imToken 在 1.3.3 版本新增了用戶風(fēng)險(xiǎn)測評系統(tǒng), 目的是為了讓更多的用戶了解錢包安全知識(shí)以及區(qū)塊鏈的基本概念, 從某種程度上提升了整個(gè)區(qū)塊鏈生態(tài)的認(rèn)知水平。但是這也對很多小白用戶帶來了困擾, 反復(fù)測試都不過 (慘不忍睹程度堪比科目二), imToken 是希望用戶可以通過幫助中心自主學(xué)習(xí)相關(guān)知識(shí), 不過今天小劉特意為你帶來了快速通過測評的攻略, 幫你迅速掌握去中心化錢包的安全知識(shí)。
所有問題大體可以分為三類, 分別為區(qū)塊鏈基本概念、錢包安全知識(shí)以及錢包交易轉(zhuǎn)賬。
區(qū)塊鏈基本概念主要是圍繞"什么是 ERC20 代幣", "以太坊的錢包地址是怎樣的", "什么是錢包", "在使用 imToken 時(shí), 用戶的數(shù)字資產(chǎn)是存儲(chǔ)在哪里的"等問題展開。
對于這部分知識(shí), 由于比較瑣碎, 我們分開講解, 首先講解, 什么是以太坊的地址、Keystore、助記詞、明文私鑰。
地址: 以 0x 開頭的 42 位的哈希值 (16 進(jìn)制) 字符串。
Keystore: 明文私鑰通過加密算法加密過后的 JSON 格式的字符串, 一般以文件形式存儲(chǔ)。
助記詞: 12 (或者 15、18、21) 單詞構(gòu)成, 用戶可以通過助記詞導(dǎo)入錢包, 但反過來講, 如果他人得到了你的助記詞, 不需要任何密碼就可以輕而易舉的轉(zhuǎn)移你的資產(chǎn), 所以要妥善保管自己的助記詞。
明文私鑰:64 位的 16 進(jìn)制哈希值字符串, 用一句話闡述明文私鑰的重要性 "誰掌握了私鑰, 誰就掌握了該錢包的使用權(quán)!" 同樣, 如果他人得到了你的明文私鑰, 不需要任何密碼就可以輕而易舉的轉(zhuǎn)移你的資產(chǎn)。
其次, 來簡單講解一下區(qū)塊鏈的基本特性。
去中心化: 因?yàn)檎麄€(gè)網(wǎng)絡(luò)沒有中心統(tǒng)治者。系統(tǒng)依靠的是網(wǎng)絡(luò)上多個(gè)參與者的公平約束,所以任意每幾個(gè)節(jié)點(diǎn)的權(quán)利和義務(wù)都是均等的,而且每一個(gè)節(jié)點(diǎn)都會(huì)儲(chǔ)存這個(gè)區(qū)塊鏈上所有數(shù)據(jù)。即使該節(jié)點(diǎn)被損壞或遭受攻擊,仍然不會(huì)對賬簿造成任何威脅。
不可逆: 區(qū)塊鏈上的信息必須不可撤銷,不能隨意銷毀。系統(tǒng)是開源的,整個(gè)系統(tǒng)都必須是公開透明的,因此某筆交易被全網(wǎng)廣播以后,達(dá)到 6 個(gè)確認(rèn)以上就安全記錄在案了,且不可逆轉(zhuǎn)不可撤銷。(注: imToken 是 12 個(gè)區(qū)塊確認(rèn))
不可篡改: 確保信息或合約無法偽造。賬簿在某個(gè)人或某幾人手上,造假的可能性就非常高,但每個(gè)人手里都有一本賬簿,除非整個(gè)游戲里超過 51% 的人都更改某一筆賬目,否則任何的篡改都是無效的,這也是集體維護(hù)和監(jiān)督的優(yōu)越性。
匿名性:各區(qū)塊節(jié)點(diǎn)的身份信息不需要公告或驗(yàn)證, 信息傳遞可以匿名進(jìn)行。舉個(gè)簡單的例子, 就是你在區(qū)塊鏈上向一個(gè)錢包地址發(fā)起交易, 但是卻無法知道這個(gè)地址背后確切對應(yīng)的是那一個(gè)人, 或者你的私鑰被某一個(gè)黑客盜竊了, 無法從一個(gè)錢包地址中得知黑客是誰。
最后關(guān)于這一模塊比較難理解的就是使用 imToken 這種去中心化錢包,** 資產(chǎn)到底存儲(chǔ)在哪里**? 很多小白用戶, 帶著慣有的傳統(tǒng)中心化管理資產(chǎn)的思考方式, 來使用 imToken 這種去中心化的錢包。那么就會(huì)造成很多誤會(huì), 甚至為自己的資產(chǎn)帶來巨大的損失。那么我們首先要深入了解到底什么是錢包?
