从交易所到钱包，我们那无处安放的数字资产

在年初Tokenclub所组织的一场币圈直播中，宝二爷曾经对听众说：2018年将会成为交易所的发展元年，现在看来，2018年是不是交易所发展元年还不好说，但绝对称得上是交易所多事之年：先是各路交易所直接突破一万家；后来又开始围绕着交易挖矿搞出了一堆节目；

　　而这几天的话题又转移到了交易所的安全问题上——近期，CoinPark交易所遭到黑客攻击，其比特币被直接砸破1000美元，大批用户和黑客在吃到低价后，喜不自胜地提币跑路，更有消息传出：部分CoinPark的用户钱包里莫名其妙地多出了N多的资产，虽然官方此后出面试图澄清部分传言，但此时的币圈市场，已经是无可挽回地陷入了一片风雨飘摇之中。

　　OK，我们暂时不去讨论这些消息的真伪，毕竟今年以来，交易所被盗频率和资产的丢失数量大幅上升已经是不争的事实：数据显示，上半年交易所失窃的数字货币价值，已经超过了2017年全年。

　　那么问题来了，为什么我们的资产放在交易所也不安全？到底怎么做，我们的资产才会得到100%的安全保障呢？

　　长APT：交易所不能承受之重

　　要回答这个问题，我们首先来看一个词：APT。

　　什么是APT呢？

　　它实际上是一个网络安全术语，意思是“高级持续性攻击”（Advanced Persistent Threat），也就是黑客长时间盯着某个目标，对其从各个方向进行不同方式的攻击，甚至为此不惜花费时间和精力去布置一个巨大的局，这一整套过程，少则几个月，多则几年，目的只有一个：就是攻破目标的网络防线，获得其背后的信息或资产。

　　一般来说，由于实施成本太高，但从中获得的利益又与之不匹配，大部分黑客对APT没什么兴趣，所以这种攻击一般只发生在国与国之间，或是大型组织之间。主要是为了实现政治目的、而不是经济效益。

　　事实上，我们现在所使用的中国互联网，它其实也是无时无刻地面临着外部力量的攻击，只不过这些攻击都不为人们所熟知而已。

　　然而，数字货币的出现，使得APT行为——尤其是针对大型交易所数字钱包的攻击，瞬间充满了极大的经济吸引力。原因很简单：交易所的钱包里，往往会聚集了相当数量的代币，如果把它们偷到手，黑客获得的不仅仅是巨额的资产，更是操纵市场上这些代币价格的权利，说白一点，就是黑客在偷到币之后，可以先把价格拉上去，再把手里的币以高价逐渐卖出。

　　在这种数量和价格的双重吸引力下，对交易所钱包进行持续攻击（APT），几乎是数字货币领域的黑客们孜孜不倦的乐趣、甚至说是值得为之付出一生的事业——毕竟，只要偷一次得手，拿到的钱都够花好几辈子了，因此说值得为之付出一生，也不为过吧？

　　从上面的分析我们不难看出，平时大家接触的那些数字货币交易所，它们看似风平浪静，实际上时刻都在承受着全球黑客们来自不同方向的网络袭击。当然了，黑客们的攻击也是有重点的，像币安、OK、火币这样的大平台固然宝藏丰厚，但人家舍得花钱，网络安保措施也非常严密，一般水平的黑客组织很难攻得进去。

　　怎么办？换个方向咯：一是那些小型的、不知名的交易所，这些平台很多都是由刚入门的创业者成立，在安全意识和技术方面往往比较落后，更容易攻破；二是那些没有牌照的非法交易所，攻击得手之后，对方无法获得当地的法律保护。

　　对黑客来说，攻击这种交易所的收益高，成本低，简直可以说是砸到头上的大礼了。我们在文章开头提到的Coinpark被盗，可以说就是这方面的一个典型案例。

　　在这样的情况下，可以说，在你把数字资产充进交易所的一瞬间，你实际上就已经被卷入到了黑客与白客（从事正当行业的黑客）之间这场旷日持久、从不停歇的网络对攻战当中，你的资产安全与否，完全取决于双方的交锋谁胜谁负，如果白客占上风，那还好说，如果黑客占上风，那您可就得自求多福了。

