對話王一石和超級君:還要 CeFi 暴雷多少次,持幣者才肯用自己的錢包?

子魚
2022-11-16 14:31:52
收藏
Not Your Keys Not Your Coins,其實硬體錢包僅僅需要一頓火鍋的錢而已。

主持人:子魚

嘉賓:OneKey 王一石、本末社區主理人超級君

image

在子魚的最新一期推特 Space 活動中,請來了 OneKey 的核心貢獻者王一石和本末社區的主理人超級君,他們在活動中聊了聊歷年來的 CeFi 爆雷事件以及踩過的坑,以及用戶應該如何使用硬體錢包來保證自己的資金安全。

子魚: 今天的話題就正式開始。我是子魚,也是個老韭菜了。今天我們請來了 OneKey 的核心貢獻者王一石和本末社區的主理人超級君。這兩位朋友我們應該都非常熟悉了,今天的主題說實話還是有點扎心,就是 not your keys not your coins 主要就是要想跟大家聊一下,還要 CeFi 暴雷多少次,持幣者才肯用自己的錢包,這也是這次市場動盪的一個非常慘重的教訓。

其實關於硬體錢包以及錢包的使用,這些年來錢包平台創業者是花了一些時間去教育用戶的,但遠不如市場來這樣一次教育更為深刻,大家突然意識到安全對我們來說有多重要,導致最近的硬體錢包賣到脫銷。我們今天想先請兩位嘉賓簡單的分享一下歷年來的CeFi爆雷事件以及你們自己踩過的坑。

超級君:各位好,我是超級君,我入圈以來遇到最大的暴雷事件就是 Mt.Gox,那一次 Mt.Gox 教育了所有人,大家都意識到去中心化才是正途,把幣存在交易所裡面是一種風險特別大的事情。這個事情引發了當年的提幣運動,而四海是現在提幣運動的主要倡導者。但事情一旦過了一年兩年,痛苦會被大家漸漸遺忘,市場又開始覺得交易所是安全的。直到這次的 FTX,瞬間喚醒人們對於資產安全的意識。

很可惜,我在推特上也待了蠻長時間,之前一直在活躍在微博,我覺得推特上的用戶還比較年輕,沒經歷過CeFi 暴雷,他們也不知道其中的凶險。所以我每次看到推特上一些 KOL,他們會勸建議用戶把幣放在頭部交易所,而再出現 FTX 這個事情就很難避免。但我們離冷錢包有多遠有多難呢?實際上是很簡單的,我媽媽是小學畢業,她都會,她不知道那個單詞代表什麼意思,但她知道的是把那個單詞抄下來,就這麼簡單,為什麼持幣者會覺得難呢?

很奇怪有些 KOL 總說硬體錢包是很難的,建議小白不要接觸,不必使用。他們應該沒理解硬體錢包的意義,自己也沒有使用過,就覺得大家都沒必要用。甚至很多人就把小狐狸當作是很大的安全保障了,這個是一個很大的誤區,也是很大的安全隱患。

其實不光 Mt.Gox 這種大CeFi,小CeFi出事的更多。有的是老闆被抓了,有的是各種原因網站被關了,有人一輩子的積蓄就在那裡面。我看著是很痛心的,而有些人則不以為意,畢竟他人的財富歸零是他人的切骨之痛。所以真正會關心你財產安全的人只有你自己,不要輕信讓你把私鑰權移交CeFi的建議。

王一石:超級君的確是非常 OG。 FTX 暴雷並非第一次,已經無數次了,剛剛超級君也說了,但是讓大家把幣放到自己錢包,講100遍都沒有什麼用,直到有一天他被割了。這個教訓它不是醒悟,它是悔悟。

冷錢包的門檻,大家好像天生有一種抵觸,覺得冷錢包我搞不來,然後選擇把自己的幣交給一個自己覺得還算靠譜的平台,去保管。即便是這麼多家交易所暴雷,還是有用戶覺得這家暴了,我換一家存行不行?我們在保管自己的資產的時候,一定要有這樣一種心理建設,如果你選擇了把資產交給人家保管,那麼就要做好一個最壞的結果,就是他可能會因為各種各樣的原因,監管或者是黑客事件或者是節省自盜,或者是他怎麼樣資不抵債就沒了。

