区块链资产安全攻略

这是「区块链技术指北」的第 8 篇文章。

如果对我感兴趣,想和我交流,我的微信号:Wentasy,加我时简单介绍下自己,并注明来自「区块链技术指北」。同时我会把你拉入微信群「区块链技术指北」。

在上一篇译文 「译」保护你的个人资产 中,有多达 20 条保护资产的建议。本文从个人经验出发,再为读者总结下「区块链资产安全攻略」。

本文从钱包、密码、软件、备份、交易所、习惯几个方面给出一些指引。

钱包


  • 每个钱包在熟练使用之前,请用小额测试。
  • 有条件购买硬件钱包。
  • 在线钱包如果有 Google 二次验证的,一定要启用,此条规则适用于各交易所,比如币安、OKEx、火币、BigOne、OTCBTC、LocalBitcoins 等等。
  • 尽量将自己的资产保留在钱包,交易所只是做一个暂存地。
  • 私钥就是资产,切记不要在微信群、电报群、GitHub、博客等一切公共的地方泄漏。
  • 尽可能使用离线版 MyEtherWallet,离线版的意思是从官方下载一个 zip 压缩包,可以在不联网的情况下操作钱包。
  • 开启 Google 二次验证务必备份二维码以及识别码(密文),更换手机之后,可以手动在另一台手机使用二维码或者识别码恢复。
  • 发起交易一定要再三确认好转账地址是否完全正确。
  • 确定好 Token 应该存放在什么样的钱包。
  • 选择钱包尽量选择开源的国外产品。
  • 将资产分散到不同的钱包,不要把所有的 Token 都放入一个钱包,如果非要放在一个钱包,本文所有的安全策略请做到位。这里还有一个建议,如果是数额比较大的区块链资产,连地址(也就是公钥)都不在互联网暴露,一是个人资产保密,二是防止被盯上。

密码


  • 需要设置访问密码的钱包,建议设置至少 64 位的密码,笔者设置了 128 位,并且包含大写字母、小写字母、数字和特殊符号。笔者使用 Python 编写了一个生成随机密码的脚本,本地运行,生成密码的数据字典是 abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789!#$%&'()*+,-./:;<=>?@[\]^_{|}~`。
  • 不要使用任何网站生成随机密码。不太确定这些没有开源的网站会怎么样玩弄你生成的密码。对于开发者而言,这只是简单的获取数据再入库的操作罢了。
  • 区块链资产网站(比如各交易所)相关的密码,个人建议不要使用诸如 1Password、LastPass 的密码管理工具。

软件


  • 不要下载来历不明的软件,不要访问诈骗或者钓鱼网站,特别是加密货币资产相关的,假如你在这些途径输入了私钥,从技术上来说,很容易就能获取。
  • 推荐 Chrome 插件如下:EtherAddressLookup、MetaMask、MyEtherWallet、AdBlock、Adblock Plus 和 ForceSSL。
  • 注意网站的 HTTPS 以及证书标识。
  • 不要使用盗版软件,盗版软件被添加木马的概率太高。
  • 链接不要乱点,乱点的下场就是电脑有可能被注入挖矿脚本,CPU 飙到 100%,还有可能电脑被控制,不开玩笑。
  • Mac 或者 PC 安装一个具有流量监控的功能,若上传流量异常,需要及时关注,并且搞清楚是什么软件产生的,避免恶意软件上传本地文件至云端。
  • 使用 Gmail 而不是国内邮箱,有条件可以使用 ProtonMail。
  • 很多网站都需要 FQ 访问,确认自由上网的软件是不是可靠的,不要用免费的,切记。从 0 到 1 搭建这种服务也不是什么难事。
  • 不要使用 Wi-Fi 万能钥匙,不要乱连 Wi-Fi。
  • 使用 Mac 的同学可以看下 macOS Security and Privacy Guide。
  • 所有软件(包括操作系统)第一时间更新到最新版,最新版可能会有各种问题,但软件没有 100% 完美的,更新做的事情如下:修复漏洞、添加 Feature、性能优化、架构调整等。如果硬件因为软件的更新变慢了,这是提醒你更新硬件了。
  • iOS 千万不要越狱,有条件选择原声 Android 手机。
  • 关于更多安全知识,可以在 SecWiki 查看。

