虚拟货币放在冷钱包还是交易所?该如何选择?
虚拟货币放在冷钱包还是交易所?该如何选择?最近一段时间,币安和 OKX 都不太平。币安有用户反馈恶意插件 Aggr 绕过币安的 MFA(多因素身份认证),通过对敲盗走了用户的资产。OKX 则有用户称黑客使用 AI 换 脸绕过 MFA 后更换了手 机号、邮箱以及谷歌的验证器,随后盗走用户资产。
受害用户们撰写了生动的长文,一石激起千层浪。一时间,人心惶惶,各种截图谣言四起催促着人们赶紧提走代币。但仅仅是迁走代币,就够了吗?或许,这个问题本身折射的思维模式,未必正确。安全从来不是一道单选题。
今天脚本之家小编给大家分享的是虚拟货币放在冷钱包还是交易所?该如何选择的详细介绍了,需要的朋友不要错过哦!
了解 Web2 账户安全的防线:MFA
如果你非要在冷钱包和交易所之前二选一,其实本质上,就是在「私钥」和「MFA 多因素身份认证」之间选择。
对于 MFA,如果你是一个多年的互联网冲浪选手,或许你已深有体会——
不知道从什么时候开始,一个简单的密码已经不够了。短信验证码、邮箱验证码,甚至是人脸识别、谷歌验证器才是「主角」。国内有的 APP 甚至不需要设置密码,只需要手机验证码。
这很好理解,大部分普通人设置的密码根本不够安全(很多密码库已经被各大海内外网站泄露无数次了),所以需要层层保护:
第一层,只有你知道的信息:如密码、安全问题;
第二层,只有你在持有的物品:如 SIM卡、手机、谷歌验证动态密码等;
第三层,只有你本人有的特征:如指 纹、虹 膜、人脸、声音等。
一个常见的认证因子组合:密码 + 邮箱验证码 + 手机验证码 + 谷歌验证器动态密码 + 用户人脸身份信息。
是不是听起来无懈可击?理论上来说,启用了完全的 MFA ,账户应该非常安全。即使某一层被突破,黑客也无法访问帐户,除非他们也获得了其他身份验证因素。
但是实际上并非如此。
在各大互联网公司中的业务流程中,他们可能会为了简化用户的操作采取动态式的、选择性地验证。
这时候,真正重要的便是其风控方案(如异地登陆、异常操作识别)能否覆盖到用户操作的边缘情况。
以推特为例,2023 年 9 月,以太坊创始人 Vitalik 遭遇了 SimSwap(Sim 卡交换)攻击——即有黑客通过社会工程学,让服务商 T-mobile 转移 Vitalik 手 机号到黑客手机上。随后 Vitalik 的推特发布了诈 骗信息,导致了约 69 万美元的损失。
Vitalik 事后在 Warcast(一个去中心化社交平台) 上感叹,一个电话号码足以重置 Twitter 账户的密码,电话号码并不安全。慢雾科技的首席信息安全官也表示,SimSwap 攻击成本不高,甚至黑市里都有 SimSwap 劫持的报价。(出处(https://x.com/WuBlockchain/status/1701407498174108136 、https://chaincatcher.com/article/2101231)。
可见,即使有 MFA 的存在,在手机 号验证权限过大、没有识别出异常登陆的情况下,推特没有阻挡黑客的攻击。当然,这也可能是推特在效率和安全上的平衡。
这种平衡,在涉及管理用户资产的交易所更是一个难题。
以币安用户因恶意插件丢失资产为例。黑客实际上并无法通过直接提币到链上盗取用户的资产,因为这肯定会需要过 MFA。所以,黑客使用了交易操作进行对敲,通过来回亏损交易某个小市值代币让黑客从波动中获利。随后快速地从另一个账户提走,完成盗币。
然而,对于登陆状态下的交易所,大部分人肯定是希望交易能够及时、快速。大家肯定不希望在快速买卖的过程中还要验证几层 MFA。在这一点上,币安只能通过升级更复杂的风控方案(比如识别对敲)来解决,而不是使用 MFA 去影响用户交易的效率。
放弃一劳永逸,唯有狡兔三窟
看完前一部分内容,相信你已经知道理解了 MFA 并不完美,仍需要通过风控方案来进行平衡效率和安全。强如世界级大所,也需要一直升级。
而选择私钥,便是自我承担风控方案的开始,这升级的压力来到了你的身上。
你是否做好了准备完全控制自己的加密资产?你也许一开始只是简单地从小狐狸上抄写私钥到小纸条上,但很快你就会发现这远远不够。
你依然需要:
- 以相同的力度防止黑客入侵你的电脑;
- 以相同的警觉度防范最新的黑客钓鱼、社会工程攻击;
- 在常用热交互钱包、冷钱包之间分配资金,同时管理授权;
- 付出一些额外成本,如使用硬件钱包保护隔离私钥,甚至是更高级的方案
到这一步,你会发现「放在冷钱包还是交易所,到底怎么选?」并不是一个好问题。私钥和 MFA 都各有好处和权衡。