錢包是密鑰 (公鑰和私鑰) 的管理工具, 他只包含密鑰而不是確切的某一個(gè)代幣。錢包中包含成對的私鑰和公鑰。用戶用私鑰來簽名交易, 從而證明該用戶擁有交易的輸出權(quán)。而輸出的交易信息則存儲(chǔ)在區(qū)塊鏈中。
其次, 我們需要深刻的認(rèn)識(shí)一個(gè)問題, 既然錢包不存儲(chǔ)確切的某一種代幣, 而是存儲(chǔ)密鑰, 那么使用這種去中心化錢包, 資產(chǎn)到底存儲(chǔ)在哪里? 大概有 70% 的人認(rèn)為資產(chǎn)是存儲(chǔ)在錢包公司服務(wù)器上的, 因?yàn)殚L時(shí)間的使用中心化平臺(tái), 例如交易所去存儲(chǔ)資產(chǎn), 所以一旦面臨資產(chǎn)丟失或者被盜, 第一時(shí)間就會(huì)聯(lián)系服務(wù)商, 要求凍結(jié)賬戶或者交易回滾等中心化操作。但事實(shí)并非如此, 我們在使用 imToken 這種去中心化錢包時(shí), 私鑰是由自己保管, 同樣資產(chǎn)也是存儲(chǔ)在區(qū)塊鏈上, 而不是錢包服務(wù)器上, 更不可能存在設(shè)備上。所以上述一些所謂凍結(jié)賬戶、交易回滾等操作也就不成立。
錢包安全知識(shí)部分其實(shí)整個(gè)測評中最重要的部分, 基本上是必答題, 也就是有關(guān)錢包安全的題如果答錯(cuò), 那么也就無法通過測評。但這部分卻并不復(fù)雜, 主要圍繞四個(gè)部分, 即錢包備份、防盜策略、防丟策略以及緊急事件處理方法。
備份意識(shí): 創(chuàng)建錢包之后立即備份! 升級應(yīng)用的時(shí)候備份! 刪除應(yīng)用的時(shí)候備份! ... 備份備份備份, 要把錢包備份當(dāng)做一種習(xí)慣!
