币安创办人赵长鹏(CZ)昨(24)日傍晚在社交平台 X 上发文,更新了一篇有关加密货币安全建议的文章,以帮助用户免遭骇客攻击,本文将 CZ 这篇文章全文编译整理。 加密货币交易所 Bybit 上周 21 日惊传遭骇,损失约为 14.6 亿美元,成为加密货币史上最大窃案;而就在昨(24)日,加密支付项目 Infini 又被确认遭遇骇客攻击,损失金额接近 5,000 万美元…一系列骇客事件再次为加密安全敲响警钟。 在此背景下,币安创办人赵长鹏(CZ)昨(24)日傍晚在社交平台 X 上发文表示,他在周日花费一天时间,更新了一篇他在五年前写下的有关安全建议的文章,以帮助币圈人免遭骇客攻击。 本文将 CZ 这篇文章全文编译如下: 更新时间:2025/2/24 最初发布时间:2020/2/25 加密货币用户缺乏安全意识,真让人痛心。看到专家推荐那些难以跟随操作且容易出错的高级设置,也同样让人痛苦。 安全是一个广泛的话题。我绝不是专家,但我见过许多安全问题。我会尽力用通俗易懂的语言来解释: 你为什么以及如何,或为什么不,选择自己存储加密货币? 你为什么以及如何,或为什么不,选择将加密货币存储在中心化交易所? 首先,没有什么是百分之百安全的。软体有漏洞,人也可能遭遇社交工程攻击。真正的问题是,它是否“足够安全”? 如果你在钱包中存储 200 美元,可能不需要超高安全性。一个移动钱包就足够了。如果你存的是一生的积蓄,那么你就需要更强的安全性。 为了保护你的加密货币,你只需要做以下三件事: 防止他人盗窃。 防止自己丢失。 如果你无法使用它们,必须有一种方式将它们传递给你的挚爱。 很简单,对吗? 你的私钥,就是你的资金。还是说不是? 许多加密货币专家坚信,只有自己持有加密货币才能保证其安全,却从未考虑过你的技术水平。这真的是最适合你的建议吗? 一个比特币私钥长这样: KxBacM22hLi3o8W8nQFk6gpWZ6c3C2N9VAr1e3buYGpBVNZaft2p 就这样。拥有它副本的人可以转移该地址上的比特币(如果有的话)。 为了保护你的加密货币,你需要: 防止他人获得(你的私钥副本):防止骇客入侵,保护你的电脑免受病毒、网路攻击等威胁。 防止自己丢失私钥:做好备份,以防设备损坏或丢失,并确保备份的安全。 如果发生意外或死亡,必须有一种方式将私钥传递给你的挚爱。这不是一个愉快的情境,但作为对挚爱负责的成年人,我们必须管理这个风险。 你听说过骇客。他们使用病毒、木马和其他恶意软体。你不希望这些东西靠近你的设备。 要达到一定程度的信心,就要确保你的加密货币钱包设备永远不连网。你也不应该在这个设备上下载任何档案。那么,怎么使用这样的设备呢? 让我们来谈谈你可以使用的不同设备。 电脑是一个明显的选择,并且通常是支持最多币种的设备。你永远不应该将这台电脑连接到任何网路。如果你把它连接到网路,骇客可能透过利用操作系统或你使用的软体中的漏洞来入侵你的设备。软体永远不会没有漏洞。 那么,如何安装软体呢?你使用一个 USB 随身碟。确保它是干净的。使用至少三款不同的防病毒软体来彻底扫描它。将你希望安装的软体(操作系统和钱包)下载到 USB 随身碟中。等待 72 小时。查看新闻,确保该网站或软体没有被攻击。 曾经有官方网站被骇客入侵,下载包被替换成了木马。你应该只从官方网站下载软体。你应该只使用开源软体,以降低后门风险。即使你不是程式设计师,开源软体会被其他开发者审查,后门风险也较低。这意味着你应该使用稳定版本的 Linux(而不是 Windows 或 Mac)作为操作系统,并且只使用开源的钱包软体。 