你要做好準備,這個結果你能接受嗎?你如果不能,就不應該這樣做。不管他看起來有多麼的靠譜,多麼的讓人信賴,但是在他倒地的時候,你對他之前所有的這種假設都是不成立的。在過去這一周,在FTX出事之前,有多少人認為FTX是僅次於幣安的?很多包括我在內我都是這麼認為的,因為他真的是成長的太快了,但是誰又能猜到今天的事情呢?

所以在處理自己的資產這件事情上面,真的是要稍微的努力一下下,這種努力就屬於你稍微墊一下腳,你就能夠把自己放在一個相對來說比較安全的地帶,

很多硬體錢包跟你用這些錢包是沒有區別的,你都是抄這12個單詞,你抄下來就行了。無非說熱錢包你是在APP上抄,硬體錢包你是對著這個硬體去抄,都是抄,沒有區別,所以一些 KOL 他真的是沒用過,也不懂,然後就告訴大家這個很危險,你不要用,就放在交易所,這種行為真的是誤人子弟。

還有一種說法是說助記詞容易丟,要把它放到印象筆記裡面,怕印象筆記伺服器掃描你怎麼搞,還煞有介事的二次加密,壓縮。但這種加密是沒有用的,可以被輕易破解,大家千萬不要這樣做。科普安全,任重道遠。

我們要明確一個思想,就是說硬體錢包是你的必經之路。不管你的資產是多還是少,都不能拿它今天的價值來衡量你應該怎麼去保管它。比如說我覺得這些幣現在就10萬塊錢,就放小狐狸就可以了。但萬一哪天你小狐狸電腦被人家hack了,或者硬碟被盜了,或者是木馬病毒把你的助記詞複製過去了,你就徹底失去了100倍的機會了。

硬體錢包,大家可以去比較,因為市面上真的挺多的,大家按自己的想法去選擇就可以。硬體錢包只要幾百塊錢就可以買到,幾百塊錢,只是一頓火鍋的錢。

超級君:其實就是一次 DeFi 的手續費。

王一石:硬體錢包的使用它是一個單向的門,只要你跨進這個門,就沒有辦法再接受沒有硬體錢包的世界了。

DeFi大戶挖礦隨隨便便幾百萬甚至上千萬U,讓他在小狐狸上操作他們是不敢的,萬一出問題怎麼辦?

風控,風控的核心就是避開你不能夠承擔的風險,所以硬體錢包是一個很好的解決方案,它從物理上隔絕,是最徹底的。

子魚:王一石剛剛說市場面上有很多硬體錢包,大家根據自己的喜好去選擇。但用戶非常關心的一個問題是,我們很多人在這一塊是空白的,我們不知道怎麼去篩選安全的錢包,首先要他信任這個錢包就需要克服一定的心理障礙,所以怎麼篩選安全的錢包,怎麼安全的使用錢包,這個問題是很多人都想知道的。

超級君:一石寫過一篇很厲害的文章,大家讀他的那篇文章讀就行。(鏈接見文末)

王一石:我簡單跟大家說一下怎麼去選一個錢包,錢包通常來說我們就分兩類,軟體跟硬體。我想每一個 Web3 進來的用戶基本上都是小狐狸的用戶,小狐狸的確是軟體錢包天花板,現在全球月活大概有3,000萬左右,3,000萬用戶。硬體錢包有很多家,比如說 Ledger、Trezor、OneKey,大家在選擇錢包的時候,我覺得要放在第一位的是------你要看這個錢包是不是開源,為什麼?因為開源的錢包他的作惡的成本遠遠大於不開源的錢包。如果說迎面而來的幾款錢包ABC長的都差不多,功能也差不多,對你而言,選哪個可能都挑不出好壞,這個時候你就看哪個開源更徹底就行了。

開源是一個非常非常重要的指標,如果說這個錢包心裡有鬼,他要偷偷摸摸做點事情,是不敢開源的。不開源可以隨便來個升級,裡面放一些私貨。之前出事的 slope 錢包,我不知道大家是否有印象,slope 那個錢包當時我們有一個很好投資人的朋友問我們這個錢包做的怎麼樣,然後我當時體驗一下,覺得 UI交互上還不錯,但是誰知道,沒過兩個月就爆出來,他把用戶私鑰直接傳到伺服器上去了,這個事你敢想嗎?

