imToken 在 1.3.3 版本新增了使用者風險測評系統, 目的是為了讓更多的使用者瞭解錢包安全知識以及區塊鏈的基本概念, 從某種程度上提升了整個區塊鏈生態的認知水平。但是這也對很多小白使用者帶來了困擾, 反覆測試都不過 (慘不忍睹程度堪比科目二), imToken 是希望使用者可以透過幫助中心自主學習相關知識, 不過今天小劉特意為你帶來了快速透過測評的攻略, 幫你迅速掌握去中心化錢包的安全知識。
所有問題大體可以分為三類, 分別為區塊鏈基本概念、錢包安全知識以及錢包交易轉賬。
區塊鏈基本概念主要是圍繞"什麼是 ERC20 代幣", "以太坊的錢包地址是怎樣的", "什麼是錢包", "在使用 imToken 時, 使用者的數字資產是儲存在哪裡的"等問題展開。
對於這部分知識, 由於比較瑣碎, 我們分開講解, 首先講解, 什麼是以太坊的地址、Keystore、助記詞、明文私鑰。
地址: 以 0x 開頭的 42 位的雜湊值 (16 進位制) 字串。
Keystore: 明文私鑰透過加密演算法加密過後的 JSON 格式的字串, 一般以檔案形式儲存。
助記詞: 12 (或者 15、18、21) 單詞構成, 使用者可以透過助記詞匯入錢包, 但反過來講, 如果他人得到了你的助記詞, 不需要任何密碼就可以輕而易舉的轉移你的資產, 所以要妥善保管自己的助記詞。
明文私鑰:64 位的 16 進位制雜湊值字串, 用一句話闡述明文私鑰的重要性 "誰掌握了私鑰, 誰就掌握了該錢包的使用權!" 同樣, 如果他人得到了你的明文私鑰, 不需要任何密碼就可以輕而易舉的轉移你的資產。
其次, 來簡單講解一下區塊鏈的基本特性。
去中心化: 因為整個網路沒有中心統治者。系統依靠的是網路上多個參與者的公平約束,所以任意每幾個節點的權利和義務都是均等的,而且每一個節點都會儲存這個區塊鏈上所有資料。即使該節點被損壞或遭受攻擊,仍然不會對賬簿造成任何威脅。
不可逆: 區塊鏈上的資訊必須不可撤銷,不能隨意銷燬。系統是開源的,整個系統都必須是公開透明的,因此某筆交易被全網廣播以後,達到 6 個確認以上就安全記錄在案了,且不可逆轉不可撤銷。(注: imToken 是 12 個區塊確認)
不可篡改: 確保資訊或合約無法偽造。賬簿在某個人或某幾人手上,造假的可能性就非常高,但每個人手裡都有一本賬簿,除非整個遊戲裡超過 51% 的人都更改某一筆賬目,否則任何的篡改都是無效的,這也是集體維護和監督的優越性。
匿名性:各區塊節點的身份資訊不需要公告或驗證, 資訊傳遞可以匿名進行。舉個簡單的例子, 就是你在區塊鏈上向一個錢包地址發起交易, 但是卻無法知道這個地址背後確切對應的是那一個人, 或者你的私鑰被某一個駭客盜竊了, 無法從一個錢包地址中得知駭客是誰。
最後關於這一模組比較難理解的就是使用 imToken 這種去中心化錢包,** 資產到底儲存在哪裡**? 很多小白使用者, 帶著慣有的傳統中心化管理資產的思考方式, 來使用 imToken 這種去中心化的錢包。那麼就會造成很多誤會, 甚至為自己的資產帶來巨大的損失。那麼我們首先要深入瞭解到底什麼是錢包?