对于系统性地管理资产安全,思考这几个问题才是更重要的:
- 有哪些风险?对于大部分用户来说,就是防黑客入侵与钓鱼;
- 如何分散风险?通过多样化和冗余的策略来降低单点故障的风险;在 Defi 圈子里,有句话叫「一矿一地址」,可以体会下;
- 如何降低风险?是否在能力范围内采取各种各样的预防措施和控制措施,比如安装安全插件、使用硬件钱包甚至是多签;
- 如何应对风险?制定应急响应计划和灾难恢复计划,比如如何最快联系到如慢雾这样安全机构进行资产被盗后的补救。
这些问题,对于不同资产规模、不同需求的用户,回答都不同。
搞清楚这些问题之后,或许我们就不会再问标题所提到的问题,做一些诸如把全部资产放在一个交易所、使用存放大额资产的钱包去交互陌生网站的操作了。
(推荐阅读:A0 ~ A9 成神之路的加密资产保管方案,你在什么段位?https://x.com/OneKeyCN/status/1792075838617452688)
结语:安全是反人性的
投资通常是反人性的,安全亦然。
安全被黑客攻破,最终往往是由于人性的弱点被利用——如懒惰、贪婪和轻视。
我们深知一些用户只想要一个简单的答案,比如用 App 这个就安全、买了这个硬件钱包就能解决一切问题。就像大家永远在问,买了哪个币能发财。
作为一家负责的加密安全解决方案提供商,我们必须诚实地说——安全不是一个简单的结果,而是一个思想和实践过程。
有人说,认知决定了财富获取的高度。
同样地,认知也决定财富守护的底线。
以上就是脚本之家小编给大家分享的虚拟货币放在冷钱包还是交易所?该如何选择的详细介绍了,希望大家喜欢!
你可能感兴趣的文章
-
热钱包转账冷钱包需要手续费吗?热钱包转冷钱包需要注意哪些问题?
热钱包指的是连接到互联网的在线钱包,而冷钱包则是离线存储的硬件设备,对于许多加密货币投资者来说,可能同时存在使用两种钱包的情况,投资者可能会对其热钱包转账冷钱包…
2024-05-11 -
币圈热知识:虚拟币冷钱包和热钱包哪个好?哪个安全?
虚拟币钱包分为两大类:热钱包和冷钱包,热钱包和冷钱包是交易所平台用来保护客户资金的安全措施,相信也有很多币圈新手不知道两种钱包该如何选择,那么,虚拟币冷钱包和热钱…
2024-03-24 -
萨尔瓦多公布每日定投1比特币冷钱包地址!总统:直到付不起为止
萨尔瓦多总统布格磊昨(15)日宣布将大部分比特币转存至冷钱包,并公开钱包地址,此举获得加密社群广泛赞赏,布格磊接着在今日宣布,萨尔瓦多将持续每日定投1枚比特币至该冷…
2024-03-16 -
萨尔瓦多公布冷钱包地址!拥有5690枚比特币
萨尔瓦多总统Nayib Bukele近期因比特币的大涨而春风得意,并在X上大秀资产,称萨尔瓦多已将多数比特币转移到冷钱包中,并将该冷钱包存放在国家领土内的实体金库中,更多详…
2024-03-15 -
冷钱包Bitkey开放预购!Jack Dorsey:存好你的比特币
推特创办人Jack Dorsey旗下支付平台Block(前身为Square)去年宣布打造冷钱包Bitkey,并在12月时开放全球预购,内容物包含冷钱包实体及使用说明书,关于冷钱包Bitkey开放预购…
2024-03-15 -
如何使用 imToken 冷钱包与 MetaMask 钱包连接使用方法
imToken 现已支持连接插件钱包,通过扫描二维码将 MetaMask 钱包与 imToken 冷钱包连接,你可以使用 MetaMask 管理 imToken 冷钱包,进行转账、交易等操作,享受 imToken …
2024-03-14 -
如何设置imToken 冷钱包?如何结合观察钱包使用
隔绝网络环境下创建的离线钱包,冷钱包可以阻断黑客通过互联网盗取用户助记词的可能性,使钱包里的资产更加安全,但隔绝网络后,要如何转出冷钱包中的资产呢?这就需要提到与…
2024-03-14 -
神秘比特币巨鲸Mr.100真身解密!Arkham证实是交易所Upbit冷钱包!
「Mr.100」,一个因每次购入约100枚比特币而引起加密社群关注的神秘地址,近日被加密货币情报平台Arkham证实,实际上为韩国交易所Upbit的冷钱包,那么关于Arkham证实是交易…
2024-03-14 -
大家常说的冷钱包是什么?为什么说冷钱包的安全性最高
今天咱们就来谈一谈,虚拟货币中的冷钱包,究竟是什么?为啥安全性那么高,需要的朋友可以参考下…
2024-03-09 -
币圈冷钱包详细操作流程(图文详解)
这篇文章主要介绍了币圈冷钱包详细操作流程,主要是通过一个离线手机来完成的,永不上网,找个不怎么用的手机即可…
2024-03-09
