基於區塊鏈技術的 Web3 正在驅動下一代技術革命,越來越多的人開始參與到這場加密浪潮中,但 Web3 與 Web2 是兩個截然不同的世界。Web3 世界是一個充滿著各種各樣的機遇以及危險的黑暗森林。身處 Web3 世界中,我們會目睹許多人一夜暴富實現財富自由以及傾家蕩產難以翻身,會感受到一個極具創新且節奏變化極快的行業。而錢包則是進入 Web3 世界的入口以及通行證,了解錢包不僅可以幫助你在 Web3 世界中自由暢行,還可以幫助你在這個黑暗森林中更好地保護好你的資產安全。
作者:@菠菜菠菜,@Amber Yang, @Patrick, @Robert Mao, @DJ Qian, @Raymond Qu, @李龍,@Tokenpocket @Roykay@MVP
* 文章僅代表作者個人觀點,不構成任何投資建議
目錄
一。錢包 — Web2 世界通往 Web3 世界的入口
(一)什麼是錢包?怎麼理解錢包?
(二)錢包產品在 Web3 世界中存在的意義是什麼?
(三)如果沒有錢包產品的存在,Web3 世界會變成什麼樣?
二。錢包演變史 — 從賬本到公鏈服務平台
(一)錢包 1.0 時代 — 記賬時代(2009-2013 年)
(二)錢包 2.0 時代 — 智能合約時代(2014-2018)
(三)錢包 3.0 時代 — 多場景時代(2018 - 至今)
三。簡單理解密碼學 — 錢包生成的藝術
(一)錢包是怎麼生成的?怎麼” 登入” 錢包?
(二)私鑰可以被暴力破解嗎?
(三)私鑰那麼難記,有什麼解決方案嗎?
四。加密世界的通行工具 — 錢包可以做什麼?
(一)錢包實現了對資產的可視化和私鑰管理
(二)錢包實現了與區塊鏈應用的互動
(三)錢包實現了身份確權新範式
五。保障資產安全 — 如何選擇錢包?
(一)托管錢包與非托管錢包 — 私鑰是否掌握在自己手中?
(二)冷錢包與熱錢包 — 你的私鑰真的安全嗎?
(三)為什麼最不安全的中心化交易所錢包仍然最多人使用?
(四)加密世界雷曼時刻 — 如何保障資產安全?
六。黑暗森林 — 錢包詐騙大揭秘
(一)資產被直接轉走?— 授權釣魚詐騙
(二)錢包地址被替換?— 剪貼板病毒陷阱
(三)簽名也能被盜?— eth_sign 簽名詐騙
(四)天上掉餡餅?— NFT 空投詐騙
(五)錢包裡撿錢?— 故意洩露私鑰詐騙
七。未來展望 — 錢包未來的發展趨勢
TL;DR
▪ 錢包在 Web3 世界中不僅僅承擔著傳統意義上管理資產的功能,它還是一個在 Web3 世界中通行的必備工具,承載著人類與區塊鏈進行互動的使命。沒有錢包就像沒有健康碼哪都去不了一樣,無法踏入 Web3 的世界。
▪ 在比特幣誕生之初,使用錢包的門檻很高。那時候並沒有現在市面上各種各樣的錢包產品,需要同步好幾天下載整個比特幣賬本才可以運行,在 2011 年 6 月 29 日,比特幣支付處理商 BitPay 推出了第一個用於智能手機的比特幣電子錢包,自此錢包開始進入了移動端時代。人們不再需要學習複雜的電腦知識和運行數據量龐大的區塊鏈節點才可以使用錢包。
▪ 根據 2022 年的調查,全世界甚至有 17 億人沒有銀行賬戶,這群人被世界金融體系排除在外。而錢包可以讓這群人擁有區塊鏈版的 “銀行賬戶” 並享受無準入的金融服務,錢包賦予了人人都可以享受金融服務的平等。
▪ 如果不能將錢包的門檻降低到人人都可以輕鬆使用的程度,Web3 就很難大眾化。即便創新應用層出不窮,沒有足夠的用戶量去支撐也很難存活下去。可以說如果沒有錢包產品的存在來降低使用門檻,Web3 世界發展的基石就不穩固。Web3 世界需要更多的用戶量才能帶來積極的發展,這也是錢包產品存在的一個重要意義。
▪ 錢包在比特幣誕生之初的幾年中只有簡單的轉賬和記賬功能。在以太坊誕生之後,錢包踏入了智能合約時代,錢包除了最初的簡單轉賬和記賬功能還可以與智能合約進行互動。越來越多的人開始加入到區塊鏈的世界中,但這時候人們發現了以太坊存在著一個問題,那就是擁堵,這導致了高昂的 Gas 費和漫長的等待時間,於是許多高性能公鏈層出不窮。自此錢包踏入多場景時代支持多條區塊鏈並具備同時管理多個鏈上不同資產的能力。
▪ 當我們生成一個錢包的時候其實就是通過一系列算法生成了一個私鑰,並且通過這個私鑰生成了一個公鑰並組成密鑰對和一個錢包地址。由於這個過程是單向的,所以持有私鑰就等於擁有錢包的控制權。如果說私鑰 = 錢包的賬戶密碼,那麼錢包地址就是別人要給你轉賬時需要的賬戶。你可以將錢包地址公開,但是你不可以將私鑰公開出去,因為私鑰 = 錢包的控制權,所以私鑰的保管尤其重要。
▪ 破解一個比特幣地址的私鑰的概率為 2 的 256 次方分之一,即便假設一個計算機每秒可以算出 900 萬種私鑰的可能性。破解一個地址的私鑰甚至都需要上千年的時間,所以以人類目前的算力水平暴力破解私鑰在目前幾乎是不可能的事情。
▪ 由於私鑰看起來毫無規律且十分難記,於是有了 “助記詞” 來解決這個問題。助記詞通常是由 12 或 24 個英文單詞組成,助記詞與錢包私鑰是映射關係。它可以理解為是私鑰的另外一種表現形式,比私鑰更容易記錄,輸入助記詞也同樣可以 “登入” 錢包。