錢包是金鑰 (公鑰和私鑰) 的管理工具, 他只包含金鑰而不是確切的某一個代幣。錢包中包含成對的私鑰和公鑰。使用者用私鑰來簽名交易, 從而證明該使用者擁有交易的輸出權。而輸出的交易資訊則儲存在區塊鏈中。
其次, 我們需要深刻的認識一個問題, 既然錢包不儲存確切的某一種代幣, 而是儲存金鑰, 那麼使用這種去中心化錢包, 資產到底儲存在哪裡? 大概有 70% 的人認為資產是儲存在錢包公司伺服器上的, 因為長時間的使用中心化平臺, 例如交易所去儲存資產, 所以一旦面臨資產丟失或者被盜, 第一時間就會聯絡服務商, 要求凍結賬戶或者交易回滾等中心化操作。但事實並非如此, 我們在使用 imToken 這種去中心化錢包時, 私鑰是由自己保管, 同樣資產也是儲存在區塊鏈上, 而不是錢包伺服器上, 更不可能存在裝置上。所以上述一些所謂凍結賬戶、交易回滾等操作也就不成立。
錢包安全知識部分其實整個測評中最重要的部分, 基本上是必答題, 也就是有關錢包安全的題如果答錯, 那麼也就無法透過測評。但這部分卻並不複雜, 主要圍繞四個部分, 即錢包備份、防盜策略、防丟策略以及緊急事件處理方法。
備份意識: 建立錢包之後立即備份! 升級應用的時候備份! 刪除應用的時候備份! ... 備份備份備份, 要把錢包備份當做一種習慣!
緊急事件處理: 一旦發現自己錢包出現不是自己操作的轉出交易, 或者意識到自己的私鑰已經洩露, 那麼立即停止使用該錢包 (不要再向該錢包轉賬), 新建錢包 (當然要做好新錢包的備份) 然後立即將資產轉移至新錢包。很多人希望錢包服務商幫忙查詢盜幣者或者駭客的資訊, 這一點在之前的基礎知識部分已經講的比較清晰了, 因為是去中心化錢包, 所以很難提供什麼有效線索去幫助受害者"破案"。
防丟策略: 可以說防丟策略和防盜策略是整個錢包安全知識的重中之重, 錢包丟失一般分為三種情況: 1. 刪除錢包時, 沒有備份錢包。建議在建立完錢包之後, 立即備份錢包, 採用雙重備份和多次備份兩種策略。雙重備份是指 Keystore 備份和助記詞備份, 多次備份是指在備份完 Keystore 和助記詞之後, 要驗證備份是否正確, 反覆驗證, 確認無誤即可。
忘記了 Keystore 密碼。我建議使用強度較高的密碼加密 Keystore, 這個密碼最好是隨機生成, 不常用的密碼。這樣提高了 Keystore 的安全性, 但是也對保管密碼帶來了巨大的挑戰, 我推薦使用 1password 或者 lastpass 等密碼管理工具, 妥善保管好自己的密碼, 以防遺忘。
遺失了私鑰。這裡的私鑰包括助記詞、Keystore 和明文私鑰, 有些小白在備份助記 詞時, 抄寫過後並沒有做驗證, 或者字跡過於潦草, 導致後期很難辨識, 這些都會導致無法再找到自己的錢包。所以我們在備份錢包時要仔細認真, 在後期保管錢包時, 要善於使用一些安全的管理工具, 確保自己可以隨時找到私鑰。
防盜策略: 我們要清楚我們被盜的是什麼? 是某個資產嗎? 是某個確定的代幣嗎? 其實都不是, 防盜的實質是防止我們的私鑰洩露, 或者被駭客盜取。而在防盜策略上, Keystore 和助記詞(或者明文私鑰) 的側重點有所不同。
Keystore 防盜策略: 由於 Keystore 是被加密過後的私鑰, 並且一般是以 JSON 檔案形式存在, 採用"抄寫"這種策略明顯是不科學的, 所以可以儲存在 U 盤裡或者密碼管理工具裡。儲存 Keystore 時要和密碼分開儲存, 這樣只要密碼強度足夠高, 即使被駭客盜取了 Keystore , 也很難破解, 備份 Keystore 時也要多處儲存, 比如你只存在 U 盤裡, 如果 U 盤丟失, 那麼也相當於丟失了錢包。
助記詞防盜策略: 在儲存助記詞時, 就需要更加謹慎一些, 因為助記詞毫無安全性可言, 一旦被第三方竊取, 那麼我們的資產將面臨巨大的威脅, 所以建議採用物理介質備份, 抄寫在一張紙上, 並且妥善保管, 抄寫時要注意準確性, 也要注意長久儲存, 不要出現字跡看不清楚等問題。
PS: 這裡有三個筆者親自授理的真實案例和大家分享一下, 希望大家能從中吸取一些經驗。
Case 1: 某男將 Keystore 儲存在自己的微信收藏裡, 而 Keystore 的密碼和微信密碼是一致的, 結果錢包被盜資產預計 15 萬 RMB.