一旦一切安装完成,你就可以使用干净的 USB 随身碟来离线签署交易。这一过程会根据钱包的不同而有所不同,并不在本文范围内。除了比特币,许多币种的钱包无法进行离线签名。 你需要确保设备的物理安全。如果有人偷走它,他们可能会实际访问你的设备。确保你的硬盘已经被强加密,即使有人拿到它,他们也无法读取。不同的操作系统提供不同的加密工具。再次提醒,硬盘加密的教程不在本文范围内,网上有很多相关资源。 如果你能做好上述操作,那么你就能够进行安全备份,并且不需要阅读本文的其他部分。如果上述内容听起来不是你的菜,那么还有其他选择。 你可以使用手机。一部未 root 的手机通常比电脑更安全,这得益于手机操作系统的沙盒设计。对大多数人来说,我推荐使用 iPhone。如果你更擅长技术,我推荐使用安装了 GrapheneOS 的 Android 手机。同样,你应该只使用一部手机来管理钱包,而不是将其与日常使用的手机混合。你应该只安装钱包软体,其他什么也不要装。除了使用钱包进行转帐外,应该始终保持手机处于飞行模式。我还建议使用一张单独的 SIM 卡,并只使用 5G 来连接网路。永远不要连接 WiFi。只有在使用手机签署交易和更新软体时,才连接到网路。如果你的钱包中没有超大金额,这样做通常是可以的。 一些移动钱包提供离线签名交易的功能(通过扫描 QR 码),这样你可以完全将手机保持离线,从安装钱包应用到生成私钥之前。这样,你的私钥就永远不会在连接到网路的手机上。这可以防止钱包有后门并将数据发送回开发者,这在过去曾发生过,甚至是官方版本的应用。你将无法更新钱包应用或操作系统。要进行软体更新,你需要使用另一部手机,安装新版本的应用,将其设置为飞行模式,生成新地址,备份(稍后会提到),然后将资金转移到新手机上。这样做不太方便。此外,这些钱包应用支持的币种和区块链有限。 这些钱包应用通常不支援质押、收益挖矿或投资迷因币。如果你对这些有兴趣,你将不得不稍微牺牲一些安全性。 你需要确保手机的物理安全。 你可以使用硬体钱包。这些设备设计为让你的私钥“永远”不离开设备,这样你的电脑就不会拥有它的副本。(截至 2025 年,Ledger 的新版本可能会将私钥发送到服务器进行备份,所以这不再成立。) 硬体钱包在软体等方面也有报告过漏洞。所有硬体钱包都需要与电脑(或手机)上运行的软体互动才能运作。你仍然需要确保你的电脑没有病毒。有些病毒会在最后一刻将你的交易目标地址切换为骇客的地址等。因此,一定要仔细核对设备上的目标地址。 硬体钱包防范了许多基本类型的攻击,若你希望独立存储加密货币,它仍然是一个不错的选择。然而,硬体钱包最弱的部分通常是如何存储备份,我们将在下一部分中讨论这一点。 你可能会丢失设备或设备可能会被损坏。因此,你需要备份。 这里也有许多方法,每种方法都有其优缺点。从根本上讲,你想要实现多重备份,并且备份存放在不同的地理位置,且不易被他人看到(加密)。 你可以将它写在纸上。一些使用种子钱包的钱包建议这么做,因为写下 12 或 24 个英文单字相对简单。对于私钥,你很容易犯错。纸张也可能会在一堆文件中丢失、在火灾或洪水中损坏,或者被你的狗咬坏。其他人也很容易读取纸张 —— 没有加密。 有些人使用银行保险库来存放纸质备份。基于上述原因,我通常不推荐这个选项。 不要拍下纸张的照片(或截图),将其同步到云端,并认为它安全地备份了。如果骇客入侵你的电子邮件帐号或电脑,他们会轻易找到它。云端服务提供商有许多员工可以查看它。 有些金属标签专门设计来存储种子备份。