imToken 在 1.3.3 版本新增了用戶風險測評系統, 目的是為了讓更多的用戶瞭解錢包安全知識以及區塊鏈的基本概念, 從某種程度上提升了整個區塊鏈生態的認知水平。但是這也對很多小白用戶帶來了困擾, 反覆測試都不過 (慘不忍睹程度堪比科目二), imToken 是希望用戶可以通過幫助中心自主學習相關知識, 不過今天小劉特意為你帶來了快速通過測評的攻略, 幫你迅速掌握去中心化錢包的安全知識。
所有問題大體可以分為三類, 分別為區塊鏈基本概念、錢包安全知識以及錢包交易轉賬。
區塊鏈基本概念主要是圍繞"什麼是 ERC20 代幣", "以太坊的錢包地址是怎樣的", "什麼是錢包", "在使用 imToken 時, 用戶的數字資產是存儲在哪裡的"等問題展開。
地址: 以 0x 開頭的 42 位的哈希值 (16 進制) 字符串。
Keystore: 明文私鑰通過加密算法加密過後的 JSON 格式的字符串, 一般以文件形式存儲。
助記詞: 12 (或者 15、18、21) 單詞構成, 用戶可以通過助記詞導入錢包, 但反過來講, 如果他人得到了你的助記詞, 不需要任何密碼就可以輕而易舉的轉移你的資產, 所以要妥善保管自己的助記詞。
明文私鑰: 64 位的 16 進制哈希值字符串, 用一句話闡述明文私鑰的重要性 "誰掌握了私鑰, 誰就掌握了該錢包的使用權!" 同樣, 如果他人得到了你的明文私鑰, 不需要任何密碼就可以輕而易舉的轉移你的資產。
去中心化: 因為整個網絡沒有中心統治者。系統依靠的是網絡上多個參與者的公平約束,所以任意每幾個節點的權利和義務都是均等的,而且每一個節點都會儲存這個區塊鏈上所有數據。即使該節點被損壞或遭受攻擊,仍然不會對賬簿造成任何威脅。
不可逆: 區塊鏈上的信息必須不可撤銷,不能隨意銷燬。系統是開源的,整個系統都必須是公開透明的,因此某筆交易被全網廣播以後,達到 6 個確認以上就安全記錄在案了,且不可逆轉不可撤銷。(注: imToken 是 12 個區塊確認)
不可篡改: 確保信息或合約無法偽造。賬簿在某個人或某幾人手上,造假的可能性就非常高,但每個人手裡都有一本賬簿,除非整個遊戲裡超過 51% 的人都更改某一筆賬目,否則任何的篡改都是無效的,這也是集體維護和監督的優越性。
匿名性: 各區塊節點的身份信息不需要公告或驗證, 信息傳遞可以匿名進行。舉個簡單的例子, 就是你在區塊鏈上向一個錢包地址發起交易, 但是卻無法知道這個地址背後確切對應的是那一個人, 或者你的私鑰被某一個黑客盜竊了, 無法從一個錢包地址中得知黑客是誰。
最後關於這一模塊比較難理解的就是使用 imToken 這種去中心化錢包, 資產到底存儲在哪裡? 很多小白用戶, 帶著慣有的傳統中心化管理資產的思考方式, 來使用 imToken 這種去中心化的錢包。那麼就會造成很多誤會, 甚至為自己的資產帶來巨大的損失。那麼我們首先要深入瞭解到底什麼是錢包?
錢包是密鑰 (公鑰和私鑰) 的管理工具, 他只包含密鑰而不是確切的某一個代幣。錢包中包含成對的私鑰和公鑰。用戶用私鑰來簽名交易, 從而證明該用戶擁有交易的輸出權。而輸出的交易信息則存儲在區塊鏈中。
其次, 我們需要深刻的認識一個問題, 既然錢包不存儲確切的某一種代幣, 而是存儲密鑰, 那麼使用這種去中心化錢包, 資產到底存儲在哪裡? 大概有 70% 的人認為資產是存儲在錢包公司服務器上的, 因為長時間的使用中心化平臺, 例如交易所去存儲資產, 所以一旦面臨資產丟失或者被盜, 第一時間就會聯繫服務商, 要求凍結賬戶或者交易回滾等中心化操作。但事實並非如此, 我們在使用 imToken 這種去中心化錢包時, 私鑰是由自己保管, 同樣資產也是存儲在區塊鏈上, 而不是錢包服務器上, 更不可能存在設備上。所以上述一些所謂凍結賬戶、交易回滾等操作也就不成立。
錢包安全知識部分其實整個測評中最重要的部分, 基本上是必答題, 也就是有關錢包安全的題如果打錯, 那麼也就無法通過測評。但這部分卻並不複雜, 主要圍繞四個部分, 即錢包備份、防盜策略、防丟策略以及緊急事件處理方法。
緊急事件處理: 一旦發現自己錢包出現不是自己操作的轉出交易, 或者意識到自己的私鑰已經洩露, 那麼立即停止使用該錢包 (不要再向該錢包轉賬), 新建錢包 (當然要做好新錢包的備份) 然後立即將資產轉移至新錢包。很多人希望錢包服務商幫忙查找盜幣者或者黑客的信息, 這一點在之前的基礎知識部分已經講的比較清晰了, 因為是去中心化錢包, 所以很難提供什麼有效線索去幫助受害者"破案"。
