加密錢包是什麼?不同種類有什麼差別?一次搞懂Web3最基礎的應用 - 區塊D世界
進入區塊鏈/Web3的世界第一件要做的事情,就是需要先擁有一個「錢包(Wallet)」,或者說,一個「帳號(Account)」。
在Web3的世界裡,你的錢包就是你用來在區塊鏈上互動的工具:不論是購買加密貨幣、鑄造NFT、進行去中心化金融(DeFi)操作、和其他人交易、簽署各式智能合約...等,通通需要透過你的錢包來進行,就像在Web2的世界裡我們在任何網站上進行操作都要先有一個「帳號」一樣,在Web3,錢包就是帳號,帳號就是錢包。
但是初來乍到的朋友可能會被一大堆的錢包種類和專有名詞給嚇到,什麼又冷又熱的錢包,又中心化又去中心、公鑰私鑰助記詞等等直接認知爆炸,所以決定來寫一篇文章稍微整理一下。
本文目錄:
重要名詞和觀念
錢包的種類有哪些
安全提醒
重要名詞和觀念
公鑰&私鑰
加密錢包最重要的組成就是「公鑰」和「私鑰」,聽起來很專業很學術(也確實是密碼學術語),但我們只要把它類比成是你Gmail的「帳號」和「密碼」就很容易理解了。
「公鑰」通常會再轉換成「錢包地址」來呈現,就像你的 Gmail 帳號,是你的收發地址,可以公開給大家看。
「私鑰」就像是你的 Gmail 密碼,掌握了密碼就等於掌握了這個信箱。
你的 Gmail 帳號和加密錢包最大的差別是:Gmail 是由一個中心化的公司在控管,如果 Google 這間公司倒了,你的帳號就沒了;而加密錢包則是建構在區塊鏈上,沒有一個中心化的管理者(只是基本上,後面講到「中心化錢包」時會再說明),你擁有這個錢包的私鑰就代表擁有完整的所有權,當然也由你自己負完全的管理責任(私鑰不見沒有人可以救你啊!)。
大家常見的錢包通常會是0x開頭,這是「以太坊」這條區塊鏈的錢包地址(由公鑰再次運算包裝而來),長得類似:0x123d57M908q62560f3K62z...(共42位大小寫英數字)。其他不同的區塊鏈也都會有不同的格式,方便大家比較容易辨識這個錢包屬於哪一條區塊鏈。
助記詞
因為私鑰很長、又沒有邏輯,所以超級難記。而助記詞則是私鑰的另外一種表現形式,通常以12個或24個英文單字表現,比較容易記憶,抄寫的時候也比較不容易出錯,現在創建錢包時通常都會提供給你備份的是助記詞。
雖然比較好記又好抄,但是助記詞的效力跟私鑰完全一樣,所以一定要妥善保存,任何人只要有你的助記詞,就能立刻擁有你的錢包。
加密貨幣並不「存放」在錢包裡!
區塊鏈是一個記帳系統,所有資產的所有權轉移,其實都只是帳本上的一筆紀錄。
簡化一個現在常見的金融交易流程來舉例:小明從國泰銀行轉帳一千塊到小華的富邦銀行帳戶,並不會真的有人幫小明從國泰銀行領出一張千元現鈔然後走到富邦銀行幫小華存起來,而是只需要在兩家銀行間的帳本上記上小明轉給小華一千元。
同樣的,小趙從自己的加密錢包轉一個以太幣給小孫,也不是真的有一個「以太幣.eth」檔案從「小趙錢包隨身碟」被剪下貼上到「小孫錢包隨身碟」裡,而是只在帳本上記下「小趙轉給小孫一顆以太」。這個帳本就是區塊鏈。
總而言之,加密資產(貨幣、NFT...)並不是「存放」在某個加密錢包裡,它們其實一直都在區塊鏈上,只是在區塊鏈帳本上被紀錄了「屬於」某錢包地址所有,而加密錢包實際上更像是一把鑰匙(包含私鑰和公鑰),擁有該錢包私鑰的人才能存取這些資產。
所以「保管」加密錢包,其實你不是在保管資產本身,而是在保管私鑰。這就延伸到下面一個段落的主題:根據保管的方式不同,加密錢包有幾個不同的種類。
加密錢包的種類
目前主流的加密錢包種類其實不少,但是可以簡單地用兩個要素來分類:
私鑰控制權
網路連接與否
從這兩個要素就可以直接畫出一個錢包分類表格,後面會依序解釋。
首先,從私鑰是否由使用者自己控制就可以分成兩類:中心化錢包及去中心化錢包。
中心化錢包
顧名思義,這類錢包的私鑰是由一個中心化的機構所掌握,例如交易所,一般使用者並無法控制自己的私鑰。
這類的錢包的好處是不需要使用者自己負擔保管私鑰的責任,萬一你忘記了交易所的登入密碼,你還有機會用「忘記密碼」來重新索取存取權。如果你是大戶使用者,也不用擔心會被駭客盯上。
壞處則是註冊交易所帳號通常會需要較麻煩的KYC(Know Your Customer)流程,在認證自己的真實身份後才能註冊成功。另外一個更可怕的壞處則是,萬一交易所突然倒閉,或是認為你的帳戶有問題而凍結,你的錢包將完全無法動用,更不用說裡面的資產。
去中心化錢包
與交易所的中心化錢包用戶相反,去中心化錢包的使用者則完全控制自己錢包的私鑰,申請過程也完全不需任何身份認證,甚至你要註冊幾個帳號都沒有限制,也永遠沒有人能夠限制你任何的錢包存取動作。但是壞處則是必須自己保管私鑰(助記詞),一但遺失,沒有任何人能夠幫你尋回錢包裡的資產。如果私鑰被有心人士竊取,那麼對方就會立刻擁有這個錢包的所有權。
另外一種分類方式是錢包是否有連上網路。
熱錢包
隨時連在網路上的就是熱錢包。常見的軟體錢包如MetaMask(又稱小狐狸錢包)、Trust Wallet...等就是熱錢包。軟體錢包的形式也有很多種,從網路瀏覽器外掛、APP到電腦軟體都有。
熱錢包的好處是註冊和使用都非常方便,缺點則是因為隨時連網,等於私鑰隨時暴露在駭客攻擊的危險之下。
冷錢包
沒有和網路連結的錢包就是冷錢包。你可能會想,沒有連上網路,要怎麼在區塊鏈上交互?