这些标签应该是几乎不可摧毁的,这基本上解决了火灾或洪水中损坏的问题。但它并没有解决丢失或容易被他人阅读的问题。再者,某些人将这些标签存放在银行保险库中,通常与他们的黄金或其他金属一起存放。如果你使用这种方法,你应该理解其中的风险。 我推荐使用至少 3 个 USB 随身碟,但这需要更多的技术设置,这是针对专家的误区。 现在有防震、防水、防火和防磁的 USB 随身碟。你可以将私钥备份的加密版本存储在多个这样的 USB 随身碟中,并分散在不同的地点(朋友或亲戚处)。这样可以解决本节开头提到的所有要求:多个位置、不易损坏或丢失后不易被他人读取。 关键在于强加密。现在有许多工具可以用来加密,且它们会随著时间发展进步。VeraCrypt 是一款入门级工具,提供了合理的加密水平。请自行研究,找到最适合你的最新加密工具。 我们不会永远活着。需要一个遗产计划。事实上,加密货币使你能够更轻松地将财富传承给你的继承人,并减少第三方的介入。 再次强调,有一些方法可以做到这一点。 如果你使用纸钱包或金属标签这种低安全性的方式,你可以简单地与他们分享这些资讯。当然,这也有一些潜在的缺点。他们如果年轻或技术不熟练,可能缺乏适当的手段来保管或保护备份副本。如果他们在安全上出错,骇客可以轻易地通过他们盗取你的资金。此外,他们随时可以拿走你的钱。根据你与他们之间的信任关系,你可能会或不会希望这样。 我强烈建议不要在人与人之间分享私钥,无论关系如何。如果资金被盗,将无法确定是谁移动了它们或是谁被骇客入侵。这样会很混乱。 你可以将纸钱包或金属标签存放在银行保险库或交给律师。但如上所述,如果任何相关的人得到私钥的副本,他们可以在没有太多痕迹的情况下移动资金。这与律师必须经过银行才能将你的银行帐户馀额转交给你的继承人有所不同。 如果你使用上面提到的 USB 随身碟方式,有一些方法可以更安全地传承你的财富。再次,这需要更多的设置。 有一些在线服务叫做 Deadman’s switches。这些服务会定期向你发送电子邮件(例如,每月一次),你必须点击连结或登入以回应。如果你在某段时间内未回应,它们会假设你已经去世,并向你预设的接收人发送电子邮件。我不会推荐或担保任何这些服务,你应该自行搜寻并测试。事实上,Google 本身就是一个 Deadman’s switches。在 Google 的设置中,有一个选项,如果你 3 个月没有访问你的帐户,则可以让某人访问它。就我个人而言,我没有测试过,无法保证其安全性。请自行测试。 如果你在想,“哦,太好了,我只需要把私钥发送到电子邮件给我的孩子”,那么请重新阅读本文的开头。 你可能也会想,“我可以把我用来加密 USB 随身碟的密码放在这些电子邮件里;这样,我的孩子或配偶就可以解锁它们。”这样的想法更接近,但还是不够好。你不应该将备份的密码存放在网路上的服务器上。这会大大削弱你的备份/资金的安全性。 如果你在想,“我可以用另一个我和挚爱共享的密码来加密包含 USB 随身碟密码的电子邮件”,那么你已经走在正确的道路上。事实上,你不需要第二个密码。 有一个经过时间考验的电子邮件加密工具叫做 PGP(或 GPG),你应该使用它。PGP 是最早使用非对称加密(与比特币使用的相同)的工具之一。同样,我不会在这里提供 PGP 的完整教程,网上有很多这样的教程。总结来说,你应该让你的配偶或孩子生成他们自己的 PGP 私钥,然后你用他们的公钥加密你发送给他们的死人的讯息,这样只有他们能读取讯息内容,其他人无法读取。