▪ 在 Web2 世界中,每個應用之間的賬戶不全是互通的,但在 Web3 的世界中,所有應用都是統一使用錢包去進行 “登入”。我們可以看到 “登錄” 錢包時顯示的不是 “Login with Wallet”,取而代之的是 “Connect Wallet”,而錢包是你在 Web3 世界中的唯一通行證。
▪ 錢包不僅是一個承載加密資產的載體,還做到了對加密資產的可視化和對私鑰的管理 —— 本質上我們所有的加密資產都只是區塊鏈上的一串數據。所以當你在錢包上進行資產的處理(收取、轉賬、支付等)時,錢包實質上只是在通過對私鑰的管理,實現了對加密資產數據的可視化處置。
▪ 錢包在 Web3 世界中的精髓在於體驗區塊鏈上的應用,也就是 DAPP,通常由智能合約組成,區塊鏈不停止運行 DAPP 就不會停止運行。錢包與 DAPP 的互動通常分為兩種,身份驗證(簽名)和智能合約互動。兩者之間的區別簡單區分的話就是,簽名授權是鏈下互動不需要花 Gas 費,而智能合約互動是鏈上互動需要花費 Gas 費。
▪ 在 Web3 世界中,錢包不僅可以用來存放你的加密資產,也可以讓用戶擁有去中心化身份的所有權、控制權以及管理權,還可以擺脫對中心化權威機構身份確權的依賴,利用區塊鏈技術來實現對身份的確權。
▪ 圍繞著私鑰的歸屬權,目前錢包衍生出了三種類型:托管錢包、混合托管錢包、非托管錢包,即私鑰分別掌握在:用戶自己手中,用戶和應用服務商手中、托管服務商手中。托管以及非托管錢包更貼合 Web2 用戶使用習慣,使用門檻低,但有大額資產需要進行存放時,那麼非托管錢包就是更安全以及更好的選擇,私鑰掌握在自己手裡最踏實。
▪ 冷錢包與熱錢包的區別在於私鑰是否觸網,而私鑰即便掌握在自己手中也並非絕對安全,雞蛋不能放在一個籃子裡。一個 Web3 老司機通常都會擁有多個錢包來分散風險,將大部分資金存儲在不觸網的冷錢包中,少部分資金放在觸網的熱錢包中方便進行互動。
▪ 中心化交易所的錢包其實是最不安全的一個錢包類型,可是最不安全的錢包反而是使用人數最多的錢包。導致這一現象的因素在於目前中心化交易所的不可替代性以及大多數人對錢包知識的不了解。
▪ 由於區塊鏈的匿名性以及認知門檻較高,許多錢包用戶對於錢包安全知識的缺乏以及鏈上互動邏輯的不了解。從而導致安全事故頻頻發生造成了大量資金的損失,並且資金被盜後可追回的可能性微乎其微。可以說加密世界就是一個黑暗森林,要想保護好自己的資產安全必須建立起對錢包安全的認知。
▪ 數字錢包正從過去那種屬於極客或者加密貨幣愛好者才會使用的工具,逐漸變成普通用戶的移動設備或者瀏覽器上的常用產品。這種發展規律其實和當初互聯網工具的發展道路是一致的。 而隨著錢包和各種應用方式的結合,錢包越來越從一個管理私鑰和數字資產的基礎工具,變成具有戰略意義的 Web3 入口。
一。錢包 —Web2 世界通往 Web3 世界的入口#
(一)什麼是錢包?怎麼理解錢包?
錢包(Crypto Wallet)常稱加密錢包、數字錢包或是電子錢包。為什麼說錢包是 Web3 世界的入口呢?我們不能用傳統錢包的認知去理解 Web3 的錢包。錢包在 Web3 世界中不僅僅承擔著傳統意義上管理資產的功能,它還是一個在 Web3 世界中通行的必備工具,承載著人類與區塊鏈進行互動的使命。可以說如果你沒有錢包,就像你沒有健康碼哪都去不了一樣,無法踏入 Web3 的世界。
對於首次接觸區塊鏈的用戶而言,我們可以先從非嚴格定義的角度將錢包類比成 “支付寶”。在支付寶 APP 上,你可以進行支付轉賬查看資產等操作處理,也可以使用支付寶登錄訪問第三方 APP 或者網站,甚至可以交友聊天。在 Web3 世界的錢包中,亦具備了類似的功能和服務,但與支付寶又有著很大的差別,比如:
-
你不需要使用身份證以及手機號碼等就可以免費註冊一個錢包,錢包是匿名的
-
支付寶是公司的產品,可以被人為操控,而錢包原生於區塊鏈,幾乎不可被人為操控
-
支付寶裡的資產只是數字,而錢包裡的資產是真正屬於你自己的
-
支付寶賬戶密碼忘記了可以找回,錢包私鑰(可以理解為密碼)丟了就無法找回了
(二)錢包產品在 Web3 世界中存在的意義是什麼?
錢包產品的出現在 Web3 世界中有著不可替代的意義,即降低了人們使用錢包的門檻使得越來越多的人可以參與到區塊鏈的世界中。在比特幣誕生之初,使用錢包的門檻很高。那時候並沒有現在市面上各種各樣的錢包產品,最初的錢包形態十分簡陋甚至需要同步好幾天下載整個比特幣賬本才可以運行,當時只有少數極客在電腦上操作才可以使用錢包。
(下圖為比特幣的創始人中本聰設計的世界上第一個比特幣錢包)
隨著比特幣的發展,在 2011 年 6 月 29 日,比特幣支付處理商 BitPay 推出了第一個用於智能手機的比特幣電子錢包。自此錢包開始進入了移動端時代,人們不再需要學習複雜的電腦知識和運行數據量龐大的區塊鏈節點才可以使用錢包。這是錢包邁向大眾歷史性的一步。錢包產品也在不斷的迭代和降低門檻中吸引了越來越多用戶進入到區塊鏈的世界中,這會給 Web3 世界帶來什麼呢?
