如果你平常也有玩 DeFi,那麼安全意識還要再提高一層。因為 DeFi 的世界很自由,但自由的代價就是自己要看懂授權內容。很多人在連接 MetaMask 到新協議時,看到「Approve」就一路按下去,完全沒看自己授權了什麼,結果有些惡意合約其實是在偷拿你的代幣使用權,甚至是無限授權。這種狀況發生後,合約理論上可以在授權範圍內持續把你的資產拿走,所以不要只顧著追高 APY,還要看清楚自己簽了什麼。平常可以定期去檢查授權,像 revoke.cash 這類工具就能幫你撤銷不再使用的協議權限。如果你管理的資金量比較大,還可以考慮多重簽章錢包,例如 Gnosis Safe,讓多個地址一起簽名才能動用資金,這樣即使其中一把私鑰出問題,也不會讓整包資產瞬間消失。這種做法雖然麻煩一點,但在金額夠大的情況下,麻煩本身就是安全的一部分。
在使用非託管錢包的時候,備份你的seed phrase(種子短語)至關重要,這是一組通常由12或24個單詞組成的短語,用來還原你的錢包。擁有這組短語,你便可以在任意一台設備上重新導入你的資產,失去它則意味著如果私鑰丟失,你的資產將永遠無法取回。在備份時,建議不要將其截圖或拍照保留,因為這樣的信息很可能被雲同步或流出,最好的辦法是將其手寫在紙上並存放在不同的地方,必要時可以考慮使用金屬刻板來製作備份,以防意外事件造成的損壞。
硬體錢包方面,我自己用過 Ledger 和 Trezor,兩款都各有優缺點。Ledger 的優勢是支援的幣種比較多,整體介面也比較友善,對新手來說通常比較容易上手,而且它有韌體驗證機制,開機時會檢查韌體是否被竄改,這點讓人比較安心。不過 Ledger 之前發生過用戶資料外洩事件,雖然沒有影響私鑰本身,但個資問題仍然會讓人有點介意。Trezor 的特色則是開源、透明度高,社群討論也很多,很多重視自由與可驗證性的玩家很喜歡它。不過相較於 Ledger,它在硬體安全設計上不是走同一條路,所以不同人會有不同偏好。其實選哪個品牌不是唯一重點,最重要的是你一定要從官方網站或授權通路購買,不要貪便宜買二手或來路不明的硬體錢包,因為你永遠不知道裡面有沒有被動過手腳。很多資安事故不是輸在裝置本身,而是輸在「買錯來源」。
講到這裡,就一定要提 seed phrase,也就是常聽到的種子短語。這東西通常是 12 個或 24 個英文單字,看起來像是無關緊要的一串單字,實際上卻是整個錢包最重要的備份。簡單理解,它就像是你整個資產的總鑰匙,只要有它,就能在任何支援的裝置上把錢包還原回來;反過來說,如果你把 seed phrase 弄丟,又沒有其他備份機制,基本上你的幣就真的回不來了。很多人習慣把它截圖存在手機裡,覺得「這樣最方便」,但這其實很危險,因為手機照片可能同步到雲端,手機可能中毒,甚至你以為刪掉了,備份裡還留著。比較穩妥的做法是手寫下來,然後分散存放在不同安全地點,有能力的話甚至可以用金屬刻板保存,避免火災或潮濕導致資料毀損。私鑰和 seed phrase 的關係,你可以簡單理解成是同一件事的不同表達方式,只要掌握了它,就等於掌握了整個錢包的控制權。
