密碼貨幣 | Web 3 資安徵文:保護自己錢包第一步都未做好?!
Web3 資安分享嘛:首先沒有錢就不需要加密錢包對否?所以將錢散盡可能是錢包安康的方法(笑)。當然我們不可能這樣大愛吧,加密錢包保平安真的很重要。說到資安細節實在不是我的專業,但是有一些想法我也想寫出來。
真的有那麼多交易所好康?羊毛出在羊身上
無論使用中心化易所 CEX 或去中心化交易所 DEX 某程度上都要把錢 lock 在他們那裡,所以我實在不認為很多人以為的「DEX 要比 CEX 安全」這件事是對的。使用 DEX 頂多是個資不會被對方得到,但是你的幣仍然鎖在對方的鏈(例如 Osmosis 或 Crescent blockchain)或者場域裡,如果對方要關鏈,你的錢也是會被涷結/沒有了的。
至於 CEX 很多時候看到交易了多少 U 就送多少 U 之類然後就「狗衝」,然而有沒有想過「你的個資就是那個產品」?經已不說交易所可能是一個「走佬交易所」捲款而逃,你的個人資料可能在 Deep Web 經已有售,整個人祖宗十八代朋友圈連結都找得到,你還傻傻在數那十幾 U。故此除非有必要,我並不會胡亂注冊新交易所,我真的會看它往績或者搜查一下有沒有出事個案才會註冊。
當然到 Coingecko 查看某一款幣支援的交易所是不是有所連結是必須的。可是風雲變色不可預料,交易所要走佬就像天要下雨娘要嫁人要走留不住,是以在不熟悉或註冊了很久沒有用但突然要用交易所的時候,真的要先找新聞看看。
千算萬算,錯的都是自己
近日看多比或是其他人的個案,很多時條他們都是敗在自己身上,就算有多少個硬件包,但一時不慎按下那個「Approve」或者「Confirm」就 GG。所以不清醒就不要碰交易,頂多就是領取回報就算。正所謂不是你財不入你袋,FOMO 無用的,搶得到也許你買了就會跌價。
做交易前深呼吸很重要。
近日也看到有人建議另外一個做法就是將自己的財產放在多重簽署錢包 ( multisig wallet ) 中,也沒有人說多簽錢包一定要幾個人用才可以,如果將資產放在多簽錢包甚至那幾個錢包是硬錢包,做一次交易需要非常多步驟,怎樣「不清醒」這樣弄一弄應該就會醒,亦大大減輕中招的可能性。我覺得這個做法非常值得研究一下。
萬事都從電郵起,做好區界間好防避
很多時候我們都習慣了「一個電郵走天涯」,社交媒體是那個電郵、註冊交易所又是那個電郵。但是你有沒有想過如果你的電郵被封甚麼的(例如這個 父傳子私處發炎照予醫生診症 Google 判為兒童性虐待封鎖帳號) 你又要 GG 了。那些發狂的 AI 是怎樣也不能溝通與交涉的,於是就 sayonara 啦。
我極度建議將所有錢的電郵越分開越好,不同錢包甚至不同銀行和交易所的東西要分開電郵處理,以免被駭時給賊人一次過爆炸你的錢包和銀行戶口。不過我也知道很難的,但起碼分開私人和搞 $$ 的電郵戶口吧。
至於要不要用自己的 domain 去開電郵?這個我沒答案。例如用 Google 再做好 2FA 應該要比用自己的 domain hosting 卻沒有足夠保護安全的,而且自己 domain 如果忘記了續期又要 GG。可是我也不盡信 Google 或其他電郵供應商在威權下會十足保護我私隱。用或者不用自己 domain 做管 $$ 的電郵戶口,我也未有答案。
保護自己錢包第一步:由保護自己的 LikeCoin 戶口做起
我在 Liker Social 貼了一篇文章說因為 Matters 早前維修 + 自己放假的關係,上個月我的讚賞公民錢錢沒能有效送出去。然後有人回覆我他沒有收到讚賞公民報告並發現原來自己的 Liker Land 沒有確認電郵地址。
這樣真的有點不安全。不單是收不到月報的關係,如果社群帳戶例如 Facebook 被瘋狂 AI 鎖帳而又沒有確認電郵地址的話,就會登入不能,亦可能需要搞很多東西才能登入。所以如果你是用社群登入又沒有確認電郵地址就要趕快去做了。當然最好就是匯出自己的 助記詞,就算 Liker Land app/web 故障,你也可以用 Keplr 或 Cosmostation 去管理你的錢包,得到終極的自由,因為還是那句老句子:Not Your Keys, Not Your Coins,保護錢包的責任,最終還是落在自己身上。