根據 2022 年的調查,全世界甚至有 17 億人沒有銀行賬戶,這群人被世界金融體系排除在外。而錢包可以讓這群人擁有區塊鏈版的 “銀行賬戶” 並享受無準入的金融服務。錢包不僅僅賦予了人人都可以享受金融服務的平等,隨著錢包使用門檻的越來越低,意味著進入 Web3 世界的人就越來越多。這就會給 Web3 世界帶來更深的流動性以及更多的用戶,Web3 世界裡的生態就會越來越繁榮,這將會是一個正向循環。
(三)如果沒有錢包產品的存在,Web3 世界會變成什麼樣?
讓我們回顧一下電腦的發展史,1946 年 2 月 14 日世界上第一台電子計算機誕生於美國的賓夕法尼亞大學。這台計算機被稱為 “肯尼亞克”,它被發明出來的目的是為了製造導彈的彈道。我們可以發現電腦最初的形態是極其龐大且複雜的,只有極少部分人才可以使用。隨著時代的不断發展,直到 1974 年 12 月,電腦愛好者愛德華。羅伯茨發布了自己製作的裝配有 8080 處理器的計算機 “牛郎星”。這也是世界上第一台裝配有微處理器的計算機,從此掀開了個人電腦的序幕。
電腦從只有極少數人可以使用降低到個人也可以使用電腦的門檻,但這期間也經歷了很長一段時間的發展。隨著硬體設備和電腦操作系統的不断迭代更新,從極少數人到現在老百姓都可以輕鬆使用電腦。門檻的降低帶來了用戶的爆發式增長也帶來了生態的爆發,社交平台、電腦遊戲、辦公應用等等電腦應用的誕生也改變了人類的生活方式。
(世界上第一台電子計算機)
想像一下,如果現在的電腦和以前一樣,體積龐大、操作門檻高、價格昂貴,還會有現在這麼豐富的生態嗎?在 Web3 世界也是如此,如果不能將錢包的門檻降低到人人都可以輕鬆使用的程度,Web3 就很難大眾化。即便創新應用層出不窮,沒有足夠的用戶量去支撐也很難存活下去。可以說如果沒有錢包產品的存在來降低使用門檻,Web3 世界發展的基石就不穩固。Web3 世界需要更多的用戶量才能帶來積極的發展,這也是錢包產品存在的一個重要意義。
二。錢包演變史 — 從賬本到公鏈服務平台#
錢包的歷史最早追溯到比特幣誕生之初,那時的區塊鏈僅僅只是一个分布式賬本,但隨著區塊鏈的發展,錢包也經歷了幾個更新迭代的時期。
(一)錢包 1.0 時代 — 記賬時代(2009-2013 年)
2008 年,中本聰發布了一個引起全世界金融科技革命的白皮書:《比特幣:一種點對點電子貨幣系統》。2009 年,世界上第一個加密資產比特幣主網上線,世界上第一個區塊鏈系統正式開始運作。隨著比特幣主網上線,中本聰也同時開發了第一款比特幣錢包,當時的錢包只有簡單的轉賬和記賬功能。
(二)錢包 2.0 時代 — 智能合約時代(2014-2018)
2014 年,Vitalik Buterin 也就是我們俗稱的 V 神發布了一個開啟區塊鏈 2.0 時代的白皮書:《以太坊:下一代智能合約和去中心化應用平台》,區塊鏈正式踏入智能合約時代。與比特幣的分布式賬本不同,在以太坊上除了轉賬和記賬外還可以通過編寫智能合約來搭建去中心化應用。那么智能合約是什麼呢?
智能合約可以理解為是一種在區塊鏈上只要滿足條件就會自動運行的程序,一旦部署就會一直運行在區塊鏈上並且不可篡改。由於智能合約的誕生,以太坊吸引了大量的開發者,給區塊鏈帶來了許多顛覆性的創新。如:NFT、區塊鏈上的去中心化金融、元宇宙遊戲。同時也帶來了一段比較混沌的時期,由於智能合約允許每個人都可以發行自己的 Token,並且當時許多人對於區塊鏈的認知不足,所以各種空氣幣橫空出世收割了許多人的口袋,這也使得人們對於區塊鏈的印象大打折扣。
隨著智能合約的出現,錢包也完成了一次迭代升級。錢包的作用也從最初的轉賬和記賬升級成了可以與智能合約進行互動,錢包踏入了 2.0 時代。
(三)錢包 3.0 時代 — 多場景時代(2018 - 至今)
隨著以太坊和智能合約的誕生,越來越多的人開始加入到區塊鏈的世界中。但這時候人們發現了以太坊存在著一個問題 —— 擁堵。隨著用戶數量越來越多,但是以太坊的處理速度並沒有變,這就導致了高昂的 Gas 費和漫長的等待時間。Gas 費可以簡單理解為你付給礦工的小費,因為區塊鏈上的交易都是需要礦工去記賬的,你需要支付給礦工費用礦工才會幫你處理交易。如果一段時間有大量的交易開始同時堆積,那麼就會發生鏈上擁堵,這時候誰給礦工錢多礦工就優先處理誰的交易。這甚至會出現一筆交易需要支付幾百甚至上千美元的 Gas 費或長達半小時以上的處理時間,這是普通用戶難以接受的。
這個時期許多號稱高性能、高擴展性的新公鏈以及為了解決以太坊擁堵問題的第二層區塊鏈(Layer2)開始不斷誕生。開啟了一場多鏈生態競爭時代,基本每條鏈都有自己的專用錢包。而錢包也踏入了 3.0 時代也就是多場景時代,功能單一的鏈專屬錢包日漸式微。從消費者角度來說,沒有人願意為每一種鏈都安裝一種錢包,這反而增加了錢包管理的成本。
錢包開始成為一個公鏈服務平台,單鏈很顯然已經無法滿足用戶的需求。錢包開始支持多條區塊鏈並具備同時管理多個鏈上不同資產的能力,同時也在用戶體驗上開始不斷發展。現如今,人們已經可以在錢包中實現資產跨鏈、資產交易、智能合約互動、社交、資訊、查看行情等等功能。
三。簡單理解密碼學 — 錢包生成的藝術#
(一)錢包是怎麼生成的?怎麼” 登入” 錢包?
