger Recover）提供雲端備份功能，允許用戶將錢包加密備份至Google Cloud 或iCloud 等雲端服務中進行保存，在丟失帳戶存取權時可以透過雲端磁碟恢復。
• 無私鑰－使用者透過外部媒體（例如通行密鑰或Google 帳號）創建無私鑰錢包，透過錢包提供者的服務進行鏈上存取。

對於私鑰安全性而言，手動型的安全性對使用者的保存習慣有一定要求，一般需要多點備份，並且有遺失備份的風險。為了降低用戶自架的難度並為大規模應用程式鋪墊，許多錢包應用程式轉而與Web2 雲端服務進行結合，透過相對中心化的安全性提供服務。

從使用體驗來看，後兩者無疑是最符合用戶操作習慣的，也減少了一定的用戶側私鑰洩漏風險，但現今許多鏈上工具都直接在工具內產生錢包，需要用戶自行備份。對於使用者而言，高頻率的互動一般需要直接與鏈上功能結合，故私鑰作為最普適的形式，適用範圍也最廣，而一般使用者會採用電腦或手抄方式進行私鑰備份，但電腦上大部分的私鑰儲存都具有被網路的攻擊風險，所以建議所有自架錢包的私鑰都進行不觸網保存。

延伸閱讀：【2024 最新】加密貨幣錢包是什麼？熱門冷錢包與熱錢包推薦！

硬體錢包

另一方面，許多用戶也採用硬體錢包的方式處理交易。硬體錢包的一大優點是相較於軟體錢包在互動上觸網，硬體錢包能夠確保私鑰不會洩漏到設備外。

現有的硬體錢包互動行為主要分為兩類：

• QRCODE 型：用戶採用 QRCODE 與錢包進行交互，設備對交易 QRCODE 掃描簽名後反饋回錢包
• 連接型：使用者將裝置透過藍牙或數據線連接至電腦或手機等外部裝置進行交易簽名

以Ledger 為例，其產品線內的幾個錢包分別有支援USB-C 和藍牙的功能，價格各有不同。一些硬體錢包也支援 QRCODE 簽名。

對於硬體錢包用戶而言，QRCODE 簽名的適用範圍最廣，但對設備的硬體需求最高，價格也最貴。而相對便宜的錢包則需要連接數據線使用，相應的普適性也不足。但作為現有安全性最高的錢包類別，對有一定資金保管需求的用戶而言還是有價值的。另外，一些解決方案也正在將QRCODE簽名功能轉移至常用手機等設備（如AirGap Wallet），但相較於純硬體錢包而言，對設備不觸網的要求相對降低。

操作習慣

除了對錢包的了解，自身使用錢包的習慣也需要足夠重視。在許多被竊事件中，有一些風險是使用者操作中可以被避免的部分，在此筆者整理了幾個相關的有益操作習慣。

安全插件

採用安全插件進行交易識別應為所有鏈上使用者的共識。現有的安全性外掛程式（如Scam Sniffer 和AlphaOS 等）可以涵蓋包含前端風險、授權（簽章）風險和交易風險等提示功能，並且能夠對交易進行進一步解析，對資產風險做細分化提示。

地址簿

地址簿作為錢包的常見功能之一，如果養成通訊錄習慣便可大幅降低轉帳錯誤的風險。但由於每個錢包的互動邏輯不同，使用者對通訊錄的觸達也略有差別，以Phantom 為例，可以點擊左上角——設定——通訊錄進行設定。 Metamask 設定也類似。

剪貼簿

剪貼簿會作為使用者複製貼上的資訊留存地，敏感資訊自然不可長久留存。一些攻擊者使用「剪貼簿劫持者」等惡意軟體，讓其在剪貼簿中運行，以替換被複製的錢包地址（所以需要常記地址簿）或竊取私鑰。在使用者使用上，筆者建議盡量不要讓私鑰被複製到剪貼板，如果一定需要的話也需要在斷網條件下複製，在透過清除工具清理剪貼簿後再觸網。