　　历史上大大小小的交易所被盗案件已经说明：只要交易所被盗的资产超过一定的比例，立刻就会引发用户的挤兑狂潮，而在这其中，注定有相当一部分投资者将无法再取回自己的资产，最终沦为悲剧的买单者。

　　图：近年来知名交易所被攻击情况一览

　　钱包：100%可靠的避风港？

　　正如我们上面的表格里所显示出的一样，随着黑客盗币案件频频发生，越来越多的投资者也开始意识到，把数字货币保存在交易所，实在算不上是一个安全的决定，在这种情况下，很多朋友心一横，走上了另外一条道路——把币一股脑全都提到钱包里。我自己的资产，私钥由我自己保管！

　　怎么样，听上去是不是很有一种“自己的命运自己掌控”的豪气？但是对不起，现实是残酷的：对于某些人来说，把资产提到钱包里，丢得更快，到头来才发现：这还不如放到交易所里呢。

　　为什么会出现这样的情况？

　　相信很多人都知道，数字货币市场上有很多种不同的底层公链，而每一种公链，它都匹配了一种专属的钱包，而这些公链资产、以及基于它们的各种应用型代币，都只能放在自己专属的钱包里，举个例子：EOS在主网上线之前，它的代币都是以ERC20的形式存在的，因此可以存在以太坊的钱包里。而在主网上线换币之后，它的这些新代币，就只能保存在EOS专属的钱包里了。很好，在这样的情况下，你现在除了以太坊钱包之外，还要再安装一个EOS钱包，否则你的EOS代币将无处存放。

　　那么问题来了：大多数投资者，他们有妥善管理多个钱包的能力吗？答案是没有。在过去的一年里，市场上N多的代币都是以ERC20的形式存在的，也就是都保存在一个以太坊钱包里就OK，然而就是这么一个钱包，各种被盗的事件都层出不穷，有保存在邮箱里被黑客拦截的、有截图下来被人工智能识别的、还有随手扔在家里被小舅子顺走、甚至干脆直接找不到的……各种奇葩事件层出不穷，要知道，以太坊的钱包在各种公链里，已经算是比较容易上手了，就这么一个钱包，都搞得鸡飞狗跳，那现在市场上还有量子、小蚁、瑞波、EOS、IOTA邓几十条公链呢，未来还会有本体、亦来云、ELF、ADA、ICX等一大堆候补选手，你怎么办？难道要同时下载N多个钱包，记N多个私钥，你确定不会把他们弄丢或是记混？

　　图：被称为“最难用钱包”之一的IOTA钱包

　　OK，退一万步说，就算你真的有非常好的私钥安保措施，那么未来的公链这么多，与之匹配的钱包也是铺天盖地，你确定你在下载钱包的过程中不会被黑客中途插进木马病毒，从而窥探并盗取你的私钥？

　　毕竟，数字钱包虽然听上去安全，但它从设计、发布，最后通过各种复杂的网络传输来到你的电脑或者手机，中间要经过很多道流程，但凡其中一个环节出现问题，想都不用想，你的资产届时将会消失的无影无踪，毕竟，能下这么大苦功攻击钱包的黑客，那都不是来给你做义务投资者教育的。

　　没有一处是绝对安全的：数字资产的最终归宿

　　看到这里，投资者朋友们可能心里已经泛过了一丝绝望：交易所也不行，钱包也不中，这到底还让不让人活了？我们的资产，放在哪里才是绝对安全的呢？

　　严格来说，这个世界上其实就不存在100%安全的事情，好比此时此刻我走在大街上，我也不确定后面会不会突然飞出一辆车把我卷走，但我可以通过遵守交通规则，来增加安全通行的可能性。数字资产的保存也是一样，我们所能做的，就是尽可能提高资产的安全性。在这里，笔者给大家几条相对来说比较容易的操作建议：

