進入區塊鏈/Web3 的世界第一件要做的事情,就是需要先擁有一個「錢包(Wallet)」,或者說,一個「帳號(Account)」。

在 Web3 的世界裡,你的錢包就是你用來在區塊鏈上互動的工具:不論是購買加密貨幣、鑄造 NFT、進行去中心化金融(DeFi)操作、和其他人交易、簽署各式智能合約…等,通通需要透過你的錢包來進行,就像在 Web2 的世界裡我們在任何網站上進行操作都要先有一個「帳號」一樣,在 Web3,錢包就是帳號,帳號就是錢包。

但是初來乍到的朋友可能會被一大堆的錢包種類和專有名詞給嚇到,什麼又冷又熱的錢包,又中心化又去中心、公鑰私鑰助記詞等等直接認知爆炸,所以決定來寫一篇文章稍微整理一下。


加密錢包重要名詞和觀念

公鑰&私鑰

加密錢包最重要的組成就是「公鑰」和「私鑰」,聽起來很專業很學術(也確實是密碼學術語),但我們只要把它類比成是你Gmail的「帳號」和「密碼」就很容易理解了。

「公鑰」通常會再轉換成「錢包地址」來呈現,就像你的 Gmail 帳號,是你的收發地址,可以公開給大家看。

「私鑰」就像是你的 Gmail 密碼,掌握了密碼就等於掌握了這個信箱。

你的 Gmail 帳號和加密錢包最大的差別是:Gmail 是由一個中心化的公司在控管,如果 Google 這間公司倒了,你的帳號就沒了;而加密錢包則是建構在區塊鏈上,沒有一個中心化的管理者(只是基本上,後面講到「中心化錢包」時會再說明),你擁有這個錢包的私鑰就代表擁有完整的所有權,當然也由你自己負完全的管理責任(私鑰不見沒有人可以救你啊!)。

大家常見的錢包通常會是 0x 開頭,這是「以太坊」這條區塊鏈的錢包地址(由公鑰再次運算包裝而來),長得類似:

0x123d57M908q62560f3K62z…(共 42 位大小寫英數字)

其他不同的區塊鏈也都會有不同的格式,方便大家比較容易辨識這個錢包屬於哪一條區塊鏈。
.

Chainee_course

助記詞

因為私鑰很長、又沒有邏輯,所以超級難記。而助記詞則是私鑰的另外一種表現形式,通常以 12 個或 24 個英文單字表現,比較容易記憶,抄寫的時候也比較不容易出錯,現在創建錢包時通常都會提供給你備份的是助記詞。

雖然比較好記又好抄,但是助記詞的效力跟私鑰完全一樣,所以一定要妥善保存,任何人只要有你的助記詞,就能立刻擁有你的錢包。

在生成加密錢包時一定要好好妥善保管的助記詞
在生成加密錢包時一定要好好妥善保管的助記詞

.

加密貨幣並不「存放」在錢包裡!

區塊鏈是一個記帳系統,所有資產的所有權轉移,其實都只是帳本上的一筆紀錄。

簡化一個現在常見的金融交易流程來舉例:小明從國泰銀行轉帳一千塊到小華的富邦銀行帳戶,並不會真的有人幫小明從國泰銀行領出一張千元現鈔然後走到富邦銀行幫小華存起來,而是只需要在兩家銀行間的帳本上記上小明轉給小華一千元。

同樣的,小趙從自己的加密錢包轉一個以太幣給小孫,也不是真的有一個「以太幣.eth」檔案從「小趙錢包隨身碟」被剪下貼上到「小孫錢包隨身碟」裡,而是只在帳本上記下「小趙轉給小孫一顆以太」。這個帳本就是區塊鏈。

總而言之,加密資產(貨幣、NFT…)並不是「存放」在某個加密錢包裡,它們其實一直都在區塊鏈上,只是在區塊鏈帳本上被紀錄了「屬於」某錢包地址所有,而加密錢包實際上更像是一把鑰匙(包含私鑰和公鑰),擁有該錢包私鑰的人才能存取這些資產。

所以「保管」加密錢包,其實你不是在保管資產本身,而是在保管私鑰。這就延伸到下面一個段落的主題:根據保管的方式不同,加密錢包有幾個不同的種類。


加密錢包的種類

目前主流的加密錢包種類其實不少,但是可以簡單地用兩個要素來分類:

  1. 私鑰控制權
  2. 網路連接與否

從這兩個要素就可以直接畫出一個錢包分類表格,後面會依序解釋。

加密錢包種類
加密錢包種類(*雖然交易所的託管錢包被歸類為熱錢包可能會有一點不夠精確,不過為了方便初次接觸者好理解,我們就先僅以「連網」因素分類來把它暫時歸類在這裡。)

首先,從私鑰是否由使用者自己控制就可以分成兩類:中心化錢包及去中心化錢包。.

中心化錢包

顧名思義,這類錢包的私鑰是由一個中心化的機構所掌握,例如交易所,一般使用者並無法控制自己的私鑰。

這類的錢包的好處是不需要使用者自己負擔保管私鑰的責任,萬一你忘記了交易所的登入密碼,你還有機會用「忘記密碼」來重新索取存取權。如果你是大戶使用者,也不用擔心會被駭客盯上。

壞處則是註冊交易所帳號通常會需要較麻煩的 KYC(Know Your Customer)流程,在認證自己的真實身份後才能註冊成功。另外一個更可怕的壞處則是,萬一交易所突然倒閉,或是認為你的帳戶有問題而凍結,你的錢包將完全無法動用,更不用說裡面的資產。

去中心化錢包

與交易所的中心化錢包用戶相反,去中心化錢包的使用者則完全控制自己錢包的私鑰,申請過程也完全不需任何身份認證,甚至你要註冊幾個帳號都沒有限制,也永遠沒有人能夠限制你任何的錢包存取動作。但是壞處則是必須自己保管私鑰(助記詞),一但遺失,沒有任何人能夠幫你尋回錢包裡的資產。如果私鑰被有心人士竊取,那麼對方就會立刻擁有這個錢包的所有權。
.