Case 2: 某女將自己的 Keystore 透過郵件進行傳輸, Keystore 密碼和郵件密碼是一致的, 結果郵件被駭客攔截, 被盜資產預計 30 萬 RMB.
Case 3: 某女因為怕自己遺忘備份的助記詞, 所以將助記詞告訴身邊的親朋好友, 幫忙記住, 結果被其妹夫盜取資產預計 3 萬 RMB (後因其妹夫主動承認, 才得以查清事實)
最後的考點內容則是交易轉賬, 這部分內容主要圍繞三點展開, 一個是如何查詢自己的交易資訊, 二是 imToken 支援哪些代幣, 三是礦工費如何計算。再簡化一些, 這部分內容, 我們只要掌握一項技能就可以"通關" - 如何使用 Etherscan (網址: https://etherscan.io/ )
去中心化錢包交易時不存在 "入賬", "取消交易", "凍結賬戶"等說法的, 很多人都覺得使用 imToken 傳送交易, 那麼交易資訊理應由 imToken 客服人員查詢, 其實不盡然。我們使用 Etherscan 自己就可以查詢每筆交易的詳細資訊, 甚至連 imToken 支援哪些代幣都可以查到, https://etherscan.io/tokens 這個頁面的所有代幣, imToken 都會支援 (ERC20 標準)
礦工費其實是非常好理解的, 首先明確我們使用 imToken 錢包傳送交易, 礦工費是誰來收的? 答案當然是礦工, imToken 到目前為止沒有對使用者收取任何交易費用, 這和交易所或者一些平臺有很大區別 (例如之前很多交易所都收 0.01 ETH 的手續費) 。
還有礦工費到底是怎麼計算的, 公式: Gas fee = gas * gas price, gas price 的單位是 gwei, 4 gwei 相當於 0.000000004 ETH ,我們可以去 Etherscan 上檢視最近一筆轉賬成功的交易, 看看這筆交易的 gas 和 gas price 是多少, 我們照著設定就可以了。其實使用 imToken 只要不是特殊的交易, 我們無需理會礦工費問題, imToken 已經幫我們做好了這一切。
最後一個小的知識點, 就是如何用 MyEtherWallet 網頁錢包 ( https://www.myetherwallet.com/ ), 來搭配 imToken 做一些操作。例如錯將 ETC 轉入 imToken。這些操作不在這裡細說, imToken 的幫助中心內容很豐富, 裡邊都有涉及。但是大家在使用 MyEtherWallet 的時候一定要注意不要使用釣魚網站, 注意科學上網。
That's all, 以上就是通關大法, 相信會對大家有所幫助。我個人認為, 只有越來越多的人真正瞭解區塊鏈, 瞭解去中心化錢包的特點和機制, 區塊鏈生態的整體水平才會有質的飛躍, 而不是單純的投機主義者作祟。在整個行業整頓期間, 我覺得這是很好的學習機會, 更多的人會靜下心來, 將目光關注於區塊鏈技術本身。Make Blockchain Happen!
更多區塊鏈數字貨幣資訊:http://www.qukuaiwang.com.cn/news
