千字长文：CEX交易所暴雷过后如何保护你的加密资产？

回到主题。 为了确保您持有的加密货币安全，您需要：

1. 防止他人获取您的私钥； 防止黑客攻击，防止计算机被病毒和网络攻击等。

2.防止自己丢失私钥； 备份您的数据以防止丢失或设备损坏，并进行备份。

3. 找到一种转移资金的方法，如果不幸去世，将你的私钥转移给你所爱的人。 前景并不乐观，但作为对我们所爱的人负责任的成年人，我们必须控制风险。

让我们仔细分析一下。

1.防止他人获取你的私钥

这是一个明显的风险。 我们都听说过黑客、病毒、特洛伊木马等等。 我们不希望在我们存储代币的地方附近有任何这些东西。

为了充分做到这一点，我们的设备无法连接到互联网，也无法从中下载任何文件。 那么我们如何以安全的方式发送和接收加密货币呢？

让我们谈谈可以使用的一些不同的设备。

计算机是一种选择，它通常功能更丰富。 如果使用计算机存储代币，则该计算机无法连接到互联网或任何其他网络。 一旦连接到网络，黑客可能会利用操作系统或其他应用软件中的漏洞寻找攻击机会。 请注意，所有软件都有错误。

那么，如果电脑没有联网，我们该如何安装软件呢？ 我们可以使用光驱或者U盘，至少安装3种杀毒软件，确保它们是干净的。 将软件（操作系统或钱包）下载到U盘，等待72小时，并不断查看更新通知，确保下载的软件或下载软件的网站没有安全问题。 官网被黑，下载包被木马替换的情况很常见。 我们必须去官方网站下载软件。 此外，使用开源软件也可以减少蠕虫的机会。 虽然我们自己不是程序员，但是开源软件已经被其他程序员检查过了，不容易生虫。 因此，我们应该使用稳定版的 Linux（不是 Windows 或 Mac）作为操作系统，并且只使用开源钱包软件。

安装完所有的软件和操作系统后，我们就可以使用干净的U盘离线签署交易了。 对于不同的钱包，操作方法也不同，不在本文讨论范围之内。 除比特币外，许多其他币种都没有允许离线签名的钱包。

同时，我们需要确保所使用设备的物理安全。 因为如果有人偷了这个设备，他可以直接进入这个设备。 因此，我们要确保硬盘是高度加密的，这样即使有人拿到硬盘，也无法读取。 不同的操作系统有不同的加密工具。 硬盘加密教程也不在本文的讨论范围之内，但可以很容易地在网上找到。

如果上面的事情都做好了，后面的内容可能就不需要看了。 但如果那不是你的事，还有其他几种选择。

下一个选项是手机。 现在，由于移动设备操作系统的沙盒设计，非 root/越狱手机比计算机安全得多。 Android系统版本太多比特币撞库软件，不可能一一追踪，所以我一般推荐使用iPhone。 我们应该有这样一部手机，只用于安装钱包，不作任何其他用途。 手机应该始终处于飞行模式，并且只有在进行钱包交易时才会打开。 我还建议为这款手机购买单独的 SIM 卡，并且仅使用 4G 上网。 永远不要连接到任何 WiFi。 连接到网络仅用于交易签名和软件升级。 如果账户中的资金量不是太大，那么这样做一般是没有问题的。

有些手机钱包具有离线签名功能（通过扫描二维码），这样我们的手机从钱包App下载完成到生成私钥的过程中不需要联网。 这样我们就可以保证私钥永远不会存在于联网的手机上。 这样做可以防止钱包应用程序被蠕虫病毒入侵，或将数据发回给开发人员。 这些情况之前很多钱包都出现过，就连正式版也不例外。 但是这样做的缺点是我们不能升级钱包App或者操作系统。 升级软件包括在另一部手机上安装最新版本的应用程序、将其置于飞行模式、生成新地址、备份地址（稍后会详细介绍）以及将资金发送到新手机。 这样做很麻烦。 此外，这些钱包支持的硬币/区块链数量有限。