　　1、不要把自己的资产都保存在一条渠道上。社长经常会注意到，一些币圈网红在写投资日记时，会告诉大家：自己把所有的币都放在了某某交易所上，各位读者请注意，这是风险非常之大的。有多大呢？就跟你梭哈了一个币一样。只要这个交易所被攻击盗币，你的资产随时都会面临缩水甚至归零的风险。而降低这种风险最直接的方法，就是把自己的资产分散在不同的渠道上——A交易所放一部分、B交易所放一部分、热钱包放一部分、冷钱包放一部分……总之，在自己能够管理得过来的范围内，尽可能分散。这样的话，即便是一个渠道出了问题，对你来说也只是损失了一小部分。

　　2、别碰小交易所。就像我在第一部分所提到的那样，交易所的钱包现在是黑客的最爱，尤其是那种心比天高，命比纸薄的中小交易所，他们有成为银行的梦想，但在资产安防方面却完全没有银行那样的水准，舍得花钱返利挖矿赚流量，却不舍得花钱搞网络安防或者去搞定一张牌照，到头来，不仅对黑客的攻击无能为力，而且出事后还无法获得当地政府的法律保护，最终一地鸡毛。

　　3、尽量使用主流公链的、比较成熟好用的钱包，把自己资产中那些非主流的公链币种尽可能放在大交易所上。就像我上面所提到的一样，现在很多公链都在开发过程中，它们的钱包还都相当不完善，对于不懂计算机知识的你来说，你根本没法确定自己所下载到的是正品，还是被黑客中途劫持替换的冒牌货，退一万步说，即便你下载了下来，就现在数字钱包的使用体验，也是相当反人性的，没两把刷子的话，分分钟就会弄丢私钥（比如说有些公链只有PC端的网页版钱包，结果就在你把资产转移进去之后、正在抄私钥的时候，电脑突然蓝屏），所以在这样的情况下，大家还是乖乖地把那些比较新的币种，分散地保存在一些大的交易所吧，至于相关的钱包，自己可以先下载一个来体验体验，等熟悉了相关操作、产品也更加完善之后，您再攥在自己手里也不迟。

　　4、尽一切可能减少私钥的暴露几率。有关数字钱包的安全保障，网上各种各样的指南已经多到爆，笔者这里不再赘述，但是大家看多了可以发现，这些指南说来说去，中心思想只有一条：那就是尽可能少暴露你的私钥，具体内容就不用多说了，什么不保存在邮箱、聊天记录、微信收藏、以及各种截图里，估计大家已经听得耳朵长茧，这也是很多专业人士建议投资者去买一些冷钱包储存数字货币的原因。

　　但问题在于：对于普通投资者来说，冷钱包其实不是一个一劳永逸的方案，首先，它的使用流程比较复杂，其次，一旦冷钱包因为某些原因损坏或者丢失（比如家中失窃、钱包进水），你的数字资产也就拜拜了。第三，冷钱包也是挺贵的，目前大约在3000-10000元左右，对于很多工薪族来说，他们实在是下不了这个决心。

　　图：库神最便宜的钱包也要3000元

　　在这样的情况下，笔者建议大家，您要有那个钱，不如买一个新手机，反正跟冷钱包相比，手机的更新迭代才是刚需，至于那个旧的手机，您就把它当做冷钱包用吧——也就是下载一个热钱包在旧手机上，把资产都转移进去之后，断网保存。

　　至于私钥的保存嘛，您要是实在放心不下，就去银行买一个保险柜的业务，把自己的私钥写在纸条上放进去，或者说把私钥拆开写几份，同时放到N个银行的保险柜里，反正也不贵，一年几百块钱。我可以保证，这些保险柜被人攻破的几率相当之小，至于几个保险柜同时被人攻破的几率，那估计跟火星撞地球的可能性有得一拼。

　　“

　　OK，关于数字资产安全问题的介绍和建议，到这里就基本结束了。正如身体的健康是工作的根基一样，资产的安全也是我们投资的根基。在这里，社长建议大家平时少看一点波段和八卦，多关注一点资产安全，不要舍不得花时间和精力在上面，更不要用“我这点资产黑客哪看得上”的理由来麻痹自己。

　　毕竟，对于黑客来说，“这点资产”或许只是被盗资产中不值一提的一小部分，但对于你来说，那可能承载着你的全部。