馨嘉源区块链

Web3安全避坑指南(钱包分类及风险)

• 钱包知识
• 2024 年 5 月 2 日2024 年 5 月 2 日

Web3 安全避坑指南钱包下载及使用过程中的风险Web3钱包类别有网页钱包,移动端钱包,桌面钱包,硬体钱包,纸钱包,

浏览器钱包
浏览器钱包比如MetaMask、Rabby 等，是作为浏览器的外挂安装在使用者的浏览器（如Google Chrome、Firefox 等）。浏览器钱包通常更易于访问和使用，并且不需要下载或安装额外的软体。

网页钱包（不建议使用）
网页钱包允许使用者通过网页浏览器访问和管理加密资产，虽然这种方式较为便利，但背后的风险不容忽视，网页钱包一般把助记词加密存在浏览器的本地储存里，因此可能受到恶意软体或网路攻击的威胁。

移动端钱包
移动端钱包的运作方式与网页端类似，通常作为应用程式提供，使用者可以在手机上下载和安装。

桌面钱包
桌面钱包在加密货币问世的早期较为常见，较为知名的如Electrum，Sparrow 等。这类钱包是安装在电脑上的应用程式，私钥和交易资料储存在使用者的本地装置上，使用者对其加密货币私钥有完全控制权。

硬体钱包
硬体钱包是用于储存加密货币和数位资产的物理装置，如Trezor，imKey，Ledger，Keystone，OneKey 等。硬体钱包提供了一种离线储存私钥的方式，这意味着在使用硬体钱包和DApp 进行互动的时候，私钥不会暴露在网上。

纸钱包（不建议使用）
纸钱包是以二维码的形式，将加密货币地址与其私钥列印在一张纸上，然后通过扫描二维码来开展加密货币交易。

钱包常见风险
下载到假钱包
由于很多手机不支援Google Play 或者因为网路问题，很多人会从其他途径下载钱包，比如第三方下载站，或者直接用浏览器搜寻某钱包，然后随机点进一个排名靠前的连结，这样大概率会下载到一个假钱包，因为搜寻引擎的广告位及自然流量是可以买到的，骗子可以通过购买排名靠前的广告位，伪造一个假钱包官网，诱骗使用者访问。下图为使用百度搜索TP 钱包的结果：

购买到假钱包
供应链攻击是硬体钱包安全性的主要威胁之一。如果使用者不是在官方商店或授权经销商处购买硬体钱包，那么在钱包到使用者手上之前，会经多少人之手，内部元件是否被篡改过，这些都是不确定的。下图中，右边的硬体钱包是被篡改过的。

电脑中木马
如果电脑中了木马，钱包便会被恶意软体影响。慢雾安全团队曾写过一篇《暗夜小偷：Redline Stealer 木马盗币分析》，对该风险的形成过程及影响做了详细分析，感兴趣的读者可以点选检视。我们在此建议使用者安装防毒软体，如卡巴斯基、AVG、360 等，保持安全软体即时防护开启，并随时更新最新病毒库。

钱包自身漏洞
最后，或许你下载了正版的钱包，使用过程足够小心，装置及现实环境也足够安全，但如果是钱包自身设计存在问题的话，也可能被骇客攻击，使用该钱包的使用者一样会资产受损。这也就是为什么在选择钱包的时候不能仅考虑钱包的便利程度，还要看钱包程式码是否开源。外部开发和审计人员可以通过开源的程式码发现潜在漏洞，降低钱包被攻击的可能性。即使不幸出现钱包因存在漏洞被盗的情况，安全人员也能快速定位漏洞位置，及时补救。