原文链接:Web3 Wallet Guide,译文出自:登链翻译计划
本钱包指南将帮助你在选择钱包时做出明智的选择。
感谢 Trail of Bits 和 officer_cia 的资源,帮助编写本指南。
目录
介绍
前言
钱包设置建议
完全新手:中心化交易所
初学者/少量资金/短期存储:浏览器、桌面、硬件钱包
中级用户/中等资金/中期存储:硬件钱包
高级用户/协议/长期存储:多签、社交恢复
超级高级用户:自我加密
良好的私钥习惯(阅读所有这些)
介绍
摘要:你的钱包取决于你在 web3 旅程中的位置以及你要存储的加密货币数量。
因此,本文不会关于在 web3 中使用最受欢迎的前 5 大加密货币钱包!
本文让我们以实际的方式来看待严肃项目应该使用的钱包。尽管不会是详尽的摘要,因为教授操作安全性[8]和威胁向量将需要另外大约 60 小时的课程。此外,我们尚未亲自对我们将提及的任何钱包进行安全审查,我们要求注重安全的用户参考每个选项提供的安全信息。
这是一个毫不客气的、没有“点击此处购买此钱包”的推荐,仅是一个事实指南。
本指南适用于谁?
本指南旨在面向初学者/中级智能合约开发人员和协议。适用于那些说:
“嘿,我对这个 Web3 的东西相当认真,所以现在我开始担心我应该在哪里存储我的钱。”
例如,如果你已经完成过 Decert.me 上面的一些挑战[9],那么本指南适合你。
总的来说:根据资金金额和经验的钱包建议是:
完全新手: 托管钱包/交易所
初学者/少量资金: 浏览器钱包插件
中级/少量资金: 硬件钱包
中级/大量资金: 多重签名钱包/社交恢复和硬件钱包
高级/大量资金: 多重签名钱包/社交恢复或自行解决方案
快速链接:
比较钱包网站[10]
比较桌面和浏览器钱包[11]
前言
你的钱包选择永远不会是完美。
每个人对于一个出色的钱包选择都有不同的看法。
你的工作是不断学习、不断成长,并理解使用一种方法而不是另一种方法的权衡。在技术领域,大多数时候并没有“客观上最好”的做事方式。对于钱包来说,也是如此。
现在,让我们开始我们的指南,钱包选择建议
完全新手:托管钱包/中心化交易所
一个中心化平台,你怎么能这样推荐呢?
我知道我们推荐中心化平台是真正的亵渎神明。但请听我说。你的朋友会问你应该使用什么钱包,你的建议可能不应该与你使用的钱包相同。
想想你朋友圈中最笨的人。
想想你不得不解释 100 次“智能合约”是什么的人,然后问自己:“我会相信这个人能管理好他们自己的私钥吗?”
如果答案是“不”,他们应该使用中心化交易所,直到他们提升水平。
注意:我们不认为任何人是“愚蠢”的,只是“未受教育”,但我们使用“愚蠢”一词是为了戏剧效果。
优点:
易于使用
如果你还不擅长使用加密货币,他们可以保护你
缺点:
交易所可能会跑路[12] (不是你的私钥,不是你的加密货币)
交易所可能会倒闭
交易所可能会冻结你的账户
交易所拥有你的资金
无法与 web3 应用程序一起使用
潜在建议:尽量选择合规的、最有实力的托管钱包/中心化交易所。
初学者/小额资金/短期存储:桌面、浏览器或硬件钱包
首先,先了解一些定义:
初学者:具有一些 web3 知识但仍在摸索中,并且不“熟悉”在 Etherscan[13] 上操作。
小额资金:一个金额,如果你失去了它,世界不会因此而终结。这因人而异。对于 Jeff Bezos[14] 来说,这可能是~100 万美元。对于美国大学里的某个孩子,他可能是贷款 50 美元。对于一个有两个孩子但有一份好工作的父母,这可能是 1000 美元。这是一个你不想失去的金额,但如果你失去了,你不会感到心碎。
短期存储:你计划短时间持有的资金。就像传统钱包里的现金一样。
热钱包:连接到互联网的钱包。
冷钱包:未连接到互联网的钱包。
首先,让我们关注热钱包,因为它们可以说是不太安全的。
热钱包
在交易/托管钱包之后,下一步是“进阶”到更复杂的钱包,比如浏览器、桌面或硬件钱包。如果你是一个协议/项目/组织,你的资金不应该完全掌握在这些钱包中。
这些钱包非常适合在 Web3 中入门,并且在我们自己的监管下持有真实资金。浏览器钱包非常适合快速与应用程序进行交互,并且大多数网站都最适合使用浏览器钱包。
但是,我们不建议你将热钱包用于大额资金或用于应用程序的控制下。 在任何系统中,单一故障点都是安全风险,如果你的热钱包被黑客攻击,或者你的计算机被入侵,那就糟糕了!你肯定希望攻击者可以打破你的区域尽可能少,如果你的钱包只受到笔记本电脑上的密码保护,那么最好不要将该笔记本电脑带到任何活动中!
