對話王一石和超級君:還要 CeFi 暴雷多少次 持幣者才肯用自己的錢包?
發表於 2022-11-16 14:55 作者: Foresight News
主持人:子魚
嘉賓:OneKey 王一石、本末社區主理人超級君
子魚:今天的話題就正式开始。我是子魚,也是一個老韭菜了。今天我們請來了 OneKey 的核心貢獻者王一石和本末社區的主理人超級君。這兩位朋友我們應該都非常熟悉了,今天的主題說實話還是有點扎心,就是 not your keys not your coins 主要就是要想跟大家聊一下,還要 CeFi 暴雷多少次,持幣者才肯用自己的錢包,這也是這次市場動蕩的一個非常慘重的教訓。
其實關於硬件錢包以及錢包的使用,這些年來錢包平台創業者是花了一些時間去教育用戶的,但遠不如市場來這樣一次教育更爲深刻,大家突然意識到安全對我們來說有多重要,導致最近的硬件錢包賣到脫銷。我們今天想先請兩位嘉賓簡單的分享一下歷年來的 CeFi 爆雷事件以及你們自己踩過的坑。
超級:各位好,我是超級,我入圈以來遇到最大的暴雷事件就是 Mt.Gox,那一次 Mt.Gox 教育了所有人,大家都意識到去中心化才是正途,把幣存在交易所裏面是一種風險特別大的事情。這個事情引發了當年的提幣運動,而四海是現在提幣運動的主要倡導者。但事情一旦過了一年兩年,痛苦會被大家漸漸遺忘,市場又开始覺得交易所是安全的。直到這次的 FTX,瞬間喚醒人們對於資產安全的意識。
很可惜,我在推特上也待了蠻長時間,之前一直在活躍在微博,我覺得推特上的用戶還比較年輕,沒經歷過 CeFi 暴雷,他們也不知道其中的兇險。所以我每次看到推特上一些 KOL,他們會勸建議用戶把幣放在頭部交易所,而再出現 FTX 這個事情就很難避免。但我們離冷錢包有多遠有多難呢?實際上是很簡單的,我媽媽是小學畢業,她都會,她不知道那個單詞代表什么意思,但她知道的是把那個單詞抄下來,就這么簡單,爲什么持幣者會覺得難呢?
很奇怪有些 KOL 總說硬件錢包是很難的,建議小白不要接觸,不必使用。他們應該沒理解硬件錢包的意義,自己也沒有使用過,就覺得大家都沒必要用。甚至很多人就把小狐狸當做是很大的安全保障了,這個是一個很大的誤區,也是一個很大的安全隱患。
其實不光 Mt.Gox 這種大 CeFi,小 CeFi 出事的更多。有的是老板被抓了,有的是各種原因網站被關了,有人一輩子的積蓄就在那裏面。我看着是很痛心的,而有些人則不以爲意,畢竟他人的財富歸零是他人的切骨之痛。所以真正會關心你財產安全的人只有你自己,不要輕信讓你把私鑰權移交 CeFi 的建議。
王一石:超級的確是非常 OG。 FTX 暴雷並非第一次,已經無數次了,剛剛超級也說了,但是讓大家把幣放到自己錢包,講 100 遍都沒有什么用,直到有一天他被割了。這個教訓它不是醒悟,它是悔悟。
冷錢包的門檻,大家好像天生有一種抵觸,覺得冷錢包我搞不來,然後選擇把自己的幣交給一個自己覺得還算靠譜的平台,去保管。即便是這么多家交易所暴雷,還是有用戶覺得這家暴了,我換一家存行不行?我們在保管自己的資產的時候,一定要有這樣一種心理建設,如果你選擇了把資產交給人家保管,那么就要做好一個最壞的結果,就是他可能會因爲各種各樣的原因,監管或者是黑客事件或者是節省自盜,或者是他怎么樣資不抵債就沒了,你要做好准備,這個結果你能接受嗎?你如果不能,就不應該這樣做。不管他看起來有多么的靠譜,多么的讓人信賴,但是在他倒地的時候,你對他之前所有的這種假設都是不成立的。在過去這一周,在 FTX 出事之前,有多少人認爲 FTX 是僅次於幣安的?很多包括我在內我都是這么認爲的,因爲他真的是成長的太快了,但是誰又能猜到今天的事情呢?
