Web3安全避坑指南(钱包分类及风险)

Web3 安全避坑指南钱包下载及使用过程中的风险Web3钱包类别有网页钱包,移动端钱包,桌面钱包,硬体钱包,纸钱包,

浏览器钱包
浏览器钱包比如MetaMask、Rabby 等,是作为浏览器的外挂安装在使用者的浏览器(如Google Chrome、Firefox 等)。浏览器钱包通常更易于访问和使用,并且不需要下载或安装额外的软体。

Web3安全避坑指南(钱包分类及风险)插图


网页钱包(不建议使用)
网页钱包允许使用者通过网页浏览器访问和管理加密资产,虽然这种方式较为便利,但背后的风险不容忽视,网页钱包一般把助记词加密存在浏览器的本地储存里,因此可能受到恶意软体或网路攻击的威胁。

Web3安全避坑指南(钱包分类及风险)插图1


移动端钱包
移动端钱包的运作方式与网页端类似,通常作为应用程式提供,使用者可以在手机上下载和安装。

Web3安全避坑指南(钱包分类及风险)插图2

桌面钱包
桌面钱包在加密货币问世的早期较为常见,较为知名的如Electrum,Sparrow 等。这类钱包是安装在电脑上的应用程式,私钥和交易资料储存在使用者的本地装置上,使用者对其加密货币私钥有完全控制权。

Web3安全避坑指南(钱包分类及风险)插图3


硬体钱包
硬体钱包是用于储存加密货币和数位资产的物理装置,如Trezor,imKey,Ledger,Keystone,OneKey 等。硬体钱包提供了一种离线储存私钥的方式,这意味着在使用硬体钱包和DApp 进行互动的时候,私钥不会暴露在网上。

Web3安全避坑指南(钱包分类及风险)插图4


纸钱包(不建议使用)
纸钱包是以二维码的形式,将加密货币地址与其私钥列印在一张纸上,然后通过扫描二维码来开展加密货币交易。

Web3安全避坑指南(钱包分类及风险)插图5


钱包常见风险
下载到假钱包
由于很多手机不支援Google Play 或者因为网路问题,很多人会从其他途径下载钱包,比如第三方下载站,或者直接用浏览器搜寻某钱包,然后随机点进一个排名靠前的连结,这样大概率会下载到一个假钱包,因为搜寻引擎的广告位及自然流量是可以买到的,骗子可以通过购买排名靠前的广告位,伪造一个假钱包官网,诱骗使用者访问。下图为使用百度搜索TP 钱包的结果:

Web3安全避坑指南(钱包分类及风险)插图6


购买到假钱包
供应链攻击是硬体钱包安全性的主要威胁之一。如果使用者不是在官方商店或授权经销商处购买硬体钱包,那么在钱包到使用者手上之前,会经多少人之手,内部元件是否被篡改过,这些都是不确定的。下图中,右边的硬体钱包是被篡改过的。

Web3安全避坑指南(钱包分类及风险)插图7


电脑中木马
如果电脑中了木马,钱包便会被恶意软体影响。慢雾安全团队曾写过一篇《暗夜小偷:Redline Stealer 木马盗币分析》,对该风险的形成过程及影响做了详细分析,感兴趣的读者可以点选检视。我们在此建议使用者安装防毒软体,如卡巴斯基、AVG、360 等,保持安全软体即时防护开启,并随时更新最新病毒库。

钱包自身漏洞
最后,或许你下载了正版的钱包,使用过程足够小心,装置及现实环境也足够安全,但如果是钱包自身设计存在问题的话,也可能被骇客攻击,使用该钱包的使用者一样会资产受损。这也就是为什么在选择钱包的时候不能仅考虑钱包的便利程度,还要看钱包程式码是否开源。外部开发和审计人员可以通过开源的程式码发现潜在漏洞,降低钱包被攻击的可能性。即使不幸出现钱包因存在漏洞被盗的情况,安全人员也能快速定位漏洞位置,及时补救。

上一篇 下一篇

声明:本文所述观点并非馨嘉源区块链钱包网的立场,并不构成对购买、持有或出售任何数字资产(包括加密货币、硬币和代币)或进行任何投资活动的邀约或建议,本文仅供参考。投资存在风险,请自行评估。转载需注明来源,违者必究!