緊急事件處理: 一旦發(fā)現(xiàn)自己錢包出現(xiàn)不是自己操作的轉(zhuǎn)出交易, 或者意識(shí)到自己的私鑰已經(jīng)泄露, 那么立即停止使用該錢包 (不要再向該錢包轉(zhuǎn)賬), 新建錢包 (當(dāng)然要做好新錢包的備份) 然后立即將資產(chǎn)轉(zhuǎn)移至新錢包。很多人希望錢包服務(wù)商幫忙查找盜幣者或者黑客的信息, 這一點(diǎn)在之前的基礎(chǔ)知識(shí)部分已經(jīng)講的比較清晰了, 因?yàn)槭侨ブ行幕X包, 所以很難提供什么有效線索去幫助受害者"破案"。
防丟策略: 可以說防丟策略和防盜策略是整個(gè)錢包安全知識(shí)的重中之重, 錢包丟失一般分為三種情況: 1. 刪除錢包時(shí), 沒有備份錢包。建議在創(chuàng)建完錢包之后, 立即備份錢包, 采用雙重備份和多次備份兩種策略。雙重備份是指 Keystore 備份和助記詞備份, 多次備份是指在備份完 Keystore 和助記詞之后, 要驗(yàn)證備份是否正確, 反復(fù)驗(yàn)證, 確認(rèn)無誤即可。
-
忘記了 Keystore 密碼。我建議使用強(qiáng)度較高的密碼加密 Keystore, 這個(gè)密碼最好是隨機(jī)生成, 不常用的密碼。這樣提高了 Keystore 的安全性, 但是也對保管密碼帶來了巨大的挑戰(zhàn), 我推薦使用 1password 或者 lastpass 等密碼管理工具, 妥善保管好自己的密碼, 以防遺忘。
-
遺失了私鑰。這里的私鑰包括助記詞、Keystore 和明文私鑰, 有些小白在備份助記 詞時(shí), 抄寫過后并沒有做驗(yàn)證, 或者字跡過于潦草, 導(dǎo)致后期很難辨識(shí), 這些都會(huì)導(dǎo)致無法再找到自己的錢包。所以我們在備份錢包時(shí)要仔細(xì)認(rèn)真, 在后期保管錢包時(shí), 要善于使用一些安全的管理工具, 確保自己可以隨時(shí)找到私鑰。
防盜策略: 我們要清楚我們被盜的是什么? 是某個(gè)資產(chǎn)嗎? 是某個(gè)確定的代幣嗎? 其實(shí)都不是, 防盜的實(shí)質(zhì)是防止我們的私鑰泄露, 或者被黑客盜取。而在防盜策略上, Keystore 和助記詞(或者明文私鑰) 的側(cè)重點(diǎn)有所不同。
Keystore 防盜策略: 由于 Keystore 是被加密過后的私鑰, 并且一般是以 JSON 文件形式存在, 采用"抄寫"這種策略明顯是不科學(xué)的, 所以可以存儲(chǔ)在 U 盤里或者密碼管理工具里。存儲(chǔ) Keystore 時(shí)要和密碼分開存儲(chǔ), 這樣只要密碼強(qiáng)度足夠高, 即使被黑客盜取了 Keystore , 也很難破解, 備份 Keystore 時(shí)也要多處存儲(chǔ), 比如你只存在 U 盤里, 如果 U 盤丟失, 那么也相當(dāng)于丟失了錢包。
助記詞防盜策略: 在存儲(chǔ)助記詞時(shí), 就需要更加謹(jǐn)慎一些, 因?yàn)橹浽~毫無安全性可言, 一旦被第三方竊取, 那么我們的資產(chǎn)將面臨巨大的威脅, 所以建議采用物理介質(zhì)備份, 抄寫在一張紙上, 并且妥善保管, 抄寫時(shí)要注意準(zhǔn)確性, 也要注意長久保存, 不要出現(xiàn)字跡看不清楚等問題。
PS: 這里有三個(gè)筆者親自授理的真實(shí)案例和大家分享一下, 希望大家能從中吸取一些經(jīng)驗(yàn)。
Case 1: 某男將 Keystore 存儲(chǔ)在自己的微信收藏里, 而 Keystore 的密碼和微信密碼是一致的, 結(jié)果錢包被盜資產(chǎn)預(yù)計(jì) 15 萬 RMB.
Case 2: 某女將自己的 Keystore 通過郵件進(jìn)行傳輸, Keystore 密碼和郵件密碼是一致的, 結(jié)果郵件被黑客攔截, 被盜資產(chǎn)預(yù)計(jì) 30 萬 RMB.
