编按更新：美籍华裔 30 岁男子张天泽（Tianze Zhang）於 2022 年 3 月 16 日下午，在邻近旧金山伯纳高地（Bernal Heights）的居民区，持刀胁持其前老板，得手包含泰达币、比特币、乙太币等总价值约300万美金的虚拟货币（约9000万新台币），分散在几个不同的冷钱包後逃到台湾，经旧金山警方（SFPD, San Francisco Police Department）派员来台并通报台湾刑事局，顺利於上月底逮捕後，起出 Ledger 牌的冷钱包，并由旧金山警方押回归案。

究竟虚拟货币放在没有连网的冷钱包是不是比较安全？

为什麽投资加密货币的风险很高？认为风险高的第一印象是在於币的价格剧烈波动，但其实不只是价格波动很大而已。大多数情况是许多初来乍到的新手，没有老司机教你正确的观念和操作练习，自己不小心就将自己的币给搞丢了。不管是被骇客骗走，还是操作失误打错地址而锁死在区块链上，这都是常常发生的事。

在去中心化的世界里，虽然没有人有权利可以冻结你的资产，但是你自己如果想要，也没有人挡得住你。所以我希望藉由这一篇，不只给新手正确的观念，更提供手把手操作养成正确习惯。这里综合了我4年多以来的个人经验和心得，以及在业界管理过上亿数位资产而至今尚未出事的真实习惯，分享给大家，希望有帮助。

正确的观念与认知是最重要的

一切行为与习惯由观念而生，治本方式还是要好好学习。

开始之前，我先定义出简单的三个标签，#Easy、#Hard、#UltraHard，标签指的是指一个行为的风险程度。

#Easy

我粗估85%不知道状况的新手会做的事情，或是少做了哪些事，都会让上了这个标签的用户暴露在极高的风险当中，损失自己的资产将会是早晚的事情。

#Hard

如果做到这个等级，就超越了85%的人了，自己不容易被盗或是损失资产之外，这应该是每个人都应该养成的观念和习惯。

#UltraHard

要管理金额较大的数位资产时，就需要做到这种程度，虽然非常安全但也伴随着极大的操作成本，各位读者可以参考即可，并从中了解为何如此做会是更安全的。

重要的观念

另外几个重要的观念是加密货币钱包通常放的不是钱，而是存放你私钥的管理器，而私钥是一个权限非常大的东西，私钥的生成和保存最好都不要与网路有所接触。通常钱包生成时给你的注记词（Menonics）就是私钥，千万不要存在连线的装置当中，最好是抄在离线的纸上。

大部分的装置都是可疑的，包括自己的装置也是，随时都有可能被塞後门，更不要相信别人的手机或是电脑，以及公共场所的电脑，例如图书馆的电脑或机场与高铁站的免费充电USB插槽。

自己的电脑与手机的剪贴簿也不是完全安全的，尽量不要直接复制自己的私钥贴上到别处，因为复制时骇客可能已经知道你的私钥内容了。

再来是分散风险，即数位资产的配置不要集中存放，例如全部放在某一个交易所或是某一个钱包。

还有若没有很深的专业知识，请选择主流或是公开网路上认证安全的工具，或是我文章中提到的工具和钱包。

工具的选择

广义钱包的种类很多，但大致上可以分成两种，冷钱包与热钱包，冷与热的差别定义大多是以平时有没有连网，或是有没有保持离线环境的差别。而冷钱包的特点就是相对安全但使用较难，热钱包则是相对风险高一些但使用方便，上图是我大致依照易用度与安全性两个象限去分群的分布图。

冷钱包

左上角的Trezor、Ledger和CoolBitX是常见的冷钱包，Trezor算是第一老牌的元老冷钱包，算是指标性第一的冷钱包，也是我个人爱用款，我个人就有三个以上的 Trezor Model one和Trezor Model T。

Ledger算是老二的领导性品牌，安全性也是足够，各自能支援的币种大多重叠，也在我的推荐名单里面。而CoolBitX则是我们台湾本土的明星团队所制作的卡片式冷钱包，也有专属的手机App可以做无线连接签章使用，安全度与前两名相当，但增加了一些易用度。