在了解完了錢包的意義以及發展史後,你是否會好奇錢包產生的機制是什麼?錢包不像傳統註冊賬戶那樣需要身份信息且是匿名的,又可以真正掌握自己的資產,錢包是怎麼做到的呢?答案就在於密碼學。
如果你是一個小白,當你看到一些密碼學名詞比如:哈希函數、椭圓曲線加密算法、私鑰公鑰、非對稱加密等的時候,你可能就看不下去要被勸退了。此處不會對密碼學的生澀難懂的知識進行科普,而是簡單理解錢包關鍵的生成原理。
首先有一個十分關鍵的密碼學名詞是必須牢記的,那就是私鑰(Private Key),可以將私鑰理解為錢包的賬戶密碼。當我們生成一個錢包的時候其實就是通過一系列算法生成了一個私鑰,並且通過這個私鑰生成了一個公鑰並組成密鑰對和一個錢包地址。由於這個過程是單向的,所以持有私鑰就等於擁有錢包的控制權。
如果說私鑰 = 錢包的賬戶密碼,那麼錢包地址就是別人要給你轉賬時需要的賬戶。你可以將錢包地址公開,但是你不可以將私鑰公開出去。因為私鑰 = 錢包的控制權,所以私鑰的保管尤其重要。你可以在任何地方使用私鑰恢復你的錢包,與傳統的賬戶密碼不同,錢包只需要輸入私鑰就可以 “登入” 錢包。
(以太坊公鏈錢包生成流程)
(二)私鑰可以被暴力破解嗎?
錢包只靠一個私鑰就可以 “登入”,不像傳統的需要賬戶和密碼那樣。那么可能你會產生一個疑問:“如果別人暴力破解私鑰登入了其他人的錢包怎麼辦?” 放心,如果這個方式可行,比特幣可能早就歸零了。比特幣的私鑰是由 256 位的二進制數組成的(就是 0101010101 這種),那麼破解一個比特幣地址的私鑰的概率為 2 的 256 次方分之一。即便假設一個計算機每秒可以算出 900 萬種私鑰的可能性,破解一個地址的私鑰甚至都需要上千年的時間,所以以人類目前的算力水平暴力破解私鑰在目前幾乎是不可能的事情。即便是量子計算機出現,由於算法不同以及抗量子攻擊技術的出現,我們目前無需擔心私鑰的安全。
(三)私鑰那麼難記,有什麼解決方案嗎?
現在我們理解了私鑰 = 錢包的控制權,但是私鑰看起來感覺像是一串毫無規律的雜碼。哪怕是寫在紙上都可能會出錯,更別說用腦子去記了。那么為了解決這個問題,我們又引入了一個新的概念 — 助記詞。
助記詞通常是由 12 或 24 個英文單詞組成。助記詞與錢包私鑰是映射關係,可以理解為是私鑰的另外一種表現形式,比私鑰更容易記錄,輸入助記詞也同樣可以 “登入” 錢包。所以助記詞和私鑰一樣都是需要保管好不讓其他人知道的,否則其他人就可以輕易的從你的錢包中取走你的資產。
(助記詞示例)
(四)錢包是 Web3 世界的唯一通行證
當你通過錢包在 Web3 世界中探索體驗諸多的區塊鏈相關應用和網站的過程中,你會發現在一條公鏈上每個應用都是使用錢包 “登入”。這與我們傳統意義上的 “登入” 不同,在 Web2 世界中,每個應用之間的賬戶不全是互通的。舉個例子,我們不能用 QQ 飛車的賬戶去登入跑跑卡丁車,也不能用微信賬戶去登入 Twitter,不存在一個統一的賬戶密碼去登入所有應用。但在 Web3 的世界中,所有應用都是統一使用錢包去進行 “登入”。我們可以看到 “登錄” 錢包時顯示的不是 “Login with Wallet”,取而代之的是 “Connect Wallet”。而錢包是你在 Web3 世界中的唯一通行證。
四。加密世界的通行工具 — 錢包可以做什麼?#
錢包作為加密世界的通行工具,錢包的作用不僅僅是轉賬收款,錢包還實現了對私鑰的存儲和管理、加密資產的可視化、身份驗證、智能合約互動甚至是社交等功能。那我們應該怎麼去理解這些概念並進行實際操作呢?
(一)錢包實現了對資產的可視化和私鑰管理
相信許多人進入 Web3 世界做的第一件事情就是購買加密資產。那么錢包不僅是一個承載這些資產的載體,還做到了對加密資產的可視化和對私鑰的管理,本質上我們所有的加密資產都只是區塊鏈上的一串數據。所以當你在錢包上進行資產的處理(收取、發送、支付等)時,錢包實質上只是在通過對私鑰的管理,實現了對加密資產數據的可視化處置。
在下圖中我們可以看到在 Metamask 錢包上展示給用戶的界面:
①是錢包地址,就是你收款的賬戶,想要往裡面轉加密資產的話需要的就是這個地址
②是常用資產操作快捷按鈕:Receive(收款)、Buy(購買)、Send(發送)、Swap(互換),錢包最基礎的功能都在這裡
③是資產列表,你的所有加密資產都會顯示在這裡,你也可以點擊某個資產去瀏覽交易明細
所以當我們生成了一個錢包之後,我們可以在交易所中提現資產輸入錢包地址將資產轉到錢包中或者直接在錢包中使用第三方服務進行購買加密資產。之後就可以在錢包中看到並管理加密資產,最基礎的轉賬和兌換其他加密資產的功能都在界面上可以隨時使用了。恭喜你學會了錢包最基礎的用法。
(二)錢包實現了與區塊鏈應用的互動
當然學會錢包最基礎的用法還遠遠不夠,錢包在 Web3 世界中的精髓在於體驗區塊鏈上的應用,我們通常稱作 DAPP,跟我們平時使用的手機 APP 有什麼區別呢?簡單區別的話就是 APP 是運行在中心化伺服器上的程序,可以隨時停止服務和修改。而 DAPP 是運行在去中心化的區塊鏈上的應用,通常由智能合約組成,區塊鏈不停止運行 DAPP 就不會停止運行。
錢包與區塊鏈進行互動的方式有哪些?