防丟策略: 可以說防丟策略和防盜策略是整個錢包安全知識的重中之重, 錢包丟失一般分為三種情況:
1. 刪除錢包時, 沒有備份錢包。建議在創建完錢包之後, 立即備份錢包, 採用雙重備份和多次備份兩種策略。雙重備份是指 Keystore 備份和助記詞備份, 多次備份是指在備份完 Keystore 和助記詞之後, 要驗證備份是否正確, 反覆驗證, 確認無誤即可。
2. 忘記了 Keystore 密碼。我建議使用強度較高的密碼加密 Keystore, 這個密碼最好是隨機生成, 不常用的密碼。這樣提高了 Keystore 的安全性, 但是也對保管密碼帶來了巨大的挑戰, 我推薦使用 1password 或者 lastpass 等密碼管理工具, 妥善保管好自己的密碼, 以防遺忘。
3. 遺失了私鑰。這裡的私鑰包括助記詞、Keystore 和明文私鑰, 有些小白在備份助記 詞時, 抄寫過後並沒有做驗證, 或者自己過於潦草, 導致後期很難辨識, 這些都會導致無法再找到自己的錢包。所以我們在備份錢包時要仔細認真, 在後期保管錢包時, 要善於使用一些安全的管理工具, 確保自己可以隨時找到私鑰。
防盜策略: 我們要清楚我們被盜的是什麼? 是某個資產嗎? 是某個確定的代幣嗎? 其實都不是, 防盜的實質是防止我們的私鑰洩露, 或者被黑客盜取。而在防盜策略上, Keystore 和助記詞(或者明文私鑰) 的側重點有所不同。
Keystore 防盜策略: 由於 Keystore 是被加密過後的私鑰, 並且一般是以 JSON 文件形式存在, 採用"抄寫"這種策略明顯是不科學的, 所以可以存儲在 U 盤裡或者密碼管理工具裡。存儲 Keystore 時要和密碼分開存儲, 這樣只要密碼強度足夠高, 即使被黑客盜取了 Keystore , 也很難破解, 備份 Keystore 時也要多處存儲, 比如你只存在 U 盤裡, 如果 U 盤丟失, 那麼也相當於丟失了錢包。
助記詞防盜策略: 在存儲助記詞時, 就需要更加謹慎一些, 因為助記詞毫無安全性可言, 一旦被第三方竊取, 那麼我們的資產將面臨巨大的威脅, 所以建議採用物理介質備份, 抄寫在一張紙上, 並且妥善保管, 抄寫時要注意準確性, 也要注意長久保存, 不要出現字跡看不清楚等問題。
PS:
Case 1: 某男將 Keystore 存儲在自己的微信收藏裡, 而 Keystore 的密碼和微信密碼是一致的, 結果錢包被盜資產預計 15 萬 RMB.
Case 2: 某女將自己的 Keystore 通過郵件進行傳輸, Keystore 密碼和郵件密碼是一致的, 結果郵件被黑客攔截, 被盜資產預計 30 萬 RMB.
Case 3: 某女因為怕自己遺忘備份的助記詞, 所以將助記詞告訴身邊的親朋好友, 幫忙記住, 結果被其妹夫盜取資產預計 3 萬 RMB (後因其妹夫主動承認, 才得以查清事實)
最後的考點內容則是交易轉賬, 這部分內容主要圍繞三點展開, 一個是如何查詢自己的交易信息, 二是 imToken 支持哪些代幣, 三是礦工費如何計算。再簡化一些, 這部分內容, 我們只要掌握一項技能就可以"通關" - 如何使用 Etherscan (網址: https://etherscan.io/ )
還有礦工費到底是怎麼計算的, 公式: Gas fee = gas * gas price, gas price 的單位是 gwei, 4 gwei 相當於 0.000000004 ETH ,我們可以去 Etherscan 上查看最近一筆轉賬成功的交易, 看看這筆交易的 gas 和 gas price 是多少, 我們照著設置就可以了。其實使用 imToken 只要不是特殊的交易, 我們無需理會礦工費問題, imToken 已經幫我們做好了這一切。
最後一個小的知識點, 就是如何用 MyEtherWallet 網頁錢包 ( https://www.myetherwallet.com/ ), 來搭配 imToken 做一些操作。例如錯將 ETC 轉入 imToken。這些操作不在這裡細說, imToken 的幫助中心內容很豐富, 裡邊都有涉及。但是大家在使用 MyEtherWallet 的時候一定要注意不要使用釣魚網站, 注意科學上網。
相關推薦