此外,让单个用户保护资金库永远不是一个好主意,因此我们希望使用一个在处理大额资金时更难移动资金的钱包。但对于小额资金和日常使用来说,这是很好的。
如果你一定要在热钱包中存放大量资金,最好将资金分散到具有不同助记词的多个钱包中,这样如果一个被 入侵,不会损失所有资金。
需要注意什么
在一个好的浏览器/桌面/硬件钱包中,你应该注意:
工具的安全审查/评级
工具是否是开源的(开源==好)
热钱包优点:
你的密钥,你的加密货币
与 web3 应用程序的使用便捷
适合保管“小”金额的资金,就像真钱包一样。
热钱包缺点:
你是唯一的安全检查点
如果你犯了一个错误,你会很快被摧毁
热钱包意味着你连接到互联网,所以如果有人黑了你的电脑,你就完蛋了!
供应链攻击:你可能下载到一个不好的软件/钱包
一些钱包跟踪你的数据[15] ,你需要定制你的钱包以获得更多隐私
潜在建议(热钱包):
Metamask[16]
Rabby[17]
Frame[18]
Rainbow[19]
MyEtherWallet[20]
升级你的热钱包建议
这些是可以使你的钱包使用更安全的工具。
Web3 Antivirus[21]
fire.xyz[22]
中级用户/中等金额/长期(较长)存储:硬件钱包
首先,快速定义,通过中等金额我们指的是失去这笔钱会很糟糕,就这样。但不是你所有的钱。这意味着大金额(在下一节)是你资金的大部分。
理想情况下,如果你对你的现金很偏执(你应该),那么将你的钱存储在硬件钱包中是你的下一个选择。
在浏览器/桌面钱包之后,我们可以升级到硬件钱包。理想情况下,这个设备是“ [网络隔离](https://en.wikipedia.org/wiki/Air_gap_(networking "网络隔离") )”,意味着它与互联网没有连接。
这是从浏览器钱包升级的一步,因为即使是你自己也更难访问加密货币。然而,如果有人拿走了你的设备,他们可能会黑进去并获取你的密钥。如果有人偷了你的设备,就认为它已经被破解了。在底部可以了解更多关于被破解密钥的信息。
然而,它们遭受了与浏览器钱包很多相同的问题。你是中心点,如果你搞砸了,你可能会失去一切。
与热钱包一样,如果你必须在热钱包中存放大量资金,最好将资金分散到多个具有不同助记词的钱包中,这样如果一个被破解,就不会失去所有的资金。或者使用下一节中描述的方法。
优点:
所有浏览器钱包的优点
与互联网分离
适合存放小到中等金额的资金
缺点:
易受“扳手攻击”,即有人实际攻击你并偷走你的设备
与浏览器钱包相同的缺点
供应链攻击:有人可能用恶意软件替换你订购的钱包,或者你可能下载了不好的软件,或者他们可能事先检查了你的助记词
即使硬件钱包有时也会被黑[23]
潜在建议(冷钱包):
Trezor[24]
KeyStone[25]
高级用户/大金额/长期存储:多重签名/社交恢复
多签钱包
像 Safe[26] 这样的多重签名钱包是我们推荐给高级开发人员和协议存储资金的首选。它们的工作方式是,你部署一个智能合约,需要 X 个 Y 签名者才能发送任何交易。可选地,Aragon[27] 专门为 DAO 准备了多签功能。
例如,在 3 个 5 多签中:
Metmask 钱包 A 批准发送 5 ETH
Trezor 钱包 B 批准发送 5 ETH
Frame 钱包 C 批准发送 5 ETH → 完成 3/5,ETH 已发送。
这对于甚至是独立开发人员和非开发人员来说都是一个很好的选择,他们希望经过各种安全检查来更安全地持有长期资金。你可以使用上面的选项的组合作为签名者。
社交恢复
社交恢复对于更高级的用户来说是另一个很好的选择。这是 Vitalik 的个人最爱[28]选项。
它的工作原理:
有一个单一的“签名密钥”,可以用来批准交易
有至少 3 个(或更多)“守护者”,其中大多数可以合作来更改账户的签名密钥。
来自 Vitalik 的博客:
