type
status
date
slug
summary
tags
category
icon
password
如果你打算创建一个加密钱包,进行链上交互,以下是一些注意事项:
1.从官方渠道安装钱包软件
如从钱包应用的官网、AppStore、Chrome 应用商店等正规渠道下载,来源不明的安装包可能存在安全漏洞,无法保障私钥的安全。
2.安全地记录&存储私钥
私钥一旦丢失,钱包资产就再也无法找回。保管私钥,是每个参与 Web3 的人必须学会的技能:
(1) 生成私钥以及记录私钥的过程中将设备断网,并且不要一次性复制粘贴私钥助记词,防止剪贴板被木马软件恶意监听/读取
(2)选择只有你知道的方式,将助记词保存下来,最好是不联网地存储,同时预防丢失。关于保存私钥助记词,不同人有自己的偏好。比如有人选择手写下来几份,分多个地方储存;有人选择记录在密码管理软件里;有人会再加密之后存到云端;也有人去购买或者自制冷钱包。
这些方式都各有优缺点,很难说哪种最好。对于刚进入加密行业的新手来说,甚至用 Top 体量的中心化交易所存放资金更为安全。建议初期只在私钥钱包里放少量资金,或者至少常用来交互的钱包只放少量资金,随着自己对链上操作认知的提高,再慢慢将核心资产转移到私钥钱包,实现真正地拥有个人资产,不用再被组织没收、交易所跑路等潜在风险威胁。
3.谨慎使用钱包签名
我们使用钱包软件,本质上钱包管理的不是我们的余额,而是我们的私钥。
这个管理是指,为了避免我们的每一次链上交互行为(转账、存款、登录 DApp 等)都需要手动输入助记词,增加操作成本和私钥泄露风险,所以钱包具有调起我们的私钥,并询问我们是否“签名”的功能。但这个管理并不意味着钱包可以访问我们的私钥,除了我们自己以外,没有任何第三方有权限读取我们的私钥。(如下图MetMask 钱包提示)
理解了这个前提后,我们每一次使用钱包“签名”要谨慎检查,常见的骗局有:
(1)转账时收款地址被替换,导致转到骗子账户
(2)点击来源不明的链接/土狗网站,授权了有漏洞的智能合约,继而被合约将钱包里的钱转走
(3)授权过的智能合约(当时正规),由于没有及时解除授权,后面被恶意升级成有漏洞的合约,导致钱包余额被转走
由于我们的链上交互,是不可撤回的,所以每当我们确认签名时,要保持清醒,认真核对转账地址,核对连接的网站域名信息,确保不要落入骗子精心设计的陷阱。
4.理解钱包的基本功能
虽然说钱包已经算是 Web3 使用体验最好的一类产品,但是由于区块链本身的特点,使用加密钱包进行交易仍然跟我们传统 Web2 产品由较大差异:
(1)不可以直接跨链转账:交易时要确保发送地址和接收地址是同一网络(同一条链),跨链转账会导致财产丢失。如果将 A 链资产发送到 B 链,需要使用跨链桥工具,也可以使用交易所当做跨链桥(将 A 链资产充值到交易所账户,再从交易所账户提现到 B 链地址,即完成了资产跨链)
下图示例,通过跨链桥 MESON,将 Arbitrum 链上的资产跨链发送到 Ethereum 链上:
(2)Gas Fee:也被称为矿工费,在我们发起转账/授权合约时,需要支付一笔费用给链上负责记账的节点,且不同链上使用的 Gas Token不一样。
比如在 BTC 链上,使用 BTC 作为 Gas Token,ETH 链上使用 ETH,BNB 链上使用 BNB;但各个网络和Gas Token 之间并不总是这种对应关系。比如 ETH 上的二层网络,Arbitrum 也使用的 ETH 作为 Gas Token,不过需要先把 Ethereum 上的 ETH 先跨链到 Arbitrum 网络上,才能当成 Arbitrum 网络上的 Gas Token 来使用,也就是上述的跨链场景
(3)钱包可以管理多种资产:除了我们常说的加密货币之外,钱包还可以管理 NFT 和 DeFi 资产; NFT 是非同质化代币的一种类型,目前常使用的场景为社交头像、交互参与凭证等;DeFi 资产是指我们质押在各类DeFi 产品里的资产,在指定期限内不可流动。如下图,切换不同 tab 即可查看对应的资产余额:
