Web3 钱包安全指南：类型与风险

本文由区块链安全领先企业慢雾科技所著，详细介绍了各种类型的钱包，包括浏览器钱包、移动端钱包、硬体钱包，以及不建议使用的网页钱包等。文章同时探讨了钱包面临的常见风险，如意外下载假钱包、电脑受木马影响，以及钱包自身可能存在的安全漏洞等。

 

随著加密市场越发火热，Web3 专案与玩法以极快的速度更迭著，玩家们的情绪也处于越发高涨的状态，随之而来的是玩家在参与各类新专案的过程中不小心踩坑被盗或遭遇钓鱼。在这个背景下，同时结合我们在链上链下所收集到的资讯，我们希望扩展出一系列与使用者资产安全息息相关的例项科普，于是便有了 —— Web3 安全入门避坑指南。

我们计划尽可能全面地整合 Web3 领域中的风险点，并以例项为背景，帮助读者们更好地辨别与防范风险。本指南主要内容包括但不限于：钱包下载及使用过程中的风险；参与 Web3 各生态专案的过程中可能会掉入的坑；如何更好地辨别签名授权是否存在危险；不幸被盗后如何补救等。（Ps. 内容是暂定的，计划赶不上现实及小编想法的变化，所以最终呈现内容比计划更多或更少都有可能）

无论是新入门的小白，想要探索未知新奇的 Web3 世界，但又被行业黑话、异于 Web2 的玩法以及未知的风险弄得不知所措；又或者是 Web3 老玩家，已经在区块链这片黑暗森林中跋涉了一段时间，听过见过许多 「坑」，甚至已经踩过，但对于被盗原因以及如何避免再次受损并不太清楚，都可以和我们一起学习这本避坑指南。本指南旨在让每一个使用者都能更好地保护自己的资产，在区块链黑暗森林中行走得更远。

众所周知，钱包是加密世界的入口及 Web3 基础设施，其重要性也不言而喻。所以话不多说，现在我们来介绍第一道 「开胃小菜」 —— 钱包分类及风险。

钱包类别

浏览器钱包

浏览器钱包比如 MetaMask、Rabby 等，是作为浏览器的外挂安装在使用者的浏览器（如 Google Chrome、Firefox 等）。浏览器钱包通常更易于访问和使用，并且不需要下载或安装额外的软体。

网页钱包（不建议使用）

网页钱包允许使用者通过网页浏览器访问和管理加密资产，虽然这种方式较为便利，但背后的风险不容忽视，网页钱包一般把助记词加密存在浏览器的本地储存里，因此可能受到恶意软体或网路攻击的威胁。

移动端钱包

移动端钱包的运作方式与网页端类似，通常作为应用程式提供，使用者可以在手机上下载和安装。

桌面钱包

桌面钱包在加密货币问世的早期较为常见，较为知名的如 Electrum，Sparrow 等。这类钱包是安装在电脑上的应用程式，私钥和交易资料储存在使用者的本地装置上，使用者对其加密货币私钥有完全控制权。

硬体钱包

硬体钱包是用于储存加密货币和数位资产的物理装置，如 Trezor，imKey，Ledger，Keystone，OneKey 等。硬体钱包提供了一种离线储存私钥的方式，这意味著在使用硬体钱包和 DApp 进行互动的时候，私钥不会暴露在网上。

纸钱包（不建议使用）

纸钱包是以二维码的形式，将加密货币地址与其私钥列印在一张纸上，然后通过扫描二维码来开展加密货币交易。

 

钱包常见风险

下载到假钱包

由于很多手机不支援 Google Play 或者因为网路问题，很多人会从其他途径下载钱包，比如第三方下载站，或者直接用浏览器搜寻某钱包，然后随机点进一个排名靠前的连结，这样大概率会下载到一个假钱包，因为搜寻引擎的广告位及自然流量是可以买到的，骗子可以通过购买排名靠前的广告位，伪造一个假钱包官网，诱骗使用者访问。下图为使用百度搜索 TP 钱包的结果：

购买到假钱包

供应链攻击是硬体钱包安全性的主要威胁之一。如果使用者不是在官方商店或授权经销商处购买硬体钱包，那么在钱包到使用者手上之前，会经多少人之手，内部元件是否被篡改过，这些都是不确定的。下图中，右边的硬体钱包是被篡改过的。

电脑中木马

如果电脑中了木马，钱包便会被恶意软体影响。慢雾安全团队曾写过一篇《暗夜小偷：Redline Stealer 木马盗币分析》，对该风险的形成过程及影响做了详细分析，感兴趣的读者可以点选检视。我们在此建议使用者安装防毒软体，如卡巴斯基、AVG、360 等，保持安全软体即时防护开启，并随时更新最新病毒库。

钱包自身漏洞

最后，或许你下载了正版的钱包，使用过程足够小心，装置及现实环境也足够安全，但如果是钱包自身设计存在问题的话，也可能被骇客攻击，使用该钱包的使用者一样会资产受损。这也就是为什么在选择钱包的时候不能仅考虑钱包的便利程度，还要看钱包程式码是否开源。外部开发和审计人员可以通过开源的程式码发现潜在漏洞，降低钱包被攻击的可能性。即使不幸出现钱包因存在漏洞被盗的情况，安全人员也能快速定位漏洞位置，及时补救。

总结

本期我们主要介绍了钱包的分类，并列举了常见风险点，帮助读者形成基本的钱包安全概念。无论选择哪种型别、哪种品牌的钱包，都应始终对助记词和私钥保密并确保其安全。可以考虑整合不同型别钱包的优点，多型别钱包结合使用，如使用知名硬体钱包 + 知名软体钱包组合来管理重资产，使用多个知名软体钱包分散管理轻资产。下期我们将对下载和购买钱包中的坑进行详细介绍，欢迎追更。（Ps. 本文提到的钱包品牌及图片，仅作辅助读者理解之用，不构成推荐与担保）