同时，我们还需要保证手机的物理安全。 虽然最新版本的 iPhone 硬盘已完全加密，但据称还有一些设备可以通过破解 PIN 码来解锁 iPhone。

硬件钱包

我们也可以使用硬件钱包。 这些设备旨在永久存储私钥，因此不需要计算机备份。 交易签名也直接在硬件上完成。 但并非一切都是 100% 完美的。 硬件钱包也可能存在硬件和软件漏洞。 市场上有许多不同的硬件钱包。 我们一般建议选择那些历史较长、品牌较好的，因为它们经过了更多的测试。 在两大主流硬件钱包品牌中，曾有不同的报道称，一旦黑客获得私钥，其中之一就可以轻松获取私钥。 因此，我们必须确保他们的人身安全。 此外，几乎所有的硬件钱包都需要与电脑（或手机）软件交互才能完成操作。 因此，我们必须确保计算机没有病毒和黑客。 有些病毒可以在交易的最后时刻将目标地址更改为黑客的地址。 因此，我们需要在设备上仔细验证交易的目的地址是否正确。 即便如此，保护您的计算机是必须的。 有了硬件钱包，确实可以避免黑客窃取私钥的一些最简单的操作，但我还是强烈建议准备一台干净的电脑作为专用电脑，并开启所有防火墙功能。 但总的来说，如果你想自己持有代币，硬件钱包是一个不错的选择。 但是保存备份比较麻烦，这个我们下节再说。

有更多类型的钱包和设备。 这里不能一一介绍，以上是最标准的类型。 既然我们已经讨论了如何降低（而不是消除）被他人盗取的概率，我们已经回答了自己如何持有代币问题的 1/3。

2. 防止自己丢失钥匙

我们可能会遇到存储令牌的设备丢失，或者设备损坏的情况。 因此，我们需要：

备份。

这里也有许多不同的方法。 每个都有优点和缺点。

备份的方法也有很多种，各有优缺点。 但基本上，我们要做的是在不同的地理位置进行多次备份，并且不被其他人看到（加密）。

我们可以把它写在一张纸上。 一些使用助记词的钱包会推荐这种方法，因为记下12或24个英文单词相对容易。 但是对于私钥，我们很容易把大写写错，或者字迹太难辨认（比如O和0就分不清了），后面我们就很难弄清楚哪里出了问题。 然而，纸质符号存在许多更严重的问题。 这些文件可能是：

丢失 - 与其他纸张一起丢失

毁坏——被火烧毁或被洪水冲走

其他人可以轻松阅读 - 无加密

有些人将钥匙单存放在银行金库中，但由于上述原因，我一般不推荐这样做。

不要以为给笔记拍照（或截屏）或将其上传到云端是安全的备份。 如果黑客攻击您的邮箱或计算机，他们可以毫不费力地找到您的密钥。 此外，云服务提供商也可能对其进行多次备份，并存储在不同的地方，他们的员工也可能看到这些信息。

一些专门设计的金属标签可以用来存储助记词备份。 这些金属标签基本上是坚不可摧的，因此在很大程度上避免了火灾或洪水的风险。 但是，它并没有解决丢失或易于阅读的实体的问题。 许多人将金属标签存放在银行金库中，通常带有黄金和其他金属。 我想喜欢购买金属制品的人很容易这样做。 如果您采用这种方法，请注意其局限性和风险。

我推荐的是使用多个 U 盘。 但它不需要任何技术技巧（典型的“专家设计”谬论）。 市面上有防震/防水/防火/防磁的U盘。 我们可以将私钥备份的加密版本存储在其中的几个 U 盘上，并将它们存储在不同的位置（朋友家或亲戚家）。 这解决了前面提到的所有问题：多个位置，不易损坏或丢失，不易被他人读取。 这样做的关键是强大的加密。 市场上有很多相应的工具，它们会不断变得更先进。 VeraCrypt是入门级工具之一，加密水平还不错。 它的前身TrueCrypt曾流行过一段时间，但后来在同行评审中发现存在一些安全漏洞，因此停止了开发。 因此，我们建议用户了解不同的产品，选择最适合自己的最新加密工具。 另外，不要给任何人你的备份，即使是加密的。 此外，我们还建议每隔一段时间执行一次私钥轮换（即生成新私钥并将资金从旧地址发送到新地址）。

3. 为亲人提供安全感

人类无法永生。 所以我们需要继承/遗产规划。 事实上，加密货币可以让财富传承更容易，减少第三方干预。 同样，有几种不同的方法可以做到这一点：

如果您使用的是低安全性的纸币或金属标签，将其交给您的继承人就可以了。 但当然也有一些潜在的缺点。 如果他们太年轻或不够熟练，他们可能无法妥善保存备份。 如果他们搞砸了安全，黑客可以很容易地通过他们窃取资金。 此外，继承人可以随时拿走您的资金。 至于你是否希望他们这样做，这取决于你们之间的信任关系。