冷钱包通常都要接线，目的就是要离线签章，私钥会在离线的装置中签完之後才把交易传送连网的电脑，确保私钥不会直接曝光。并且会自己做一个萤幕，而且是原始简陋的那种，这部分为了要确保无法被骇客远端窜改的可能，用的元件用途越单一越简单，越没办法动手脚，所见即所得。用到冷钱包的话，标签等级已经接近#UltraHard了。

热钱包

稍微中间偏右的五个热钱包是我本人亲自使用过觉得不错的，从最上面顺时针顺序分别是BRD wallet、Coinbase wallet、Huobi wallet、Trust wallet、imToken，它们都是手机上的App，一开始生成钱包时都会随机产生新的私钥，然後让用户去备份保存，并随时都能在不同的手机上复原，但是私钥是以怎样的形式存在手机里就比较难验证了，但是这五家都算是币圈里面的领导公司。

每个钱包的优缺点就不多作介绍，有相同的特徵是它们的使用者体验对我这种重度使用者来说，我觉得都是做得不错的，以及都有支援多条主链的币种，而且支援管理数个钱包，这对於我常常有不同业务以及用途的资金管理上非常方便。

下面的三个钱包，由左至右是Metamask、MyCrypto、MyEtherWallet，这都是属於电脑的网页浏览器钱包，私钥储存在浏览器之上，虽然也是有基本的加密保护，但我认为风险是比较高的，很容易就被各种社交工程或是远端钓鱼攻破。

私钥与密码管理

再来就是讲到私钥和密码的管理，最重要的一段字串该如何保存，为什麽会这麽重要呢？一般新手可能不懂它的重要性，它就像你的灵魂一样，要是被人控制住了，基本上就是任人宰割，被你以外的人知道私钥的话，他随时都能将你的钱移走，而且再也找不回来。

私钥的生成与保存

第一个最基本该避免的，就是把私钥截图或者是复制纪录在电脑手机的记事本、Evernote、Dropbox、Google Drive、Email 等等线上帐号。

从前就有一位人称小黑的加密货币投资顾问，因为放在Evernote损失了上百万美金。放在线上储存的危险之处就是当你的线上帐密被破解，骇客一定是找经济价值最高的资料，第一个当然就是寻找有没有像私钥的字串，一找到就直接自动签章把钱移走，完全来不及挡。要是你存在上述类似的云端储存空间，你就会被标上#Easy的标签。

私钥如果不储存在云端那该放在哪呢？最好的方式就是记在离线材质上，最常见就是直接写在纸条，并妥善保管，放入保险箱或者是银行的托管金库里面。但如果是纸质的材料的话，发生火灾或是虫蛀也是有点风险的，所以也有人在做石板、钢片和打印工具组来记录私钥，不止防水防火也抗涂改，安全性直冲 #UltraHard。

密码、PIN code的生成和保存

第二个是密码和PIN code的生成，有别於私钥是随机乱数产生的无法自己定义，但是密码可以。设定密码时尽量不要使用跟个资有关的内容，一般人最常见的例子就是使用生日、电话、学号、身分证等等直接当作密码。 要知道骇客取得上述个资的难度是很低的，直接用这些资讯暴力搜寻去组合出你的密码是几秒内的事情，当你用这些去当密码，#Easy的标签主就是你。

那到底该如何设定自己的密码呢？我自己是有两种作法，第一种稍微难一些，请使用只有自己知道的或者跟自己有关的事件提示来做英数组合并记在脑子里，像是你国小几年级哪个学期的期末考分数、某个亲戚的名字笔画数、民国几年几月的存款数字是多少，诸如此类的私人事件，大幅增加骇客个案猜测你密码的难度，基本上就到达了#Hard的等级了。第二种则是直接使用1password或是LastPass这种密码管理工具帮助生成不可预测的随机乱数密码，安全性也是挺高的，一样也是#Hard。