錢包與 DAPP 的互動通常分為兩種,身份驗證(簽名)和智能合約互動。簽名授權是鏈下互動不需要花 Gas 費,而智能合約互動是鏈上互動需要花費 Gas 費。那什麼樣的場景下會使用不同的互動方式呢?
舉個例子:比如你想在 Opensea(目前最大的 NFT 交易市場)上賣出你的 NFT,那麼 Opensea 就會向你請求一筆簽名(身份驗證)來證明你是私鑰的持有者,發送之後你的 NFT 就會被掛在市場上售賣。因為你的 NFT 其實還在你的錢包裡面,** 沒有涉及到資產的轉移 —— 也就是區塊鏈上的數據變動,所以這是不需要向礦工支付 Gas 費的。** 那麼如果在這期間有一個人看中了你的 NFT 並從 Opensea 上下單支付了,除了 NFT 的價格之外買方還需要支付一筆 Gas 費,為什麼?因為買方購買你掛單的 NFT 涉及到了從你的錢包轉移到了買方的錢包這一個步驟,這其實是對智能合約的一個互動,礦工幫助買方實現了 NFT 的資產轉移,所以支付了一筆 Gas 費給礦工,這樣是不是就能理解了?
(下圖分別為作為賣方的簽名界面和作為買方的智能合約互動界面)
(三)錢包實現了身份確權新範式
做一個實驗,如果你正隨身攜帶著你傳統意義上的錢包,請把它拿出來看看,你的錢包裡都有哪些?也許是現金,或者一些信用卡或借記卡,但你也可能有你的身份證、駕駛執照或保險卡在那裡!通常情況下,我們傳統意義上的錢包不僅用來裝錢、付款,也用來裝我們的身份文件。
那麼在 Web3 世界中,錢包不僅可以用來存放你的加密貨幣,錢包同樣也可以用來 “裝身份文件 “,並實現對身份的確權,為什麼說錢包實現了身份確權的新範式呢?我們首先需要理解傳統的身份確權與 Web3 世界中的身份確權有什麼區別?
在現實生活中,我們的身份普遍都是由中心化權威機構賦予的,我們的居民身份證、護照等等身份證明都是由國家公權力機構賦予我們的,而往往我們在社會中都需要依賴這些 “可核驗的存在證明” 來進行社會活動,如:醫療、金融服務、教育、出行等等,並且我們的身份信息往往都是存儲在中心化的數據庫中,這也使得我們的信息存在著洩露和篡改的風險。
** 而在 Web3 世界中,去中心化的身份不僅可以讓用戶擁有身份的所有權、控制權以及管理權,還可以擺脫對中心化權威機構身份確權的依賴,利用區塊鏈技術來實現對身份的確權。** 由於在 Web3 世界中所有人都是匿名的,而匿名也往往會導致一些問題例如女巫攻擊,所以鏈上的身份系統給 Web3 世界帶來了一種全新的” 社會關係 “。
存在於區塊鏈上的身份形式不局限於傳統意義上的身份信息,鏈上的身份可以是對現實世界身份的認證,也可以是由鏈上行為構成的身份認證比如在 DAO 中貢獻被賦予的身份等等,所有身份驗證只需要依靠錢包就可以完成,這種身份系統給錢包帶來更多的想像空間。
以太坊創始人 Vitalik 提出的 SBT(靈魂綁定代幣 Soul Bound Token)在這一輪數字身份的發展浪潮中屢屢被提及,也有了很多不同的實現。 SBT 採用了不可轉移的 NFT 作為載體來實現了一定程度上對鏈上的身份管理。 但目前為止 SBT 還缺乏統一的規範和實際使用的協議規範,其發展前景還待觀察。
ArcBlock 的 DID Wallet 是市場上第一個把區塊鏈數字資產錢包和 DID 數字身份錢包結合的產品,ArcBlock 的 DID Wallet 也是一個支持 W3C DID (一種去中心化身份標準)規範的數字身份錢包,並同時支持 Ethereum,各種 Ethereum 兼容鏈和 Layer2,Solona 鏈以及 ArcBlock 鏈。 DID Wallet 能支持各條鏈上的 NFT 規範,因此採用 NFT 來實現的 SBT 等也能支持。大部分能支持以太坊的 NFT 的數字資產錢包也都能管理基於 NFT 的 SBT 實現的用戶身份,以及各種 “DID 賽道” 項目基於 NFT 等實現的 “身份”。
目前去中心化的身份系統發展仍然處在早期,仍有許多待解決的問題。但隨著去中心化身份的發展,相信錢包作為 Web3 世界中身份的載體在未來會帶來一場身份確權新範式。
五。保障資產安全 — 如何選擇錢包?#
錢包的類型可謂是多種多樣,要細分的話可以按照是否觸網、私鑰的歸屬、網絡去中心化程度、私鑰的生成方式以及錢包的賬戶類型等進行區分。
如果只圍繞著資產安全,我們該如何選擇錢包呢?
(一)托管錢包與非托管錢包 — 私鑰是否掌握在自己手中?
為什麼區分托管錢包和非托管錢包很重要?因為這決定了你是否掌握錢包的私鑰,換句話說,這決定了錢包是不是真屬於你的?如何區分?