在所有正常情况下,用户可以像使用常规钱包一样使用他们的社交恢复钱包,使用他们的签名密钥签署消息,以便每个签署的交易都可以在单击确认时飞走,就像在“传统”钱包(如 Metamask)中一样。
如果用户丢失他们的签名密钥,那么社交恢复功能就会发挥作用。
用户还可以使用 Shamir 备份[29] ,类似于社交恢复。你可以将你的密钥“分享”给信任的用户,当这些分享组合在一起时,你可以恢复你的密钥。
恢复分享通常是一系列包含部分加密密钥的 20 或 33 个英文单词的序列。Trezor T 是一款硬件钱包,出厂即具备此功能。
优点:
多个签名者,意味着采取多个步骤来执行操作
如果一个密钥被破解,你不必转移资金,你只需更换被破解的密钥
缺点:
web3 应用程序的支持不足
不同链上的地址不同
潜在建议(多签钱包):
Safe[30]
潜在建议(社交恢复功能):
Safe[31]
Argent[32]
超级高级用户:自制工具
上面的每个选项都有问题。无论如何,都没有完美的解决方案。因此,一些人决定走额外的一英里,因为他们对上述每个缺点的不信任(有理由)。
因此,其他人采取了一些选项:
脑钱包:用户只使用他们记住的私钥
纸钱包:用户只使用他们在安全位置上写在纸上的私钥
自制加密工具:用户创建了他们自己的加密工具和/或密码管理器,他们在发送交易时随时使用。
我曾经遇到过一个人,他的系统看起来是这样的:
拥有数百个小额钱包,每个都有不同的备份存储在不同的位置,还有大约 10 个“主”钱包,其中有“大部分”资金
从不使用硬件或浏览器钱包,不信任它们,并且从他们自己构建的工具中生成助记词。
对每个密钥进行加密,并将加密密钥存储在几个存放在受信任个人秘密位置的硬盘驱动器中(就像 sudo 社交恢复一样,他发送设备的人不知道如何解密它们)
每 6 个月,他们会将所有资金转移到不同的新钱包中。所以,当你变得富有或有很多钱需要保护时,你也可以做类似的事情。
优点:
除了你自己,你不必信任任何东西
缺点:
这需要很多时间和一个非常高级的用户
密钥管理 | 良好的私钥习惯(阅读所有这些)
我应该告诉别人我有多少钱吗?
不。
任何攻击者的第一步是选择目标。你的低调越好,攻击者能获取的信息越少越好。
我应该从黑客马拉松中获得硬件钱包吗?
不。
以下是一些处理硬件钱包安全的建议:
始终直接从供应商/公司购买 — 或者官方经销商。但确保官方经销商确实是官方的。
不要使用从黑客马拉松中获得的硬件钱包
我可以多年使用相同的私钥吗?
可以,但最好轮换你的密钥/钱包。用不同的替换它们。这就是为什么像 Safe[33] 这样的多签名钱包很棒,你可以保持相同的地址/钱包但更改签名者。
理想情况下,每隔 6 个月左右(取决于你的安全卫生)你应该对你的密钥进行安全审查。
我所有的密钥在哪里?
我所有的钱在哪里?
如果我的房子着火了(包括我的手机/电脑),我能恢复我的加密货币吗?
练习:拿出你的日历,设置一个每 6 个月审查你的密钥的重复事件。
我应该在哪里备份我的助记词/私钥?
你可以/应该把它备份在只有你知道的秘密地点。比如以下的一些地方:
放在金属板上并隐藏起来
记在脑子里
写在一个秘密地点的纸上
加密在一个密码管理器中(不要让密码管理器知道私钥/助记词)
把它放在保险库里
有很多地方可以安全地存储你的私钥/助记词,这很好。我们希望使其难以获取。这就是你可以/应该有点创造性的地方。
我不应该用我的私钥/助记词做什么?
拍照
上传到云端
发送短信
发送电子邮件
给你那个以传播流言蜚语而闻名的表弟杰里德
我的操作系统重要吗?
是的。不要使用 PC/Windows[34] 来存储/处理任何大量的加密货币。Windows 是地球上受到最多恶意软件攻击的目标,其安全权限可以说是不太直观的。
最重要的是:
如果你的密钥:
丢失
显示在屏幕上
可能被别人访问
认为它已经被泄露,并开始将你的钱转移到一个新的钱包。
要了解智能合约安全和开发,可以参加线下区块链集训营。
本翻译由 DeCert.me[36] 协助支持, 在 DeCert 构建可信履历,为自己码一个未来。