这种方法相对安全,但要求你的挚爱能够保持他们的 PGP 私钥安全,并且不要丢失它们。当然,他们也需要知道如何使用 PGP 电子邮件,这本身就有一定的技术性。 如果你遵循了到目前为止分享的建议,那么你已经达到了能够自行存储一定数量加密货币的基本(而非高级)水平。还有很多其他主题我们可以讨论,这些也可能解决到目前为止提到的一些问题,包括多重签名、阈值签名等,但这些属于更高级的指南。 在下一部分,我们将探讨: 在本文中,当我们说到交易所时,是指那些持有你资金并帮助你托管的中心化交易所。 那么,在阅读了上一部分后,你可能会说,“哎呀,这真麻烦。那我还是把币存在交易所吧”。好吧,使用交易所也不是没有风险的。虽然交易所负责保管资金和保障系统安全,但你仍然需要遵循正确的做法来保障你的帐户安全。 是的,我这么说很容易,因为币安是全球最大的交易所之一。然而,这样说是有充分理由的。并不是所有的交易所都一样。 大型交易所在安全基础设施上投入巨大。币安每年投入数十亿美元于安全领域。这对于我们的业务规模来说是合情合理的。安全涉及的领域非常广泛,包括设备、网路、流程、员工、风险监控、大数据、人工智能检测、培训、研究、测试、第三方合作伙伴,甚至是全球执法机构的合作关系。确保适当的安全需要大量的资金、人才和努力。较小的交易所根本没有足够的规模或财务实力来做到这一点。我可能会因为这样说而受到批评,但这就是为什么我经常说,对于大多数普通人来说,使用受信任的中心化交易所比自己保管币更安全的原因。 存在对手风险。许多较小/新的交易所从一开始就是退出骗局。他们收取一些存款后就逃走了。正因为如此,请远离那些自称无利可图的交易所或提供 0 费用、大额回扣或其他负利润激励的交易所。如果它们的目标不是商业收入,那么你的资金很可能就是它们的唯一目标。 适当的安全措施是昂贵的,需要来自可持续商业模式的资金支持。对于你的资金,不要在安全上省钱。大型有利可图的交易所没有动机去进行退出诈骗。当你已经营运一个盈利且可持续的十亿美元企业时,你又怎么可能有动机偷几百万美元,然后过著隐匿生活,提心吊胆呢? 大型交易所的安全性测试也更多。是的,这也是一种风险。骇客更容易攻击大型交易所。但是,骇客也同样会攻击较小的交易所,且其中一些甚至更容易成为目标。大型交易所通常会有 5-10 家外部安全公司,定期为它们进行渗透测试和安全测试。 币安在安全方面比大多数交易所走得更远。我们在大数据和人工智能方面投入重金,来对抗骇客和诈骗者。我们曾成功防止许多用户在遭遇 SIM 卡交换攻击时损失资金。一些使用多个交易所的用户还报告说,当他们的电子邮件帐户被骇客入侵时,其他交易所的资金被盗取,而币安的资金则得到保护,因为我们的人工智能系统阻止了骇客提取他们资金的尝试。即使小型交易所有心想做这些事,它们也做不到,因为它们根本没有那么多的大数据。 在使用交易所时,保护你的帐户仍然非常重要。让我们从基本的做起。 再次提醒,电脑往往是安全链中的最薄弱环节。为了访问你的交易所帐户,使用专门的电脑。在这台电脑上安装商业防病毒软体(是的,请投资于安全),并且仅安装最基本的其他软体。将防火墙设置为最高级别。 将你的游戏、上网、下载等活动放在另一台电脑上进行。即使在这台电脑上,也要开启防病毒软体并将防火墙设置为最高级别。一台电脑上的病毒会让骇客更容易访问同一网路中的其他电脑,因此保持电脑干净。 即使你只使用中心化交易所(CEX),我还是建议你不要在电脑上下载任何文件。如果有人发送给你 Word 文档,请要求他们发送 Google 文档连结。