我强烈建议避免与他人共享私钥，无论你们有多亲密。 原因很简单，万一资金被拿走/被盗，无法确定是谁干的，或者是谁保管不当，这会造成混乱。

我们可以在银行金库里放一张纸条或一个金属标签，或者把它交给律师。 但是，如前所述，如果有人经过，得到了钥匙，他们就可以不留痕迹地取走资金。 这与律师需要去银行给继承人转账是完全不同的。

但是如果我们使用上面提到的U盘方式，我们可以更安全的进行资金转移。 但这将需要更多设置步骤。

有一项名为 Deadman's switch 的在线服务。 他们会定期（比如一个月）给用户发送短信/邮件，用户需要点击链接或者登录才能回复。 如果在一定时间内没有回复，该账号将被视为“死人”，系统会自动按照用户设置的收件人和内容一封一封发送邮件。 我不推荐这种服务，但是如果你有兴趣，可以去谷歌搜索一下，试试看。 事实上，谷歌本身就有这样的服务。 在其众多设置中，有一个选项允许其他人在用户超过 3 个月未登录帐户的情况下访问该帐户。 我没有亲自尝试过这个选项，所以不能发表评论。 也请您自己检查一下。 如果你在想，“哦，太好了，我只是把钥匙放在邮件里，然后传给我的孩子们。” 那么请从头再读一遍这篇文章。

你可能会想，我可以把我用来加密 U 盘的密码放在电子邮件中，这样我的伴侣或孩子就可以解锁它。 这几乎是正确的做法，但这还不够。 就像我们不能将密码备份在互联网服务器上一样，因为这会大大削弱备份/资金的安全性。

如果你在想，我可以加密/加密包含 U 盘密码的电子邮件，设置另一个密码，然后告诉我的亲人。 你这么想是对的。 事实上，您不需要第二个密码。 此时，您可以使用一种久经考验的加密工具，称为 PGP（或 GPG）。 PGP 实际上是非对称加密的早期采用者之一（比特币也是如此）。 这里就不介绍PGP的使用教程了，网上可以找到。 底线是，让您的伴侣或孩子生成属于他们的 PGP 私钥，然后您使用他们的公钥来加密“dead man”消息。 这样一来，除了他们之外，没有人可以阅读消息的内容。 这种方式相对安全，但是需要他们保证PGP私钥的安全，不能丢失。 当然，他们还需要知道如何使用PGP邮件，这需要一定的技术含量，过程也比较复杂。

如果你理解了以上建议，你自己持有大量加密货币的能力就处于初级水平（而不是高级水平）。 对于上面提到的一些问题，我们还有很多解决方案可以探索，包括多重签名、门限签名等，但都属于更高级的指南。 在下一节中，我们将探索：

使用交易平台

本文中的“交易所”是指托管资金的中心化交易所。

看完文章的前半部分，你可能会说，“我的天哪，太麻烦了，我就把我的代币存入交易所吧。” 然而，交易所并非没有风险。 虽然交易平台负责资金的保管和系统安全，但是我们还是需要做一些操作来保证我们账户的安全。

只使用信誉良好的大型交易平台

交易平台存在交易对手风险。 许多小型/新交易所可能从退出骗局开始。 他们会在收取用户押金后跑路。 因此，请务必远离零交易费、大幅折扣和/或回扣奖励的“非营利性”交易所。 如果这些平台的目标不是产生固定的业务收入，那么你的钱可能是他们唯一的目标。 正规的安全措施需要大量的投入，因此要求平台有可持续的商业模式。 在安全方面，不要吝啬您的资产。 大型、有利可图的交易所不会制造退出骗局，它们也没有这样做的动力。 如果一个平台是盈利的，有可持续的商业模式，有数十亿美元的业务比特币撞库软件，那有什么理由去偷几百万美元然后躲藏起来和恐惧？

大型交易平台在安全方面也经历了更多考验。 是的，大型平台更容易成为黑客的目标，这也是一种风险。 但黑客也针对较小的平台，其中一些更容易获得。 大型交易平台通常与5-10家外部安全公司轮流合作，进行渗透测试和安全测试。

确保您的帐户安全

使用交易平台时，账户安全显然很重要。 让我们从一些基础知识开始。

1. 确保您的计算机安全。

通常，计算机是安全链中最薄弱的环节。 尽可能使用专用计算机登录您的交易账户。 在您的计算机上安装商业防病毒软件（是的，安全需要投资）并将垃圾软件的数量保持在最低限度。 开启所有防火墙功能。