所以一個錢包如果不開源,其實給了很多這些公司或者是團隊的人一些作惡的機會,而且他作惡的時候,我們是看不到的,這個就很可怕。

所以哪些錢包開源,並且開源的很徹底。軟體錢包Trust wallet 和 Matemask 。硬體錢包OneKey 和 Trezor 。像 Ledger 雖然作為這個世界上最主流的硬體錢包之一,可是硬體部分它確實不開源,我不是在騙大家,大家可以自己去看它的這個代碼倉庫,它的確是不開源的。當然Ledger 有自己不開源的原因,我不去評價。

所以回到剛剛說的,怎麼樣去選錢包,第一個看他開不開源,第二個就見仁見智了,通常來說,你要使用的幣它得有吧,所以支持的公鏈數量也是很必要的要素。

另外就是一些使用體驗上的,還包括多個平台的支持,有些錢包它只是在插件上,有些錢包只在手機,有些錢包只有硬體。所以OneKey做了全家桶,所以你喜歡方便的話可以選擇 OneKey。我自己作為一個深度用戶,用起來還是很好的。

超級君:我這裡稍微插一句,有的人可能喜歡用舊的蘋果手機,然後下載一個錢包軟體,然後斷網去生成助記詞這樣的方式去存儲,一般來說,這也是一個很好的方式,唯一要注意一下,一定要下載一個團隊做派的是比較好的,然後的的確確是沒有什麼漏洞的錢包軟體,這是一個前提,並不是說斷網生成的助記詞就完全沒有風險,實際上如果錢包作惡的話,它是可以提前記錄你的助記詞的,然後推算出你的助記詞的排序,這是一個風險點。

大熊寫過一篇文章,我個人認為寫的還是比較到位的。就是說,我們希望能夠往前面再進一步,不僅是說服你去買一個硬體錢包,而是想有一種理念,讓大家怎麼樣真真正正安全的去保護好自己的資產。即使面對CeFi暴雷或其他,都能夠避免。

我之前也開過課程,教大家使用硬體錢包。我感覺說服一個人真的好難,很多時候都是靠自己的幡然醒悟。布道者可能更加理想主義,因為以前的話,冷錢包的意思就是比特幣錢包,比特幣離線錢包或者是說就是不觸網的。但現在已經有了以太坊,這個系統發展得越來越好,越來越繁榮,所以你會經常去做鏈上交互,很多人下意識就覺得鏈上錢包肯定是比硬錢包或者是比冷錢包更方便,但是更方便的背後代表著更大的風險。所以我是要求本末社區都用硬體錢包去 DeFi,其他人我只能盡量去說服,雖然很難說服。

子魚:DeFi用戶都經歷過或見證過因為簽名或者授權導致資產被盜的事情,硬體錢包可以防止這種情況嗎?

王一石:不能,我跟大家澄清一個觀念,就是說硬體錢包他幹的唯一一個事情,就是把你的私鑰存在硬體裡面,並且不讓他以任何的形式洩露出去。平時說的鏈上交互授權會不會被盜?所有的錢包不管它是硬體還是軟體都防護不了。為什麼?這個是以太坊的設計機制上的一個缺陷,怎麼防範呢?比如說你們可以用一些工具,把授權取消掉。OneKey 做了一個網站叫 Revoke.gg ,檢測出你所有的授權,EVM 鏈上所有的授權,然後直接 Revoke 掉,一鍵撤銷授權。有的時候你想不起來你授權給什麼東西了,然後你點一下就全部都取消了,其實是幫用戶去規避風險。這個其實是一個挺好的功能。