备份


  • 备份很关键,而且最好是冷备份,不要备份到任何云盘。
  • 保护好个人手机电脑,谨防丢失,一旦丢失,iPhone 可以提前开启 Find My iPhone,远程抹掉数据。
  • 个人 Mac Time Machine 备份开启加密备份,谨防个人移动硬盘丢失。更多关于备份的建议,可以参考 备份与恢复的一点思考。

交易所


  • 如果不是 100% 确认可靠,尽量不要找人担保交易,走交易所最好。目前大多数交易所都是币币交易,但也有场外交易平台可以选择。
  • 尽量选择 Top 20 交易所,交易所名称可以在 这里 查到。
  • 通过 CoinMarketCap 查看对标现值,不要轻信某个 Token 的价格和市值。

习惯


  • 人是贪婪的,合理把控自己的欲望,同时理解什么是风险。
  • 需要对自己的每一个投资行为负责,不追涨杀跌,不懂不投,价值投资,长线投资。另外,场外能力赚钱更重要。
  • 通过 Google 搜索区块链相关网站或者咨询,千万不要用某度。任何信息需要自我验证真实性,不要听风是风,听雨是雨。

附言


本篇文章写了比较长时间,想到哪里写到哪里,希望对读者有所帮助。安全是每个人都应该关心的话题,不管是否有技术背景。关心是意识问题,关键是时刻反思自己的安全策略是否有漏洞,如果有,需要及时 Fix。并且经常 Review,再 upgrade。

原文发布于微信公众号 - 区块链技术指北(BlockchainAge)

原文发表时间:2017-12-18

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏区块链技术指北

「译」保护你的个人资产

1、购买 Ledger 或者 TREZOR 硬件钱包。 存储 ETH、代币、ETC、BTC 和其他虚拟货币最安全最便捷的方式之一就是使用 Ledger Nano...

3107
来自专栏FreeBuf

数字货币钱包安全白皮书

近期,我们对应用市场上流通的热钱包以及冷钱包进行了相关安全审核评估,发现了很多安全问题,360信息安全部依靠通过对各类攻击威胁的深入分析及多年的安全大数据积累,...

873
来自专栏区块链大本营

如何摧毁黑客梦想, 提升EOS游戏体验? 本营小仙女: 比他们更努力!

对于制造伪 EOS 以次充好,其实只需要检查发行方是否为 eosio,或者调用相关合约查看代币信息,但是检查代币操作依然不够严谨的情况下又会产生更多的变体漏洞,...

1271
来自专栏尚国

数字货币钱包安全白皮书

区块链技术的迅速发展,使得数字货币渐渐走入的大众的视线,在2017年底,这股热潮达到顶峰,直接搅动着金融市场与科技市场,大量的数字货币交易流水催生了数字钱包开发...

1143
来自专栏区块链入门

慢雾科技:EOS、以太坊网络攻防情报及智能合约安全分享

区块链生态中恶意攻击事件频发?冲击过后我们还应当如何搭建安全堡垒?安全是区块链行业发展背后的坚实力量,技术则是在攻防战争中矛与盾的力量转化。这里有一份以技术为导...

731
来自专栏区块链

劫持比特币:对加密货币进行路由攻击

在高层次上,比特币是一个随机建立的对等网络(Peer-to-peer network),这一网络由数千个节点和成千上万的依赖泛洪路由(Flooding)传播交易...

5598
来自专栏极客编程

比特币与130多种山寨币的数字货币开源交易库CCXT(CryptoCurrency eXchange)

CCXT(CryptoCurrency eXchange)交易库,一个JavaScript/Python/PHP加密货币交易库,支持超过100种山寨币与比特币交...

1111
来自专栏liuchengxu

Tendermint: 共识概览

Tendermint 是一个易于理解,大部分操作为异步的 BFT 共识协议。下图是一个简单的状态机,它展示了协议遵循的规则:

651
来自专栏申龙斌的程序人生

体验小矿工:门罗币挖矿指南

国家在2017年9月全面禁止了ICO,但比特币挖矿仍是合法的。挖矿行业涉及到场地、矿机、电力等诸多因素,前期投入比较大,现在基本上都是专业机构在参与。如果你想体...

8919
来自专栏申龙斌的程序人生

用API获取Bigone历史成交记录

Bigone中查看历史交易的功能并不友好,只能按时间范围查询,如果一笔订单分为许多次成交,界面里就列出多少条,而且还混杂着其它币种,想查清楚自己在哪个价格卖出多...

1393

扫码关注云+社区