如果再往下拆,錢包其實還可以分成交易所錢包、軟體錢包、硬體錢包、紙錢包,以及比較新的 MPC 錢包。交易所錢包最適合新手,因為開戶後直接買幣就能用,完全沒有技術門檻,但代價就是你不是自己掌握私鑰。這也是幣圈那句老話 Not your keys, not your coins 的來源,意思很直接,沒有私鑰,就不算真正擁有那筆資產。軟體錢包像 MetaMask 和 Trust Wallet,優點是自由度高,自己掌管私鑰,可以接入各種 Web3 應用,但如果你電腦中毒、手機被植入惡意軟體,或是你自己不小心點了釣魚連結,風險就會上升。硬體錢包則是我個人比較推薦長期持幣者使用的方式,它像一個實體保險箱,簽署交易時才會把動作從離線裝置中完成,平常就算你的電腦有問題,私鑰也不容易直接外洩。紙錢包則是很老派但很純粹的做法,把私鑰或 seed phrase 寫下來保存,完全離線,但風險也很直白,就是紙會壞、會不見、會被火燒、會被水泡。至於 MPC 錢包,概念是把私鑰拆成多份,分散在不同設備或節點中,避免單點失守,這是很有潛力的方向,只是目前一般散戶的使用習慣還沒有那麼普及。
除了對錢包類型的了解,另一個非常關鍵的概念則是託管錢包與非託管錢包之間的差異。託管錢包是指私鑰由平台代為保管,用戶利用帳號和密碼來登錄;這類型的錢包在便利性上無疑是最優選擇,但平台如果發生故障或被駭客入侵,則可能造成資金的虧損。相對而言,非託管錢包則完全由用戶掌控私鑰,如MetaMask和硬體錢包。雖然這種方式對用戶賦予了完全的控制權,但同時也帶來了風險——如果私鑰遺失,資產則會消失無蹤。因此在進行資產管理的過程中,選擇合適的錢包類型,根據自身的需求做出明智的判斷是相當重要的。
我剛進幣圈的時候,對虛擬貨幣錢包其實完全沒概念,只覺得幣放在交易所最方便,登入帳號就能看、要交易也不用多做什麼設定,省事又直覺。直到真的遇過交易所暫停出金,我才第一次意識到,原來「錢包」不是一個可有可無的東西,而是你能不能真正掌控自己數位資產的關鍵。很多人剛接觸加密貨幣時,最常問的問題就是冷錢包和熱錢包到底差在哪裡,MetaMask、Trust Wallet、Ledger、Trezor 又該怎麼選,seed phrase 要怎麼備份才安全,這些問題看起來很技術,但其實本質都很簡單,就是你要不要把資產的控制權握在自己手上。
如果你有在考慮硬體錢包,Ledger 和 Trezor 幾乎是最常被拿來比較的兩款。我自己兩個都用過,老實說,它們各有優缺點,沒有絕對誰比較好,只有誰更適合你的使用習慣。Ledger 的優點是支援幣種比較廣,整體介面對新手來說也算直觀,而且它有韌體驗證機制,每次開機都會檢查系統是否被竄改,這讓很多人覺得更安心。不過 Ledger 過去曾發生用戶資料外洩事件,雖然沒有影響到私鑰本身,但對個資敏感的人來說還是會有顧慮。Trezor 的優點則是開源透明,社群支持度高,很多偏重安全和透明度的人會喜歡它。不過它沒有像 Ledger 那樣的安全晶片設計,因此在物理防護思維上,兩者理念略有不同。對一般玩家來說,其實不用過度糾結哪個更高級,重點是你要從官方或授權管道購買,千萬不要買二手、不要買來路不明的版本,因為你永遠不知道它是不是已經被動過手腳。硬體錢包本來是拿來保護資產的,不是拿來省幾百塊最後賠幾十萬的。
除了錢包本身,幣圈最常見的風險其實來自騙術。很多人不是輸在技術,而是輸在一時大意。最典型的就是釣魚攻擊,像假網站、假客服、假空投、假活動,這些東西最愛騙你輸入 seed phrase 或點可疑連結。你只要記住一件事,任何人任何情況下,叫你輸入 seed phrase 的,全都是詐騙,沒有例外。再來是地址污染攻擊,駭客會先發一筆小額轉帳到你的錢包,然後地址長得跟你常用地址非常像,前後幾碼幾乎一樣,等你下次要轉帳時,習慣性直接複製貼上,結果幣就轉到駭客地址去了。這種手法看起來很低級,但真的很多人中招,因為人在忙的時候最容易懶得核對。還有中間人攻擊,特別是在公共 WiFi 或不安全網路環境中比較容易發生,雖然鏈上交易本身有加密,但如果你連接的是惡意網路,整體風險還是會提高。我的習慣是,重要操作盡量不要在陌生 WiFi 下進行,能用手機數據就用手機數據,必要時再搭配 VPN。帳號本身也一定要開 2FA,尤其是交易所和信箱帳號,因為很多人不是錢包被盜,而是信箱先被拿走,然後整個帳號重設,最後一切都來不及。