另外一個就是,有的用戶說我把我的小狐狸的助記詞導到硬體錢包裡面,那我這個錢包是不是就變成冷錢包了?我這裡回答大家:不是的。因為你的的小狐狸的助記詞是在軟體端生成的。軟體端生成的錢包其實它本身就是熱錢包,你這個生成的過程,只有保證它一定是離線的,在硬體裡面獨立完成的,它才叫冷錢包。

如果說你在熱端完成,就好像你在家裡炒了個飯,然後你再端到餐廳裡去賣,就是熱錢包生成的環境,包括它的隨機數生成的方式,其實跟冷錢包都是有一些區別的,尤其是瀏覽器插件這種環境下,有很多不可控的因素。

很多人裝了一個插件,創建錢包,然後複製助記詞,粘貼到本地搞一個文檔,或者是筆記本軟體裡面,然後填進去,就覺得搞定了。這個時候其實你的助記詞已經是在你的電腦運行環境裡面,這個時候其實你說不準,比如說你裝了什麼搜狗百度,那恭喜你,完蛋了。搜狗百度這些輸入法只要你開了這種聯網權限,它會把你所有剪切板的東西全部上傳。就算他不做,他主觀上不做,你能保證這些公司裡面工作的這些能夠讀取後端的服務日誌的這些人不做嗎?你沒法保證的。

所以我說這是兩個點,第一個點就是說硬體錢包能不能防止這種以太坊的授權攻擊呢?答案是不能,不光是硬體錢包不能,所有錢包都不能,但是你可以通過使用 Revoke.gg 或者 Revoke.cash 這樣的工具,來及時的清理你的授權。

第二個問題就是,我在熱錢包上創建的助記詞導到了硬體錢包,它還是冷的嗎?不是。

超級君:我來補充一下,就是第一點的話就是囤幣錢包跟 DeFi 錢包要分開。這是第一個原則。

第二個原則是,最好是一個礦填一個地址。你挖一個礦,然後就用一個地址。這裡面你用硬體錢包就很有優勢,一秒鐘就可以隨便多一個地址了,因為他可以是同一套助記詞,那個地址即使有風險他也不會傳遞給其他地址,然後也不會傳遞給其他鏈。

第三個原則就是,最好你還是換新地址。但是如果你有的地址確實是有一些比較長期的鏈上關係,比如說借貸關係,這個不是說短時間能夠一下子移除的,所以的話你就可以定期地去清理授權情況。清理授權的話,剛才大熊也說了,那 OneKey 也有一個網址可以自動的去檢測並清除,還比較方便。

還有一個很重要,盡量不要挖利息看不明白的礦,就是你挖每個礦你要知道利息是怎麼來的。總是有一些收益很高,但是你不知道它是怎麼來的。 FTX 的 5% 是怎麼來的,大家都講不清楚。一般講不清楚的時侯,你自己就是就是利息的來源。如果你能夠做到這樣的話你能夠避免 95% 以上的坑。

王一石:我想說一下,在超級君剛才說的基礎上,就是大家不要覺得好像怎麼搞的,好像這個錢包用起來好複雜,又要隔離地址,又要取消授權,能不能傻瓜式的就是我把幣放那裡,然後我正常交互永遠不出問題。我告訴大家沒有的,有的話在哪裡呢?就是放在FTX ,FTX 什麼結果你看到了。

這個世界上很多事情,就是說很多人說我們要解決痛點,用戶自己保管實在太難了,我們要我們要搞 NPC 錢包什麼,我們要怎麼怎麼樣。我跟大家說,你為了避免這個痛苦,你走的所有捷徑都會在某一天還給你。

你說我不要去 DeFi ,太複雜,我不要持有自己的私鑰,太複雜,但是我想賺利息,我把幣存到 FTX ,因為 FTX 看起來很不錯,那麼恭喜你,現在賠光了。你如果有一天真的學會了,在我手裡的私鑰或者助記詞,這個錢包就是我自己的,那麼恭喜你,你真正的從 Web2 進入了 Web3 。

王一石: 大額資產,我只相信硬體錢包,離線手機不能代替硬體錢包使用。硬體錢包可以和時間做朋友,頭部交易所隨著時間的變化,更迭的太快了。

超級君: 這個行業沒有大而不倒。

子魚: 硬體錢包它畢竟是個電子產品,損壞了怎麼辦?它沒有損壞,硬體錢包的公司倒閉了怎麼辦?