剛才有提到,加密錢包其實是一把鑰匙,而冷錢包只是把私鑰保存在一個實體地、沒有網路連結的裝置裡,在大多數時候隔絕了駭客透過網路竊取的可能性,而當需要在區塊鏈上進行交易時,仍需要將冷錢包接上,並且以裝置上的實體按鈕來放行交易。
安全提醒
小心保管私鑰
這個提醒再怎麼強調也不嫌多。不要用手機拍照、截圖,更不要存在雲端。任何人只要擁有你的助記詞,就能在任•何•地•方,使用任•何•裝•置,利用該助記詞存取你的加密錢包。
確認內容再簽署
在區塊鏈上交易或進行任何互動時,都會需要使用錢包來進行「簽署」的動作,簽署完成後才會放行進行該交互動作。盡量只跟信任的對象交易,並且仔細確認簽署時錢包跳出來的交互內容也是一件重要的事。
慎選交易所
區塊鏈圈子裡有一句話:「Not your key, not your coin(私鑰不是你的,幣也就不屬於你)」。只要是使用中心化錢包,就表示你的幣其實掌握在別人手裡。
尤其交易所很多,但是可以信任的很少,甚至我建議抱著「不要完全信任任何一間交易所」的心態。畢竟連曾經是全球第二大的FTX交易所都可以爆炸(事件始末)了。
不過不是說完全不要跟交易所有任何互動,而是隨時保持謹惕(關注跟該交易所相關的新聞消息)、雞蛋不要放在同一個籃子裡(分散資金在不同交易所、不同種類的錢包)。
網路釣魚和社交工程才可怕
從我個人觀察到的錢包資產被盜的事件,其實根本沒有聽過有人利用工程技術暴力破解了私鑰,也少有私鑰直接被竊取的案例,反而被「釣魚」和被「社交工程」最多。
釣魚最常見的案例就是仿造成某個具有公信力的單位(例如知名交易所、專家名人),透過廣撒以假亂真的email,或是製作假網站、假社交媒體帳號,進而誘騙受害者點擊某個連結,最後使用錢包簽署了某個智能合約、支付了某筆錢、或是交出了錢包控制權。
社交工程的意思則是罪犯利用一連串的誘導詐騙,佯裝身份取得受害者的信任或是不小心洩漏重要資訊,進而非法取得資產。常見的「猜猜我是誰」和「假檢警」電話詐騙就是社交工程詐騙,而區塊鏈上最常見的則是,偽裝身份和受害者接觸,編造各種故事劇情誘騙,降低受害者的戒心之後,再透過惡意連結或是其他方式取得對方資產。
文章最後,描述一下我曾經目睹的實際案例,堪稱是「社交工程 × 釣魚」的 Combo 技:
場景是在某個 NFT 項目的官方 Discord 社群裡。第一階段是社群裡的某位管理者(Mod)被私訊,對方說是另外一個 NFT 項目的行銷人員,想要互相推廣白名單合作(這在NFT火熱時期是非常常見的一種宣傳模式),雙方來回討論了許久,成功取得信任後,對方順勢拋出了一個連結,點擊之後,該 Mod 的 Discord 帳號就被對方控制了。
由於該 Mod 的 Discord 帳號可以在社群裡發送「官方公告」,所以代誌就大條了。
Mod 的 Discord 帳號就被對方控制後就進入第二階段。該 NFT 的 Discord 社群裡馬上出現了一個官方公告,宣告現在將進行「限時限量發售」,並附上一個發售連結。
抓住了社群的 FOMO(Fear Of Missing Out,害怕錯過)情緒,所有人點擊過去之後看到一個精美的、煞有其事的 NFT 購買網頁,幾乎都會毫不猶豫地按下購買鍵...。
如果你也會好奇未來區塊鏈將對世界帶來什麼樣的影響,在「區塊D世界」訂閱區留下Email訂閱,就可以在信箱直接收到值得關注的消息哦!