使用另一台电脑玩游戏、上网、下载等，所有杀毒软件和防火墙都打开。 因为这台电脑上的病毒极有可能让黑客入侵同一网络上的其他电脑。 因此，请确保这台计算机也是干净的。

避免下载文件

即使您的电脑上没有安装钱包，我也强烈建议您不要在电脑或手机上下载任何文件。 如果有人向您发送了一个 word 文件，请他们将其作为 Google 文档链接发送。 如果发送 PDF，请使用 Google Drive 在浏览器中打开它，而不是在您的计算机上。 如果他们给你发搞笑视频，请他们在视频平台上以链接的形式发给你。 是的，我知道这很麻烦，但安全保证不是免费的，损失的资金可能会花费真金白银。 查看云中的所有文件，不要在本地下载任何内容。

另外，请关闭即时通讯软件的“自动保存照片和视频”功能。 很多软件都有默认自动下载表情和视频的设置，这会对安全产生影响。

软件要及时升级

操作系统升级很烦人，我知道，但是升级可以关闭已发现的安全漏洞。 黑客也会关注这些升级，利用这些发现的漏洞入侵懒于升级的用户的电脑。 钱包软件或交易平台应用程序通常遵循相同的模式。 因此，请确保您使用的是最新版本的软件。

2.确保邮箱账号安全。

我建议使用 Gmail 或 Protonmail 帐户。 这两个邮件服务提供商通常比其他提供商更安全。 我们在其他电子邮件平台上看到了更多安全事件。

我强烈建议用户为每个交易平台创建一个专用的电子邮件帐户，并使用一些不起眼的名字。 这样即使其他交易平台遇到安全事件，您在币安的账户也不会受到影响。 这也减少了电子邮件网络钓鱼诈骗的机会。

在邮件服务中启用 2FA 服务。 我强烈推荐使用 Yubikey。 它可以防御多种类型的黑客攻击，包括钓鱼网站等。关于2FA，我们稍后会详细介绍。

如果您所在的国家/地区发生了换卡诈骗，请不要绑定您的电话号码作为邮箱帐户恢复的手段。 我们已经看到许多 SIM 卡交换诈骗的受害者遭受电子邮件帐户密码重置和帐户被黑客攻击的痛苦。 一般来说，我不建议绑定手机号和邮箱。 请将它们分开。

3.确保密码安全。

为每个平台账户配置唯一的强密码。 不要害怕忘记密码。 只需使用密码管理工具即可。 对于大多数人来说，LastPass 或 1Password 就可以了。 这两款软件都与浏览器、手机等很好地集成。两者都声称只在本地存储密码，但只使用加密密码在设备之间同步。 如果你想要一个更专业的工具，你可以使用 KeePass，或者使用它适合你的操作系统的版本。

KeePass 仅在本地存储信息。 设备之间没有同步，也几乎没有移动支持。 它是开源的，因此无需担心蠕虫之类的安全漏洞。 请自行研究并选择适合您的工具。 但不要仅仅因为“节省时间”就使用简单的密码或在所有平台上使用相同的密码。 请务必使用强密码，否则，您节省的时间可能会以大量金钱为代价。

使用这些工具，如果您的计算机仍然有病毒，那您就完蛋了。 因此，请使用好的防病毒软件并让它们保持运行。

4.启用2FA验证。

我强烈建议您在创建币安账户后立即开启 2FA（双因素身份验证）验证，如果您之前没有开启，请立即开启。 由于 2FA 代码通常存储在手机上，因此当电子邮件和密码遭到黑客攻击时，它们可以提供一定程度的保护。

然而，2FA 并不提供完整的保护。 例如，如果计算机病毒窃取了电子邮件地址和密码，它可以通过跟踪您的 2FA 代码击键继续窃取您的 2FA 代码。 再比如，如果你进入一个钓鱼网站，输入你的邮箱地址、密码和2FA码，黑客就可以利用这些信息同时登录你的真实币安账户。 可能的情况太多了，我们无法一一列举。 因此，我们还是要保护好自己的电脑，提防钓鱼网站（稍后会详细介绍）。

5.安装U2F。

U2F 是一种硬件设备，可生成基于时间的、特定于域的唯一代码。 Yubikey可以说是最适合U2F的设备了。 （虽然很多硬件钱包也可以使用U2F，但是使用体验不是很好，需要安装APP，整个运行过程比较慢。）

U2F具有三大优势。 首先，它是基于硬件的，所以存储在设备上的秘密几乎不可能被窃取。 其次，它是特定领域的。 即使您不小心进入钓鱼网站，它也会为您提供保护。 最后，它的使用非常简单。