另外一種分類方式是錢包是否有連上網路

熱錢包

隨時連在網路上的就是熱錢包。常見的軟體錢包如MetaMask(又稱小狐狸錢包)、Trust Wallet…等就是熱錢包。軟體錢包的形式也有很多種,從網路瀏覽器外掛、APP到電腦軟體都有。

熱錢包的好處是註冊和使用都非常方便,缺點則是因為隨時連網,等於私鑰隨時暴露在駭客攻擊的危險之下。

冷錢包

沒有和網路連結的錢包就是冷錢包。你可能會想,沒有連上網路,要怎麼在區塊鏈上交互?

剛才有提到,加密錢包其實是一把鑰匙,而冷錢包只是把私鑰保存在一個實體地、沒有網路連結的裝置裡,在大多數時候隔絕了駭客透過網路竊取的可能性,而當需要在區塊鏈上進行交易時,仍需要將冷錢包接上,並且以裝置上的實體按鈕來放行交易。

在台灣常用的各種類錢包
在台灣常用的各種類錢包

加密錢包安全提醒

小心保管私鑰

這個提醒再怎麼強調也不嫌多。不要用手機拍照、截圖,更不要存在雲端。任何人只要擁有你的助記詞,就能在任•何•地•方,使用任•何•裝•置,利用該助記詞存取你的加密錢包。
.

確認內容再簽署

在區塊鏈上交易或進行任何互動時,都會需要使用錢包來進行「簽署」的動作,簽署完成後才會放行進行該交互動作。盡量只跟信任的對象交易,並且仔細確認簽署時錢包跳出來的交互內容也是一件重要的事。
.

慎選交易所

區塊鏈圈子裡有一句話:「Not your key, not your coin(私鑰不是你的,幣也就不屬於你)」。只要是使用中心化錢包,就表示你的幣其實掌握在別人手裡。

尤其交易所很多,但是可以信任的很少,甚至我建議抱著「不要完全信任任何一間交易所」的心態。畢竟連曾經是全球第二大的 FTX 交易所都可以爆炸(事件始末)了。

不過不是說完全不要跟交易所有任何互動,而是隨時保持謹惕(關注跟該交易所相關的新聞消息)、雞蛋不要放在同一個籃子裡(分散資金在不同交易所、不同種類的錢包)。
.

網路釣魚和社交工程才可怕

從我個人觀察到的錢包資產被盜的事件,其實根本沒有聽過有人利用工程技術暴力破解了私鑰,也少有私鑰直接被竊取的案例,反而被「釣魚」和被「社交工程」最多。

釣魚最常見的案例就是仿造成某個具有公信力的單位(例如知名交易所、專家名人),透過廣撒以假亂真的email,或是製作假網站、假社交媒體帳號,進而誘騙受害者點擊某個連結,最後使用錢包簽署了某個智能合約、支付了某筆錢、或是交出了錢包控制權。

社交工程的意思則是罪犯利用一連串的誘導詐騙,佯裝身份取得受害者的信任或是不小心洩漏重要資訊,進而非法取得資產。常見的「猜猜我是誰」和「假檢警」電話詐騙就是社交工程詐騙,而區塊鏈上最常見的則是,偽裝身份和受害者接觸,編造各種故事劇情誘騙,降低受害者的戒心之後,再透過惡意連結或是其他方式取得對方資產。

文章最後,描述一下我曾經目睹的實際案例,堪稱是「社交工程 × 釣魚」的 Combo 技:

場景是在某個 NFT 項目的官方 Discord 社群裡。第一階段是社群裡的某位管理者(Mod)被私訊,對方說是另外一個 NFT 項目的行銷人員,想要互相推廣白名單合作(這在 NFT 火熱時期是非常常見的一種宣傳模式),雙方來回討論了許久,成功取得信任後,對方順勢拋出了一個連結,點擊之後,該 Mod 的 Discord 帳號就被對方控制了。

由於該 Mod 的 Discord 帳號可以在社群裡發送「官方公告」,所以代誌就大條了。

Mod 的 Discord 帳號就被對方控制後就進入第二階段。該 NFT 的 Discord 社群裡馬上出現了一個官方公告,宣告現在將進行「限時限量發售」,並附上一個發售連結。

抓住了社群的 FOMO(Fear Of Missing Out,害怕錯過)情緒,所有人點擊過去之後看到一個精美的、煞有其事的 NFT 購買網頁,幾乎都會毫不猶豫地按下購買鍵…。


* 文章僅代表作者個人觀點意見,不代表鏈習生觀點和立場,所有內容及觀點僅供參考,不構成投資建議。投資者應自行決策與交易,對投資者交易形成的直接間接損失作者及鏈習生將不承擔任何責任。

責任編輯:Leo|原作者: 區塊D世界 | 原文出處

* 想要和大家一起即時討論嗎?歡迎加入〈鏈習生 LINE 社群〉,和鏈習生研究員、讀者們一起探索 Web3 宇宙!鏈習生 LINE 社群

Chainee_course