圍繞著私鑰的歸屬權,目前錢包衍生出了三種類型:托管錢包、混合托管錢包、非托管錢包
非托管錢包:
錢包的私鑰掌握在用戶自己手中,用戶掌握錢包的所有權。使用門檻較高,安全性最高,需妥善保管錢包私鑰 / 助記詞,一旦丟失無法找回。可以生成並只通過私鑰 / 助記詞” 登入 “的錢包通常可以稱為非托管錢包。
混合托管錢包:
錢包的私鑰分別掌握在用戶以及應用服務商手中。通常是低門檻錢包產品採用的類型,雙方掌握私鑰並使用如雙因素驗證(2FA)等技術來確保錢包資產安全。使用門檻較低,丟失可找回,安全性介於托管錢包與非托管錢包之間。
托管錢包:
錢包的私鑰托管在第三方托管機構手中,可以理解為用戶只有錢包的使用權而非所有權。使用門檻較低,錢包可以找回。資產只是一個顯示的數字,托管機構可以任意挪用用戶資金。中心化交易所錢包便是最常見的托管錢包。
如果你是一個剛剛踏入 Web3 世界的小白,或你喜歡更便捷的用戶體驗,那麼托管錢包或者混合托管錢包比較適合你。因為托管以及混合托管錢包是最貼合 Web2 世界的用戶習慣的:使用賬戶密碼登入、不需要保管所謂的私鑰或助記詞、密碼忘記了也可以找回。如果你希望擁有一個安全性更高且完全由你自己掌控的錢包,尤其是有大額資產需要進行存放時,那麼非托管錢包就是最好的選擇,錢包私鑰掌管在自己手裡往往是最踏實的。
常見非托管錢包:TokenPocket、OneKey、BitKeep
常見混合托管錢包:blockchain、Zengo
常見托管錢包:Binance、Huobi
(二)冷錢包與熱錢包 — 你的私鑰真的安全嗎?
首先問屏幕面前的你一個問題:私鑰在自己手上就絕對安全了嗎?我來講一個真實故事吧,之前有一個黑客組織入侵了美國科洛尼爾管道運輸公司網絡並索要了比特幣作為贖金,最後黑客組織索要贖金成功獲得了 75 枚比特幣,之後 FBI 居然從黑客的錢包中追回了 63.7 枚比特幣。如果不了解事情的吃瓜群眾可能會認為:“What!!比特幣都能被追回?比特幣不是匿名的嗎?看來比特幣不靠譜就是騙局!”
如果你也這麼想,那就大錯特錯了。FBI 之所以可以從黑客那追回贖金,本質上不是比特幣的問題,而是黑客將錢包的控制權也就是私鑰存在了接觸互聯網的電腦上,FBI 黑入了黑客的電腦並拿到了私鑰,於是 FBI 輕鬆的將黑客錢包中的比特幣追回。
那麼冷錢包和熱錢包跟這個故事有什麼關係呢?我們來假設一下,如果黑客並沒有將私鑰存儲在接觸互聯網的電腦上,而是寫在了一張紙上,你認為 FBI 還能追回這筆贖金嗎?答案當然是不能了,除非 FBI 直接抄了黑客的家拿到那張寫有私鑰的紙,那麼這張紙,其實就屬於冷錢包。如何區分冷錢包和熱錢包呢?
冷錢包:
錢包私鑰不接觸互聯網,適合大額資金存儲,安全性高,可以有效防止私鑰洩露。表現形式通常可以為:寫在紙上、記在腦子裡、硬體錢包產品、從未接觸互聯網的手機 / 電腦等。
熱錢包:
錢包私鑰接觸互聯網,適合進行高頻鏈上操作,便捷性高,存在黑客攻擊被盜風險,表現形式通常為:網頁 / 插件錢包、手機端錢包、桌面端錢包、中心化交易所錢包等。
Web3 世界是一個黑暗森林,充斥著各種詐騙以及陷阱,用戶可能在不經意間可能就會損失所有資產,正所謂雞蛋不能放在一個籃子裡,一個 Web3 老司機通常都會擁有多個錢包來分散風險,將大部分資金存儲在冷錢包中,少部分資金放在熱錢包中方便進行互動。
常見冷錢包:Ballet、Ledger
常見熱錢包:MetaMask、TokenPocket
(三)為什麼最不安全的中心化交易所錢包仍然最多人使用?
在了解完托管錢包和熱錢包後,你會發現中心化交易所錢包其實是最不安全的一個錢包類型。可是最不安全的錢包反而是使用人數最多的錢包,導致這一現象的因素在於目前中心化交易所的不可替代性以及大多數人對錢包知識的不了解。
中心化交易所存在的意義在於給加密世界提供了一個高效率低成本的交易撮合平台,目前這在整個加密世界暫時是無法替代的。雖然目前有運行在鏈上的去中心化交易所(DEX),但對於大部分不熟悉錢包操作的用戶來說使用門檻較高。而且在去中心化交易所(DEX)誕生之前,人們想要交易加密資產只能通過中心化交易所或者場外交易。
而場外交易則是效率低且風險極高的一種交易方式。由於加密資產的高波動性、區塊確認等待時間以及法律上的不明確。人們在進行場外交易時可能會碰到許多意外情況:付了錢對方跑路、轉比特幣給對方等待很長時間才能到賬、交易過程中價格劇烈波動導致需要重新商議價格、找不到交易對手方、轉錯賬戶等等情況。
中心化交易所的訂單簿交易模式則極大的提高了交易效率以及流動性,並且為用戶提供了擔保的法幣出入金服務以及低門檻的錢包賬戶服務,可以說沒有中心化交易所的存在,加密世界的交易規模不可能會像今天一樣龐大。
中心化交易所的便捷性以及低門檻使得其成為了人們心中最佳的交易場所,這也讓中心化交易所吸引了大量用戶。使得中心化交易所錢包成為了使用人數最多的錢包,同時也為中心化交易所帶來了龐大的利潤。** 由於全球對於整個加密世界監管和法律的不完善,在龐大的利益驅動下,中心化交易所挪用用戶資金的行為開始泛濫。
由於許多用戶都是抱著投機、炒幣的心態使用中心化交易所,許多用戶甚至連區塊鏈都不知道是什麼。對於加密知識的缺乏使得許多用戶意識不到將加密資產存在交易所是不安全的。其實用戶在中心化交易所錢包中顯示的資產都只是一個交易所給你分配的數字罷了,所有的資產都在中心化交易所的錢包中,就像傳統銀行中顯示在銀行賬戶中的餘額是一個性質。由於許多中心化交易所隨意濫用用戶資金的行為,導致中心化交易所的資金無法 100% 兌付。一旦出現暴雷事件引發擠兌,許多中心化交易所用戶的資金將無法取出造成無法挽回的損失。所以,用戶需要謹慎把大量資產存放在中心化交易所上。
(四)加密世界雷曼時刻 — 如何保障資產安全?