如果他们发送 PDF 文件,请在 Google Drive 中打开,而不是在你的电脑上打开。如果他们发送给你搞笑影片,请要求他们发送在线平台的连结。是的,我知道这样做很麻烦,但安全不是免费的,失去资金也同样不免费。将所有内容都查看于云端。 关闭即时消息应用中的“自动保存照片和影片”功能。很多应用默认会下载 GIF 和视频,这并不是一个好的安全做法。 我知道所有操作系统的更新都很烦人,但它们包含了针对最近发现的安全漏洞的修补程式。骇客也会监控这些更新,并经常针对那些懒于更新的人进行攻击。所以,确保你总是尽快安装这些补丁。对于你使用的钱包和其他软体也要同样处理。 我建议使用 Gmail 或 Protonmail。这两个电子邮件服务提供商比其他平台更安全,我们在其他平台上看到的安全漏洞更多。 我建议为每个你使用的交易所设置一个独特的电子邮件帐户,并且让它不容易被猜到。这样,如果某个交易所遭到入侵,你的币安帐户不会受到影响。这也会减少你收到的网路钓鱼或针对性电子邮件诈骗的数量。 Protonmail 有一个名为 SimpleLogin 的功能,允许你为每个访问的网站创建一个独特的电子邮件地址。如果你不使用其他电子邮件转发服务,我建议你使用这个功能。 为你的电子邮件服务启用双重身份验证(2FA)。我建议为你的电子邮件帐户使用 Yubikey。这是一种强大的防止各种骇客攻击(包括钓鱼网站等)的方式。稍后会详述 2FA。 如果你居住在有报告 SIM 交换案件的国家,不要将你的手机号码作为电子邮件帐户的恢复方法。我们已经看到很多 SIM 交换受害者因为这样导致电子邮件帐户密码被重设并遭到骇客攻击。我不再建议将手机号码与电子邮件帐户绑定,应该将它们分开。 为每个网站使用强而独特的密码。不要费心去记住密码;使用密码管理器工具。对大多数人来说,Keeper 或 1Password 可能足够使用。这两款工具都与浏览器、手机等良好集成,都声称只会将密码本地存储,但会通过加密密码在设备之间同步。 如果你更为认真,则可以选择 KeePass。它只将资讯本地存储,因此你不必担心加密的密码储存在云端。它不会在设备之间同步,且对手机的支持较少。它是开源的,因此你不必担心后门问题。 做自己的研究,选择适合你的工具。但不要试图通过在各个地方使用简单或更糟的相同密码来节省时间。确保你使用强密码,否则你节省的时间可能会让你付出很大的代价。 即使拥有这些工具,如果你的电脑上有病毒,你也会惨遭破坏。所以,确保你的电脑有良好的防病毒软体。 强烈建议你在注册 Binance 帐户后立即启用 2FA(双重身份验证),如果你尚未启用,请立即设置。由于 2FA 代码通常会存储在你的手机上,它可以在一定程度上防止你的电子邮件和密码被窃取。 然而,2FA 并不能保护你免受所有攻击。如果你的电脑上有病毒,窃取你的电子邮件和密码的病毒也可以在你输入 2FA 代码时监控你的键入,并窃取该代码。你可能会与钓鱼网站互动,输入电子邮件和密码,然后在假网站上输入 2FA 代码。骇客随后使用这些资讯登入到你的 Binance 真实帐户。这里有很多可能的情形,我们无法一一列举。 U2F 是一种硬体设备,可以生成唯一的、基于时间的域专属代码。Yubikey 是这一领域的事实标准设备。 U2F 有三个主要优势。首先,它们是基于硬体的,因此几乎不可能窃取存储在设备中的密钥。其次,它们是域专属的。即使你不小心与钓鱼网站互动,它也能保护你。第三,它们易于使用。你只需随身携带它即可。 基于以上原因,我建议你将 Yubikey 绑定到你的 Binance 帐户。