Case 3: 某女因?yàn)榕伦约哼z忘備份的助記詞, 所以將助記詞告訴身邊的親朋好友, 幫忙記住, 結(jié)果被其妹夫盜取資產(chǎn)預(yù)計(jì) 3 萬 RMB (后因其妹夫主動(dòng)承認(rèn), 才得以查清事實(shí))
最后的考點(diǎn)內(nèi)容則是交易轉(zhuǎn)賬, 這部分內(nèi)容主要圍繞三點(diǎn)展開, 一個(gè)是如何查詢自己的交易信息, 二是 imToken 支持哪些代幣, 三是礦工費(fèi)如何計(jì)算。再簡化一些, 這部分內(nèi)容, 我們只要掌握一項(xiàng)技能就可以"通關(guān)" - 如何使用 Etherscan ( )
去中心化錢包交易時(shí)不存在 "入賬", "取消交易", "凍結(jié)賬戶"等說法的, 很多人都覺得使用 imToken 發(fā)送交易, 那么交易信息理應(yīng)由 imToken 客服人員查詢, 其實(shí)不盡然。我們使用 Etherscan 自己就可以查詢每筆交易的詳細(xì)信息, 甚至連 imToken 支持哪些代幣都可以查到, https://etherscan.io/tokens 這個(gè)頁面的所有代幣, imToken 都會(huì)支持 (ERC20 標(biāo)準(zhǔn))
礦工費(fèi)其實(shí)是非常好理解的, 首先明確我們使用 imToken 錢包發(fā)送交易, 礦工費(fèi)是誰來收的? 答案當(dāng)然是礦工, imToken 到目前為止沒有對用戶收取任何交易費(fèi)用, 這和交易所或者一些平臺(tái)有很大區(qū)別 (例如之前很多交易所都收 0.01 ETH 的手續(xù)費(fèi)) 。
還有礦工費(fèi)到底是怎么計(jì)算的, 公式: Gas fee = gas * gas price, gas price 的單位是 gwei, 4 gwei 相當(dāng)于 0.000000004 ETH ,我們可以去 Etherscan 上查看最近一筆轉(zhuǎn)賬成功的交易, 看看這筆交易的 gas 和 gas price 是多少, 我們照著設(shè)置就可以了。其實(shí)使用 imToken 只要不是特殊的交易, 我們無需理會(huì)礦工費(fèi)問題, imToken 已經(jīng)幫我們做好了這一切。
最后一個(gè)小的知識(shí)點(diǎn), 就是如何用 MyEtherWallet 網(wǎng)頁錢包, 來搭配 imToken 做一些操作。例如錯(cuò)將 ETC 轉(zhuǎn)入 imToken。這些操作不在這里細(xì)說, imToken 的幫助中心內(nèi)容很豐富, 里邊都有涉及。但是大家在使用 MyEtherWallet 的時(shí)候一定要注意不要使用釣魚網(wǎng)站, 注意科學(xué)上網(wǎng)。
That's all, 以上就是通關(guān)大法, 相信會(huì)對大家有所幫助。我個(gè)人認(rèn)為, 只有越來越多的人真正了解區(qū)塊鏈, 了解去中心化錢包的特點(diǎn)和機(jī)制, 區(qū)塊鏈生態(tài)的整體水平才會(huì)有質(zhì)的飛躍, 而不是單純的投機(jī)主義者作祟。在整個(gè)行業(yè)整頓期間, 我覺得這是很好的學(xué)習(xí)機(jī)會(huì), 更多的人會(huì)靜下心來, 將目光關(guān)注于區(qū)塊鏈技術(shù)本身。Make Blockchain Happen!
最后 我為喜歡學(xué)習(xí)的朋友提供了各知識(shí)點(diǎn)的幫助中心鏈接:
什么是錢包?
區(qū)塊鏈基本特性(去中心化, 不可篡改, 不可逆等特性)
什么是 Keystore?
防盜策略
什么是助記詞?
防丟策略
什么是明文私鑰?
如何下載使用 imToken 才安全?
什么是地址?
如何安全使用助記詞?
什么是礦工費(fèi)?
如何安全使用Keystore?
如何使用 Etherscan 查詢交易?
誤將 ETC 轉(zhuǎn)入 imToken 該怎么辦?