区块链安全100问 |​ 第四篇：保护数字钱包安全，防止资产被盗

​零时科技——专注于区块链安全领域

深圳零时科技有限公司（简称：零时科技），公司成立于2018年11月，是一家专注于区块链生态安全的实战创新型网络安全企业，团队扎根区块链安全与应用技术研究，以丰富的安全攻防实战经验结合人工智能数据分析处理，为用户提供区块链安全漏洞风险检测、安全审计、安全防御、资产追溯，以及企业级区块链应用创新解决方案。

零时科技区块链安全100问正式上线，以通俗易懂的语言形式为大家讲解区块链行业知识，以及区块链生态应用存在的安全问题，让更多人了解区块链及区块链安全。

前言

当前区块链技术和应用尚处于快速发展的初级阶段，面临的安全风险种类繁多，从区块链生态应用的安全,到智能合约安全,共识机制安全和底层基础组件安全,安全问题分布广泛且危险性高,对生态体系,安全审计,技术架构,隐私数据保护和基础设施的全局发展提出了全新的考验。

互网络世界如何做好自己数字钱包的安全呢？

使用在线服务要小心，时刻保持警惕

警惕从意识开始，所以我们都需要尽最大努力来学习如何辨别风险、潜在后果以及如何避免这些风险。当谈到登录网络或网站，在家里或办公室连接新设备时，请遵循以下简单规则：停下来、思考和连接。

对于任何用以在网上存储资金的服务都应该谨慎。许多兑换和在线钱包服务在过去都出现过安全漏洞，并且这些服务通常来说至今依然无法提供像银行一样的资金存储安全性。因此，大家可以选择使用其它类型的钱包。另外，推荐使用双重认证机制。

了解问题，做好安全防护

黑客会采用各种方法，包括通过各种方式传播病毒、使用社交工程来窃取用户凭据、诱骗用户点击感染的附件或URL的电子邮件。

提高安全意识，备份钱包

• 使用独一无二的账户密码，使用密码管理器软件比如1password、lastpass;
• 开启二次验证，如Google验证码;
• 不要轻易打开可疑的链接和附件;
• 使用靠谱的杀毒软件并持续更新;
• 尽可能不要连接公共Wi-Fi;
• 切勿相信一切以索取私钥为理由的空投代币行为。

钱包私钥最好使用纸笔抄录，同时自己保存起来;当然，能记在自己大脑中最安全了。

将钱包备份保存在一个安全的地方，能够保护钱包免于电脑故障和很多人为错误。

不要让别人知道你的生物纹（指纹，眼纹，声纹，脸纹等等）。

软件钱包和硬件钱包的主要区别是什么？用户如何识别各类钱包的安全性？

软件钱包和硬件钱包最主要的区别在于私钥的保存和使用方式

软件钱包成本非常低，使用起来非常便利，但是用户的私钥一般是通过加密等方式保存在本地，然后在使用的时候解密。这样就导致一个比较严重的安全问题：至少在某一段时间内，私钥会以明文的方式出现在本地，可能存在泄露或者被攻击者利用，这样就对数字资产的安全造成了直接的不可忽视的威胁。这也是软件钱包在安全上最大软肋。

而硬件钱包则不然，硬件钱包成本较高，使用上相对不便，将私钥保存在加密芯片中，通过特殊设计的控制电路，使得私钥无法给读取出去，只能在芯片内部使用。这样，用户在转账的时候，看不到私钥，只能得到私钥签名之后的密文，这使得私钥的泄漏和被窃取的风险降到最低，这是硬件钱包最大的优点。

结合两者的优缺点，软件钱包和硬件钱包分别有不同的应用场景和使用方式。软件钱包适合数字资产数量有限，使用频度较高，对于便利性要求更高的用户。

硬件钱包适合数字资产额度较大，需要更高安全保护等级的用户。通常的建议是使用软件钱包保存自己的小额资产，供日常使用，硬件钱包保存大额资产，轻易不动，这样可以实现便利性和安全性兼备。

目前已经出现软硬件结合的数字钱包方案，在很大程度上结合了两者的优点，对于用户来说是一个更佳的选择。

怎样保存私钥才安全？助记词和私钥是什么关系？

私钥保存的常见错误是将私钥保存在云盘、云笔记、邮箱中，或者用手机拍照保存，这都是非常危险的容易泄露私钥的方式。

对于私钥保存，我们建议如下：

1、用纸笔保存，不要依赖电子设备，因为电子设备也容易出现安全事件，存在丢失私钥的可能；

2、纸笔记录后要反复确认，主要有以下几点：

（1）私钥位数是否正确，是否有遗漏或者重复记录（这种情况我们见到过很多次）

（2）对于私钥中容易混淆的字母、数字要特别加以标记，如w与W，P与p，q与9等。

3、建议分多份保存，避免因为物理损坏、丢失等造成不可预料的后果。

前面我们说过很多私钥记录的不便之处，因为私钥本身是给计算机使用的，对人来说可读性非常差，上面说得诸多问题很多时候都是由此而起，因此对于纸笔记录，我们更推荐使用助记词的方式。

助记词实际上是二进制的另外一种表现形式，重点突出对于人的可读性。在实践中，助记词一般用来记录密钥种子，从这个种子可以产生出用户使用的私钥。实际上，也完全可以将原始私钥映射为助记词来使用，尽量避免直接记录原始助记词。

​