所以在處理自己的資產這件事情上面,真的是要要稍微的努力一下下,這種努力就屬於你稍微墊一下腳,你就能夠能夠把自己放在一個相對來說比較安全的地帶。很多硬件錢包跟你用這些錢包是沒有區別的,你都是抄這 12 個單詞,你抄下來就行了。無非說熱錢包你是在 APP 上抄,硬件錢包你是對着這個硬件去抄,都是抄,沒有區別,所以一些 KOL 他真的是沒用過,也不懂,然後就告訴大家這個很危險,你不要用,就放在交易所,這種行爲真的是誤人子弟。
還有一種說法是說助記詞容易丟,要把它放到印象筆記裏面,怕印象筆記服務器掃描你怎么搞,還煞有介事的二次加密,壓縮。但這種加密是沒有用的,可以被輕易破解,大家千萬不要這樣做。科普安全,任重道遠。
我們要明確一個思想,就是說硬件錢包是你的必經之路。不管你的資產是多還是少,都不能拿它今天的價值來衡量你應該怎么去保管它。比如說我覺得這些幣現在就 10 萬塊錢,就放小狐狸就可以了。但萬一哪天你小狐狸電腦被人家 hack 了,或者硬盤被盜了,或者是木馬病毒把你的助記詞復制過去了,你就徹底失去了 100 倍的機會了。
硬件錢包,大家可以去比較,因爲市面上真的挺多的,大家按自己的想法去選擇就可以。硬件錢包只要幾百塊錢就可以买到,幾百塊錢,只是一頓火鍋的錢。
超級:其實就是一次 DeFi 的手續費。
王一石:硬件錢包的使用它是一個單向的門,只要你跨進這個門,就沒有辦法再接受沒有硬件錢包錢包的世界了。
DeFi 大戶挖礦隨隨便便幾百萬甚至上千萬 U,讓他在小狐狸上操作他們是不敢的,萬一出問題怎么辦?
風控,風控的核心就是避开你不能夠承擔的風險,所以硬件錢包是一個很好的解決方案,它從物理上隔絕,是最徹底的。
子魚:王一石剛剛說市場面上有很多硬件錢包,大家根據自己的喜好去選擇。但用戶非常關心的一個問題是,我們很多人在這一塊是空白的,我們不知道怎么去篩選安全的錢包,首先要他信任這個錢包就需要克服一定的心理障礙,所以怎么篩選安全的錢包,怎么安全的使用錢包,這個問題是很多人都想知道的。
超級:一石寫過一篇很厲害的文章,大家讀他的那篇文章讀就行。
王一石:我簡單跟大家說一下怎么去選一個錢包,錢包通常來說我們就分兩類,軟件跟硬件。我想每一個 web3 進來的用戶基本上都是小狐狸的用戶,小狐狸的確是軟件錢包天花板,現在全球月活大概有 3,000 萬左右,3,000 萬用戶。硬件錢包有很多家,比如說 Ledger、Trezor、OneKey,大家在選擇錢包的時候,我覺得要放在第一位的是——你要看這個錢包是不是开源,爲什么?因爲开源的錢包他的作惡的成本遠遠大於不开源的錢包。如果說迎面而來的幾款錢包 ABC 長的都差不多,功能也差不多,對你而言,選哪個可能都挑不出好壞,這個時候你就看哪個开源更徹底就行了。
开源是一個非常非常重要的指標,如果說這個錢包心裏有鬼,他要偷偷摸摸做點事情,是不敢开源的。不开源可以隨便來個升級,裏面放一些私貨。之前出事的 slope 錢包,我不知道大家是否有印象,slope 那個錢包當時我們有一個很好投資人的朋友問我們這個錢包做的怎么樣,然後我當時體驗一下,覺得 UI 交互上還不錯,但是誰知道,沒過兩個月就爆出來,他把用戶私鑰直接傳到服務器上去了,這個事你敢想嗎?
所以一個錢包如果不开源,其實給了很多這些公司或者是團隊的人一些作惡的機會,而且他做惡的時候,我們是看不到的,這個就很可怕。
所以哪些錢包开源,並且开源的很徹底。軟件錢包 Trust wallet 和 Matemask 。硬件錢包 OneKey 和 Trezor 。像 Ledger 雖然作爲這個世界上最主流的硬件錢包之一,可是硬件部分它確實不开源,我不是在騙大家,大家可以自己去看它的這個代碼倉庫,它的確是不开源。當然 Ledger 有自己不开源的原因,我不去評價。
所以回到剛剛說的,怎么樣去選錢包,第一個看他开不开源,第二個就見仁見智了,通常來說,你要使用的幣它得有吧,所以支持的公鏈數量也是很必要的要素。
另外就是一些使用體驗上的,還有包括多個平台的支持,有些錢包它只是在插件上,有些錢包只在手機,有些錢包只有硬件。所以 OneKey 做了全家桶,所以你喜歡方便的話可以選擇 OneKey。我自己作爲一個深度用戶,用起來還是很好的。
超級:我這裏稍微插一句,有的人可能喜歡用舊的蘋果手機,然後下載一個錢包軟件,然後斷網去生成助記詞這樣的方式去存儲,一般來說,這也是一個很好的方式,唯一要注意一下,一定要下載一個團隊做派的是比較好的,然後的的確確是沒有什么漏洞的錢包軟件,這是一個前提,並不是說斷網生成的助記詞就完全沒有風險,實際上如果錢包作惡的話,它是可以提前記錄你的助記詞的,然後推算出你的助記詞的排序,這是一個風險點。
大熊寫過一篇文章,我個人認爲寫的還是比較到位的。就是說,我們希望能夠往前面再進一步,不僅是說服你去买一個硬件錢包,而是想有一種理念,讓大家怎么樣真真正正安全的去保護好自己的資產。即使面對 CeFi 暴雷或其他,都能夠能夠避免。
我之前也开過課程,教大家使用硬件錢包。我感覺說服一個人真的好難,很多時候都是靠自己的幡然醒悟。布道者可能更加理想主義,因爲以前的話,冷錢包的意思就是比特幣錢包,比特幣離线錢包或者是說就是不觸網的。但現在已經有了以太坊,這個系統發展得越來越好,越來越繁榮,所以你會經常去做鏈上交互,很多人下意識就覺得鏈上錢包肯定是比硬錢包或者是比冷錢包更方便,但是更方便的背後代表着更大的風險。所以我是要求本末社區都用硬件錢包去 DeFi,其他人我只能盡量去說服,雖然很難說服。
子魚:DeFi 用戶都經歷過或見證過因爲籤名或者授權導致資產被盜的事情,硬件錢包可以防止這種情況嗎?