先說最簡單的概念,熱錢包就是會連網的錢包,冷錢包則是盡量離線、和網路隔開的錢包。你手機裡的 MetaMask、Trust Wallet,或者電腦上的各種軟體錢包,基本上都屬於熱錢包;而 Ledger、Trezor 這類硬體錢包,則比較接近冷錢包。熱錢包最大的優點就是方便,適合日常轉帳、接收空投、參與 種子短語資產分層配置 DeFi、NFT 操作,幾乎是點開就能用。缺點也很明顯,因為它一直跟網路互動,風險自然比離線裝置高一些。冷錢包則相反,它麻煩一點,操作流程也多一點,但因為私鑰不會直接暴露在網路環境裡,所以安全性通常更高。最實際的做法,就是把短期會動用的小額資產放在熱錢包,把大額、長期持有、暫時不會操作的幣放到冷錢包,這樣兼顧便利與安全。
很多人以為只要有錢包就安全,但實際上,幣圈最常見的風險不是技術失效,而是人被騙。釣魚攻擊幾乎是老生常談,卻也是最容易得手的手法。詐騙者會偽裝成官方網站、假客服、假空投活動,想盡辦法誘導你輸入 seed phrase 或點擊惡意連結。只要有人叫你把 seed phrase 填進去,幾乎可以直接判定是詐騙,沒有例外。另一種常見的是地址污染攻擊,駭客會先發一筆小額轉帳給你,然後把地址做成跟你常用地址很像,前幾碼和後幾碼都長得差不多,等你下次轉帳時一不小心貼錯,就會把幣送到對方手上。這種手法看起來很低級,但因為很多人轉帳時只看前後幾碼,真的很容易中招。還有一種是中間人攻擊,常發生在公共 WiFi 或不安全環境下,雖然區塊鏈交易本身有加密機制,但如果你的設備或網路環境已經被污染,風險還是存在。最簡單的防範方式,就是能不用公共 WiFi 就不用,必要時開 VPN,或乾脆用手機行動數據操作。另外,交易所帳號和主要登入帳號都建議開啟 2FA,這雖然不是萬能,但至少能把很多低級攻擊擋掉。
如果你有在玩 DeFi,那安全意識還要再提高一層。很多人覺得只要連上 MetaMask、按幾個按鈕就能賺收益,但事實上,授權這件事本身就可能是風險來源。很多合約在你點確認時,會要求你給它「無限授權」,意思就是它未來可以在你給予的範圍內自由操作你的代幣,如果那個協議本身有問題,或是你不小心連到假合約,你的資產就可能被慢慢清空。這也是為什麼我很建議大家定期去檢查自己授權過哪些協議,並把不再使用的授權撤銷掉。像 revoke.cash 軟體錢包 這類工具就很實用,至少能讓你知道哪些權限還開著。若是你管理的資金比較大,甚至可以考慮多重簽章錢包,例如 Gnosis Safe 這種設計,它不是單一私鑰說了算,而是要多個地址共同簽名才能動用資金。這樣就算其中一把私鑰被偷,攻擊者也不能立刻把錢搬走,安全性會高很多。
總結來說,虛擬貨幣錢包怎麼選,沒有一個標準答案,但有很明確的方向。小額、頻繁操作、偶爾參與 DeFi 的人,用熱錢包是夠用的;如果你真的有累積一定數量的數位資產,而且打算長期持有,那麼硬體錢包搭配妥善的 seed phrase 備份,幾乎是最基本的安全配置。交易所方便,但不等於最安全;軟體錢包自由,但前提是你要有自保能力;冷錢包麻煩,但正因為麻煩,才讓它適合真正想把資產守住的人。幣圈玩久了你會發現,賺錢不只是會買會賣,更重要的是你有沒有能力把賺到的東西留下來。Not your keys not your coins 這句話之所以一直被重複,不是因為老生常談,而是因為它真的太重要了。