王一石: 這個公司倒了沒關係,錢包壞了就壞了,你把它導到其他錢包去就可以恢復出來。
倒閉太正常了。公司創業的成功概率有個百分之10%就不錯了,對吧?有一個數據這樣說的,全世界初創公司的平均生存時間是兩年半,就兩年半,你想想有多少公司就一年兩年就掛了的,這就回到我們一開始說的,為什麼你要把資產放到你自己掌管私鑰的硬體錢包裡面,就是因為助記詞這個形式或者說私鑰這個形式是通用的。

比如說你覺得 ledger 特別好,他不會倒閉的,實際結果是就算他倒閉了也沒關係,你可以把他的私鑰導到 OneKey ,OneKey 出事也沒關係,後面還有一個 TwoKey、ThreeKey 出來,還是有辦法的,它不像是交易所,倒的話就真的倒了,就真的破產了,你的幣就真的沒了,你拿不回來了。

子魚:也就是我們今天的主題,Not Your Keys, Not Your Coins。

超級君:因為我特別想到一個事情,我覺得應該還是要強調一下,助記詞不能夠放在互聯網上,因為現在據我所知,有幾家是專門做這個生意的。他可能像過去的奪寶奇兵,去找寶藏圖,他們是專業作戰的一個團隊,然後專門去翻閱互聯網上的助記詞,翻閱個人電腦裡面儲存的助記詞信息。他的搜索能力是相當強的,每天去檢索互聯網上所有地方的類似助記詞一樣,它能夠自動識別。你的個人電腦的話也是頻頻被攻破,然後去獲取你的助記詞。

王一石:我跟大家說,慎用各類網盤。 Github 倉庫上,每天都有 n 個機器在那上面掃描各種私鑰的東西,我自己知道的是有很多人因為不小心或者怎麼樣把私鑰傳到 Github 上,下一秒就沒了。特別快,人家都不是人工的,全是自動化的。

所以,千萬要慎用那些網盤,千萬不要自作聰明說我把這個助記詞存到一個本地的 TXT 文件或者什麼文件,我給他用壓縮軟體給他加密加一下,然後設一個密碼,比如說你的生日。

超級君: 助記詞這個我還是推薦一下,OneKey 現在最近出了一個助記詞的鈦板。

我覺得算是一個比較好的方式,但這裡面會涉及到很多行的內容可以講的,比如說你過安檢的時候,或者是說你這個板要放在哪裡,然後你怎麼弄怎麼備份這些還有很多東西要講。

子魚: 助記詞我們可以另開一期討論。

王一石:助記詞不要放在線上,下次再和大家聊助記詞保存的問題。

子魚:今天本來預計 30 分鐘的討論,我們聊了 70 分鐘。非常感謝王一石老師和超級君老師的分享,也謝謝 OneKey 提供這麼好的產品給大家。希望今天在場的所有聽眾都不會出現在未來的某一次 CeFi 暴雷事件裡,讓我們都能夠在幣圈長長久久,安安全全的活著。記住我們今天所說的重點 Not Your Keys Not Your Coins。

王一石: 安全上網指南 https://yishi.io/guide-to-safe-access-internet/

鏈捕手ChainCatcher提醒,請廣大讀者理性看待區塊鏈,切實提高風險意識,警惕各類虛擬代幣發行與炒作,站內所有內容僅係市場信息或相關方觀點,不構成任何形式投資建議。如發現站內內容含敏感信息,可點擊“舉報”,我們會及時處理。
ChainCatcher 與創新者共建Web3世界