王一石:不能,我跟大家澄清一個觀念,就是說硬件錢包他幹的唯一一個事情,就是把你的私鑰存在硬件裏面,並且不讓他以任何的形式泄露出去。平時說的鏈上交互授權會不會被盜?所有的錢包不管它是硬件還是軟件都防護不了。爲什么?這個是以太坊的設計機制上的一個缺陷,怎么防範呢?比如說你們可以用一些工具,把授權取消掉。OneKey 做了一個網站叫 Revoke.gg ,檢測出你所有的授權,EVM 鏈上所有的授權,然後直接 Revoke 掉,一鍵撤銷授權。有的時候你想不起來你授權給什么東西了,然後你點一下就全部都取消了,其實是幫用戶去規避風險。這個其實是一個挺好的功能。
另外一個就是,有的用戶說我把我的小狐狸的助記詞導到硬件錢包裏面,那我這個錢包是不是就變成冷錢包了?我這裏回答大家:不是的。因爲什么?因爲你的小狐狸的助記詞是在軟件端生成的。軟件端生成的錢包其實它本身就是熱錢包,你這個生成的過程,只有保證它一定是離线的,在硬件裏面獨立完成的,它才叫冷錢包。
如果說你在熱端完成,就好像你在家裏炒了一個飯,然後你再端到餐廳裏去賣,就是熱錢包生成的環境,包括它的隨機數生成的方式,其實跟冷錢包都是有一些區別的,尤其是瀏覽器插件這種環境下,有很多不可控的因素。
很多人裝了一個插件,創建錢包,然後復制助記詞,粘貼到本地搞一個文檔,或者是筆記本軟件裏面,然後填進去,就覺得搞定了。這個時候其實你的助記詞已經是在你的電腦運行環境裏面,這個時候其實你說不准,比如說你裝了什么搜狗百度,那恭喜你,完蛋了。搜狗百度這些輸入法只要你开了這種聯網權限,它會把你所有剪切板的東西全部上傳。就算他不做,他主觀上不做,你能保證這些公司裏面工作的這些能夠讀取後端的服務日志的這些人不做了嗎?你沒法保證的。
所以我說這是兩個點,第一個點就是說硬件錢包能不能防止這種以太坊的授權攻擊呢?答案是不能,不光是硬件錢包不能,所有錢包都不能,但是你可以通過使用 Revoke.gg 或者 Revoke.cash 這樣的工具,來及時的清理你的授權。
第二個問題就是,我在熱錢包上創建的助記詞導到了硬件錢包,它還是冷的嗎?不是。
超級君:我來補充一下,就是說第一點的話就是說囤幣錢包跟 DeFi 錢包要分开。這是第一個原則。
第二個原則是,最好是一個礦填一個地址。你挖一個礦,然後就用一個地址。這裏面你用硬件錢包就很有優勢,一秒鐘就可以隨便多一個地址了,因爲他可以是同一套助記詞,那個地址即使有風險他也不會傳遞給其他地址,然後也不會傳遞給其他鏈。
第三個原則就是,最好你還是換新地址。但是如果你有的地址確實是有一些比較長期的鏈上關系,比如說借貸關系,這個不是說短時間能夠一下子移除的,所以的話你就可以定期地去清理授權情況。清理授權的話,剛才大熊也說了,那 OneKey 也有一個網址可以自動的去檢測並清除,還比較方便。
還有一個很重要,盡量不要挖利息看不明白的礦,就是你挖每個礦你要知道利息是怎么來的。總是有一些收益很高,但是你不知道它是怎么來的。
王一石:我想說一下,在超級的剛才說的基礎上,就是大家不要覺得好像怎么搞的,好像這個錢包用起來好復雜,又要隔離地址,又要取消授權,能不能傻瓜式的就是我把幣放那裏,然後我正常交互永遠不出問題。我告訴大家沒有的,有的話在哪裏呢?就是放在 FTX ,FTX 什么結果你看到了。
這個世界上很多事情,就是說很多人說我們要解決痛點,用戶自己保管實在太難了,我們要我們要搞 NPC 錢包什么,我們要怎么怎么樣。我跟大家說,你爲了避免這個痛苦,你走的所有捷徑都會在某一天還給你。