好的习惯养成

好的习惯也能让你平时保持#UltraHard的境界，并且大幅降低损失资产的机率。

平时数位资产的分配

最简单的就是平时数位资产的分配摆置比例，一样是常见的二八法则，把大多数的资产放在相对安全的冷钱包，少数供平时使用的放在热钱包，保持一定的弹性。至於放在交易所的钱是要视为可以赔掉的，如果没有要做交易，最好都移至自己掌有私钥的钱包之中，自己的钱才不会被别人控制。

发送前地址看头看尾

再来是发送数位资产时简单却也重要的一个习惯，很多人都是复制贴上便送出，没有额外做任何固定程序，导致将自己的钱送给了骇客事後才发现。那就是发送前对目的地的地址看头看尾，看看前四码和後四码，是否与你正在交易对象或是提领地址的内容一样，通常前後都符合的话，基本上就代表一模一样了。

因为骇客很难找到前後四码都一样，但中间不一样的地址，那要耗费相当大的算力，而且短时间内不可能的，这是这个方法有用的背後原因。如果觉得不放心，那就看前六码後六码，要伪造的难度又再加一个等级，但其实实务上不需要。

先传小笔，再传大笔

这个也是值得养成的习惯，可以避免掉非常多的麻烦。发送大笔金额时，假设10 BTC，建议先传0.01 BTC测试，确认有收到无误之後，再送9.99 BTC，交易1m USDT 时先传1 USDT，再传999,999 USDT诸如此类。币的交易在这世界还非常新，很多错综复杂的情况不是每位都能理解的。

这种方式可以避免的损失有很多种，一种是对方是诈骗，可能收到款项之後就直接消失，这时如果对方再无回应，你损失的也只是一小部分，但辨识出对方的诡计。
也有可能是一部分的地址或是你使用的交易所不支援智能合约，如果直接打入会造成无法计算入金，这种情况你也能提早发现，避免掉大额资金被卡住的情况。再者是你不小心打错地址了，但是那种状况是要打了之後才会发现打错，趁早发现并订正，此时大额资金还在。

以上都是好几年的实务经验的结晶，简单好学习的动作可以阻止很多冤枉路，在此无法解释的太详细，只能建议大家养成这种习惯。

TXID纪录与备注

做完每笔交易时，最好都有留简单的纪录，除非你的交易是需要高度隐私的。集中纪录在自己的试算表可以，留在通讯软体里面供日後搜寻也可以。以下是范例：

1,300,000 USDT透过xxx投yyy项目
https://etherscan.io/tx/0x8b555cb67737e99fb58da2433
77297333ea4488b2b7df096f7075367b2acc900

此举的目的是让日後可以使用Cmd／Ctrl+F搜寻比对，不管是透过金额数字、币种，或是用途的关键字（xxx, yyy）来找寻都非常方便。在自己的钱包发现没印象的交易时，也可以确认是不是自己发出的，因为传多了一定会忘，确认自己没有被盗也是一件很重要的事。

定期更换钱包

最後一个也是很简单的动作，建议大家定期就更换一个钱包，更甚者可以每笔交易都使用不同的地址来收发，Trezor和BRD wallet就有这个功能，如此可以增加隐私性与安全性。因为长期使用同一个地址的话，容易被掌握金流的pattern，增加人家推测和锁定你的机率。所以每过几个月或是几百笔交易後，可以考虑创建新钱包，把旧有的全部换过去。

结语

此篇文涵盖的要点，不管是观念、工具的选择以及良好的习惯，都是我进入区块链的世界以来，用血泪和缴出的学费换得的。最重要的还是对自己操作的所有币有所了解，有了正确的观念加上实务经验衍生出的习惯，才是治本的方式。

（本文由Wilson Huang授权转载自其Medium）

责任编辑：陈建钧

《数位时代》长期徵稿，针对时事科技议题，需要您的独特观点，欢迎各类专业人士来稿一起交流。投稿请寄edit@bnext.com.tw，文长至少800字，请附上个人100字内简介，文章若采用将经编辑润饰，如需改标会与您讨论。

（观点文章呈现多元意见，不代表《数位时代》的立场