基于以上原因，我强烈建议您将您的Yubikey与您的币安账户进行绑定。 它提供了防止黑客窃取您资金的最佳保护措施之一。

同时，也请将Yubikey与Gmail账号、LastPass等支持的账号进行绑定，以保证这些账号的安全。

6.停止使用短信验证。

曾几何时，短信验证风靡一时。 但时代变了。 随着换卡诈骗越来越频繁，我们建议您停止使用短信认证，改用上述2FA或U2F认证方式。

7. 创建提币地址白名单

我们强烈推荐使用币安的提现白名单功能。 开通后，用户可以快速提现至验证地址，黑客增加新的提现地址难度更大。

8. API 安全

我们的许多用户使用 API 进行交易和取款。 Binance提供了不同版本的API，最新版本支持非对称加密，即我们只需要知道用户的公钥即可。 这样，用户自己保管私钥，只向我们提供公钥信息。 我们通过公钥确定订单所有权，从不索要用户的私钥。 请妥善保管您的私钥。

如果我们使用交易平台，我们不需要像持有自己的货币那样备份API。 如果您的 API 密钥丢失，您可以随时创建一个新的。 只需确保没有其他人拥有您的 API 密钥。

9.完成L2层KYC验证。

确保账户安全的最佳方法之一是完成 L2 层 KYC 验证。 这样我们就可以知道您的长相，并且可以在我们的大数据风险引擎检测到账户异常时使用先进的自动视频验证技术进行验证。

10. 确保手机和其他设备的安全

请确保您的手机安全。 因为你的邮箱App、Binance App、你的2FA密码等都可能安装在你的手机上。 不要越狱你的手机。 那会大大降低安全性。 另外，需要保证手机不丢失，加锁屏。 其他设备也是如此。 确保它们不会落入坏人之手。

11.提防网络钓鱼

提防网络钓鱼。 这些行为通常发生在电子邮件、消息或社交媒体中。 点击链接后，会弹出一个类似币安网站的页面。 它会要求你输入你的身份证信息等，黑客可以利用这些信息进入你的真实账户。 币安账户。

只要小心，我们就可以避免诈骗。 不要点击电子邮件或社交媒体页面中的任何链接。 进入币安网站时手动输入网页地址，或使用书签。 不要与他人共享电子邮件地址。 不要为不同的站点使用相同的电子邮件地址。 如果陌生人（尤其是 CZ 或类似的名字）在电报组、instagram 上突然联系你，请小心。

总的来说，只要您遵循以上建议，您的币安账户就会相对安全。

其他话题

欺诈猖獗。

诈骗者创建虚假的社交账户，让它们看起来像名人账户，例如@cz_binance_，然后试图说服您向他们转账。 请记住这个原则：除非您有意，否则不要向任何人汇款。 交易时，一定要通过两种不同的渠道核实对方的真实身份。

如果CZ突然联系你，并以非常有说服力的理由要求你转账给他，请立即举报此账号。

如果朋友突然给你发信息，要你发一些加密货币以备不时之需，一定要打电话验证，或者让他们发个短视频验证一下。 这时候，我们不得不想象一下，有没有可能是朋友的即时通讯软件被黑了，或者手机被盗了。

YouTube欺诈

YouTube 骗子现在越来越聪明了，他们甚至剪辑了一些 CZ 做空投的假视频。 如果你看到这个，请报告。

社会欺诈

如果有一个赏金活动要求你先发送一些代币到一个地址，然后再取回更多的金额，不要相信，你不会取回的。

请记住一个简单的规则：发送加密货币时要小心。

不要点击电子邮件中的链接

不要点击电子邮件中的链接，然后在弹出的页面上输入您的用户名或密码。 这一定是个陷阱。 所以，不要点击社交媒体网站上的关注链接，也不要在弹出的页面上登录。

自动将它们视为网络钓鱼站点。 别理他们。

在进入常用加密货币交易平台的网站时，一定要手动输入网页地址。 记住 Binance.com 的拼写，或使用书签。

原文链接：

%E7%9A%84%E6%B8%A9%E9%A6%A8%E6%8F%90%E7%A4%BA%E5%A6%82%E4%BD%95%E4%BF%9D%E9 %9A%9C%E5%8A%A0%E5%AF%86%E8%B4%A7%E5%B8%81%E8%B5%84%E4%BA%A7safu%E5%AE%89%E5%85 %A8-421499824684900429