你說我不要去 DeFi ,太復雜,我不要持有自己的私鑰,太復雜,但是我想賺利息,我把幣存到 FTX ,因爲 FTX 看起來很不錯,那么恭喜你,現在賠光了。你如果有一天真的學會了,在我手裏的私鑰或者助記詞,這個錢包就是我自己的,那么恭喜你,你真正的從 Web2 進入了 Web3 。
王一石: 大額資產,我只相信硬件錢包,離线手機不能代替硬件錢包使用。硬件錢包可以和時間做朋友,頭部交易所隨着時間的變化,更迭的太快了。
超級君: 這個行業沒有大而不倒。
子魚: 硬件錢包它畢竟是個電子產品,損壞了怎么辦?它沒有損壞,硬件錢包的公司倒閉了怎么辦?
王一石: 這個公司倒了沒關系,錢包壞了就壞了,你把它導到其他錢包去就可以恢復出來。
倒閉太正常了。公司創業的成功概率有個百分之 10% 就不錯了,對吧?有一個數據這樣說的,全世界初創公司的平均生存時間是兩年半,就兩年半,你想想有多少公司就一年兩年就掛了的,這就回到我們一开始說的,爲什么你要把資產放到你自己掌管私鑰的硬件錢包裏面,就是因爲助記詞這個形式或者說私鑰這個形式是通用的。
比如說你覺得 ledger 特別好,他不會倒閉的,實際結果是就算他倒閉了也沒關系,你可以把他的私鑰導到 OneKey ,OneKey 出事也沒關系,後面還有一個 TwoKey、ThreeKey 出來,還是有辦法的,它不像是交易所,倒的話就真的倒了,就真的破產了,你的幣就真的沒了,你拿不回來了。
子魚:也就是我們今天的主題,Not Your Keys,Not Your Coins。
超級君:因爲我特別想到一個事情,我覺得應該還是要強調一下,助記詞不能夠放在互聯網上,因爲現在據我所知,有幾家是專門做這個生意的。他可能像過去的奪寶奇兵,去找藏寶圖,他們是專業作战的一個團隊,然後專門去翻閱互聯網上的助記詞,翻閱個人電腦裏面儲存的助記詞信息。他的搜索能力是相當強的,每天去檢索互聯網上所有地方的類似助記詞一樣,它能夠自動識別。你的個人電腦的話也是頻頻被攻破,然後去獲取你的助記詞。
王一石:我跟大家說,慎用各類網盤。 Github 倉庫上,每天都有 n 個機器在那上面掃描各種私鑰的東西,我自己知道的是有很多人因爲不小心或者怎么樣把私鑰傳到 Github 上,下一秒就沒了。特別快,人家都不是人工的,全是自動化的。
所以,千萬要慎用那些網盤,千萬不要自作聰明說我把這個助記詞存到一個本地的 TXT 文件或者什么文件,我給他用壓縮軟件給他加密加一下,然後設一個密碼,比如說你的生日。
超級君: 助記詞這個我還是推薦一下,OneKey 現在最近出了一個助記詞的鈦板。
我覺得算是一個比較好的方式,但這裏面會涉及到很多行的內容可以講的,比如說你過安檢的時候,或者是說你這個板要放在哪裏,然後你怎么弄怎么備份這些還有很多東西要講。
子魚: 助記詞我們可以另开一期討論。
王一石:助記詞不要放在线上,下次再和大家聊助記詞保存的問題。
子魚:今天本來預計 30 分鐘的討論,我們聊了 70 分鐘。非常感謝王一石老師和超級君老師的分享,也謝謝 OneKey 提供這么好的產品給大家。希望今天在場的所有聽衆都不會出現在未來的某一次 CeFi 暴雷事件裏,讓我們都能夠在幣圈長長久久,安安全全的活着。記住我們今天所說的重點 Not Your Keys Not Your Coins。
標題:對話王一石和超級君:還要 CeFi 暴雷多少次 持幣者才肯用自己的錢包?
地址:https://www.coinsdeep.com/article/7760.html
鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。
上一篇