2022 年 11 月注定是載入加密史上的一個月,加密世界正經歷著” 加密雷曼時刻 “帶來的巨震。誰能想到曾經登上美國著名雜誌《財富》被認為可能是” 下一個巴菲特 “、全球第二大交易所 FTX 以及百億規模加密對沖基金 Alameda Research 的創始人 Sam Bankman-Fried(SBF)成為了這場危機的主角。SBF 的商業大廈轟然倒塌,從被捧上神壇的 “加密之王 “到現在跌落神壇人人喊打,SBF 的淨資產從 160 億美元短短幾天縮水至 1 美元,一切似乎都發生的太快幾乎不给人反應的時間。
事情的起因還得從 2022 年 11 月 3 日 Coindesk 公布的一份關於 Alameda Research 的財務文件開始。文件顯示 Alameda Research 共持有 146 億美元資產,其中包括36.6 億美元 “已解鎖的 FTT” 以及 21.6 億美元的 “FTT 抵押品”,2.92 億美元 “未鎖定的 SOL”、8.63 億美元 “鎖定的 SOL” 和 4100 萬美元的 “SOL 抵押品”。其他提到的代幣有 SRM、MAPS、OXY 和 FIDA 等低流動性項目代幣,還包括了 1.34 億美元的現金和等價物以及 20 億美元的股票投資。而其負債則高達 80 億美元,其中有 74 億是美元貸款,問題出在哪?
想必即使是沒有財務知識的人也能發現這份財務文件中的一些端倪。即 FTX 的平台代幣 FTT 佔據了 Alameda Research 的大部分資產,而 Alameda Research 和 FTX 同時都是 SBF 旗下的公司。可以說 Alameda Research 的大部分淨資產都是 FTX 憑空” 打印 “出來的代幣,而 Alameda Research 卻用這憑空” 打印 “的代幣去抵押貸款了實實在在的美元。通過區塊鏈瀏覽器的數據查詢,可以看到 FTT 是高度集中的,前三名地址就佔據了 80% 的總量,一旦拋售在市場上根本毫無流動性可言。而正是這高度集中且沒有流動性的 FTT 佔據了 Alameda Research 淨資產的 88%,一旦 FTT 下跌 Alameda Research 就會面臨流動性危機資不抵債。
隨著這份 Alameda Research 財務文件的公布,大家開始議論紛紛,同時也引發了市場的擔憂。儘管 Alameda Research 出面回應了這份財務文件聲稱已歸還大部分貸款,但由於 SBF 與 Binance 創始人趙長鵬曾經的一些私人恩怨(這裡不進行展開),趙長鵬在 2022 年 11 月 6 日宣傳將出售賬上所有的 FTT,這一舉動使得市場上的恐慌情緒開始瘋狂蔓延。
儘管 SBF 親自出面穩定用戶情緒,但似乎並未起到作用。FTX 擠兌潮爆發,大量的用戶開始不斷地從 FTX 中取出資產,72 小時的時間裡 FTX 有 60 億美金的資產被取出。FTT 的價格出現了斷崖式下跌,FTX 開始資不抵債並停止接受提現請求,自此 SBF” 皇帝的新衣 “被徹底戳穿。
就在 FTX 資不抵債停止接受提現請求後,SBF 只能選擇向競爭對手趙長鵬出售 FTX,於是趙長鵬開始著手準備收購 FTX 的事務並簽署了意向書,一時激發起市場上的激烈討論。但反轉再次來臨,趙長鵬宣布放棄收購 FTX,原因是 FTX 資金缺口過大並且伴隨著一系列法律問題。於是 FTX 在經過了一系列小插曲和嘗試自救的過程後於 2022 年 11 月 11 日宣布破產,FTT 的價格也從月初的 25 美金跌落至 1 美金,而 SBF 商業大廈轟然倒塌的影響才剛剛開始……
此後,FTX 的資金缺口被爆料有 80 億美元以上,債權人數量甚至可能高達 100 萬,整個加密市場也因為 FTX 的暴雷而大受打擊。在這場暴雷中,損失最慘重的莫過於信任 FTX 的用戶以及相關聯的公司了。對於 FTX 用戶來說,許多人甚至在這次危機中損失了全部資產,這也給所有加密世界的用戶敲響了一个警鐘,資產需要掌握在自己手中。Elon Musk 也在 FTX 暴雷後的一場 Twitter Space 中说道:”Not Your Key,Not Your Wallet(不是你的私鑰,就不是你的錢包)”。用戶需要擁有自己的錢包並將資產存入其中保管,而不是去信任可能那些擅自挪用用戶資金的中心化交易所。
FTX 的暴雷對整個 Web3 行業來說在信心上是很嚴重的一次打擊,這不意味著 Web3 的失敗,但這一定是中心化交易所(CEX)的失敗。FTX 的影響還遠遠未結束,下個雷會何時爆?沒有人知道,但希望 FTX 的倒塌可以給整個行業帶來更好的自律,也給所有的 Web3 用戶喚起資產安全的意識。
六。黑暗森林 — 錢包詐騙大揭秘!#
由於區塊鏈的匿名性以及認知門檻較高,許多錢包用戶對於錢包安全知識的缺乏以及鏈上互動邏輯的不了解,導致安全事故頻頻發生造成了大量資金的損失。並且資金被盜後可追回的可能性微乎其微,可以說加密世界就是一個黑暗森林,要想保護好自己的資產安全必須建立起對錢包安全的認知,以下是一些常見詐騙的揭秘。
(一)資產被直接轉走?— 授權釣魚詐騙
錢包授權被盜是錢包資產損失案例中最常見的手段。通常被害者是因為點擊了不明鏈接(如空投、領白名單等)且在不知道授權意味著什麼的情況下將資產授權給了騙子,導致騙子將受害者錢包中的資產轉移走。比較有名的案例之一是周杰倫價值超 300 萬的 NFT 無聊猿被盜,原因也是因為授權給了釣魚網站。如何去理解這個詐騙的原理呢?