它提供了对抗骇客的最佳保护之一。 你还应该将 Yubikey 绑定到你的 Gmail、密码管理器和其他帐户,以保护它们的安全。 曾经 SMS 验证被广泛推广,但随著 SIM 交换事件的增多,我们建议你不再使用 SMS 验证,而是更多依赖上述提到的 2FA 或 U2F。 我们强烈建议你使用 Binance 的提现白名单功能。这个功能允许你快速向已批准的地址提现,并使骇客难以新增提现地址。 对新添加的白名单地址启用 24 小时等待期。这样,如果骇客想要添加新的地址,你将会收到 24 小时的通知期。 我们的许多用户使用 API 进行交易。Binance 提供了多个版本的 API,支持非对称加密。这意味着 Binance 只需要你的公钥。你在自己的环境中生成私钥,并将公钥提供给平台。我们使用你的公钥来验证订单是否来自你,并且从不存储你的私钥。你必须保护好你的私钥。 你不必像持有加密货币一样备份你的 API 密钥。如果你丢失了 API 密钥,你可以随时创建一个新的。只要确保没有人拥有你的 API 密钥。 除非你真的知道自己在做什么,否则不要启用 API 密钥的提现功能。 保持帐户安全的最佳方法之一是完成 L2 KYC(身份验证)。这样,我们就能知道你长什么样子。当我们的大数据风险引擎检测到帐户异常时,我们可以使用先进的自动化影片验证。 这对于如果你无法再使用帐户的情况也很重要。Binance 能够帮助家庭成员在进行适当验证后,访问已故亲属的帐户。 再次强调,保持你的手机安全。你可能在手机上有电子邮件应用程式、Binance 应用程式和 2FA 代码。不要对手机进行 root 或越狱,这会大大降低其安全性。你还应该保持手机的物理安全,设置适当的萤幕锁。其他设备也是如此。 当心钓鱼攻击。这类攻击通常以电子邮件、简讯或社交媒体帖文的形式出现,内含指向假 Binance 网站的连结。该网站会邀请你输入帐户凭证,骇客将利用这些凭证来访问你的真实 Binance 帐户。 防范钓鱼攻击只需要警觉。不要点击电子邮件或社交媒体网站中的连结。只通过输入 URL 或使用书签来访问 Binance。不要与其他人共享你的电子邮件。不要在其他网站上使用相同的电子邮件。当陌生人(尤其是名为 CZ 或类似的)突然在 Telegram、Instagram 等平台上联系你时,保持谨慎。 如果你遵循上述建议,你的 Binance 帐户应该会比较安全。 那么,哪个更好? 我通常建议人们使用中心化交易所和自有钱包相结合。如果你不太懂技术,那么我建议将大部分资金存放在 Binance,并拥有自己的支出钱包(如TrustWallet)。如果你在技术上比较强,那么可以根据需要调整资金配置。 中心化交易所偶尔会进行维护,如果你需要快速进行交易,拥有一个独立的钱包是非常方便的。 如果你遵循这里描述的建议,你应该能够安全地持有资金,无论是自己持有还是通过像 Binance 这样的 CEX。 保持 SAFU! CZ保持你的加密资产安全(CZ 的建议)
你为什么可能或不可能想要自己存储加密货币?
提防骇客
硬体钱包
防范自己
照顾你的挚爱
使用交易所
仅使用大而有声誉的交易所
保护你的帐户
保护你的电脑
不要下载
保持软体更新
保护你的电子邮件
使用密码管理器
启用 2FA
设置 U2F
停止使用 SMS 验证
设置提现地址白名单
API 安全
完成 L2 KYC
物理安全保护你的设备
防范钓鱼攻击
CZ 长文:如何确保你的加密资产安全?
无论是新手还是老手,这都是一份好的指南!