我們與智能合約的互動中其實是與智能合約中的某一個函數功能進行互動。函數的功能都可以在區塊鏈瀏覽器中查看,在我們進入了一個釣魚網站的時候,映入眼簾的可能是一個 Free Mint(免費鑄造 NFT)的按鈕。當你點擊之後你以為你可以免費獲取一個 NFT,但其實彈出來的互動界面其實是將你的資產授權給騙子,如果你點擊並互動了,你的資產就被盜了。
(展示案例為 ERC721 標準的 NFT,ERC20 的同質化代幣區別為是否授權變為授權數量)
互動的原理其實是你的錢包會向騙子指定的智能合約的授權(Approve)函數功能傳入指定的參數,也就是將你的資產授權給騙子的錢包地址。授權意味著你允許別人可以調用智能合約中的從… 轉移(transferFrom)函數功能,這樣騙子就可以直接將你錢包裡面被授權的資產轉移走。
應對方案:不要輕信任何不知名鏈接,看不懂互動界面的話可以看是否有 Approve 關鍵詞,下載錢包安全插件,盡量不要使用存有大量資產的錢包進行互動。
(二)錢包地址被替換?— 剪貼板病毒陷阱
剪貼板病毒陷阱是一種難以察覺且無處不在的存在,此類病毒在 Web3 中常用的社交軟件 Telegram 上散播比較嚴重,通常會偽裝並隱藏在各種下載的文件當中。一旦下載了帶有剪貼板病毒的文件,此病毒就會潛伏在你的電腦當中等待時機。該病毒會自動識別錢包地址的格式,並在你複製粘貼地址後將你本應該粘貼的地址替換成騙子的地址,只要是沒有仔細檢查錢包地址的人就會中招並損失資產。
帶有剪貼板病毒的文件案例:
應對方案:一旦中招難以排查,通常只能選擇重裝系統,不要隨意下載陌生人發的文件,最重要的是轉賬之前一定要核對一下錢包地址。
(三)簽名也能被盜?—eth_sign 簽名詐騙
eth_sign 詐騙,一種利用鏈下簽名授權來盜取錢包資產的釣魚手段,這種詐騙相比於鏈上授權釣魚的形式更加難以防範。因為鏈下簽名形式的互動不需要花費任何 gas,這使得人們對於這種互動方式的防範心會降低。
這種詐騙的原理是利用了以太坊的一種簽名方法 eth_sign,簡單的理解就是你寫了一個帶有你簽名的【空白支票】給了騙子,支票上的內容可以由騙子自己編寫,騙子就可以拿著帶有你簽名的支票去銀行兌換資產。
下圖顯示了這種簽名方法的格式,eth_sign 簽名格式是一串 32byte 的數據,並且 MetaMask 會對 eth_sign 這種簽名格式會進行警示,所以識別度還是比較高的。
應對方案:看見互動界面出現圖中的警告請一定要謹慎,下載錢包安全插件。
(四)天上掉餡餅?—NFT 空投詐騙
NFT 空投詐騙是一種組合詐騙。如果你有一天打開 NFT 交易平台查看你的賬戶資產時,發現你突然多了一個 NFT,並且還有人出了高價 Offer 想要購買這個 NFT。不了解的人肯定會覺得天上掉餡餅了樂開了花,但如果你接受 Offer,你會發現你無法賣出。
無法賣出的原因是此類 NFT 在編寫智能合約的時候將轉移(transfer)函數功能取消了,也就是說這個 NFT 是無法交易的。如果此刻你不予理會,那麼這個詐騙就不會騙到你。但如果你對 Offer 中的金額虎視眈眈,並通過交易平台進入到該 NFT 的官網時,你會發現這其實就是一場授權釣魚或者簽名詐騙,只不過空投了 NFT 並給了 Offer 來作為誘餌。
應對方案:不要相信天上掉餡餅。
(五)錢包裡撿錢?— 故意洩露私鑰陷阱
故意洩露助記詞 / 私鑰詐騙是一種利用人們內心貪念的詐騙。騙子會故意將自己錢包的助記詞 / 私鑰洩露到網絡上,當你輸入助記詞 / 私鑰進入錢包時你會發現錢包裡面存有一定的資產,但沒有 Gas 費。如果這時候你將 Gas 費轉入錢包的話,你會發現你轉入的 Gas 費在到賬的瞬間就消失了。因為這類錢包通常會有許許多多個機器人同時監控,一旦檢測到 Gas 費轉入就會瞬間轉走。但即便你有 Gas 費,你也無法將錢包內的資產轉移走。
資產無法被轉移走的原理是因為此類錢包的資產通常都是被拉黑的資產,就是所謂的進入智能合約黑名單的資產。比如 USDT、USDC 等中心化穩定幣。黑名單通常會被用於協助司法機構或懲罰作惡錢包,但不只限於這些中心化穩定幣才會存在黑名單。當你看中了錢包中的資產的同時,騙子也看中了你的 Gas 費。
彩蛋:在錢包生成的藝術篇章中的助記詞圖片便是一個案例,該錢包在波場(Tron)鏈中有資產,可以輸入助記詞體驗一下,但不要往裡面轉錢噢!
七。未來展望 — 錢包未來的發展趨勢
在這篇文章中,我們可以看到數字錢包正從過去那種屬於極客或者加密貨幣愛好者才會使用的工具,逐漸變成普通用戶的移動設備或者瀏覽器上的常用產品。這種發展規律其實和當初互聯網工具的發展道路是一致的。 而隨著錢包和各種應用方式的結合,錢包越來越從一個管理私鑰和數字資產的基礎工具,變成具有戰略意義的 web3 入口。
在著名的 IT 諮詢公司 Gartner 的最新的產品成熟度曲線 2022 (Hype Cycle)中,Gartner 的分析師把數字錢包 (包含在 Decentralized Idenity 裡)歸類在期望值峰頂這個位置,並預測在未來的 5-10 年內處於這樣的位置。
![圖片來源:https://www.gartner.com/en/articles/what-s-new-in-the-2022-gartner-hype-cycle