在本文中，我们想要讨论一个与每个与加密货币互动的人都息息相关的重要主题。实践表明，随着时间的推移，旨在窃取用户资金的攻击变得越来越复杂，这就是安全性应被视为一个独立主题的原因。最重要和最具挑战性的部分不是赚钱或获得比特币，而是确保其安全。如果您从一开始就不关注安全问题，存储比特币的时间越长，被妥协和丢失的风险越高。即使使用硬件钱包或冷钱包也并不总能保证完美的安全性，尤其是考虑到人为错误的可能性。因此，在本节中，我们尽可能收集了一些规则，以帮助您保护您的资产。

这些材料对于那些在web3工作已久的用户也同样值得阅读。丰富的经验可能导致自信过剩和对事物的掉以轻心。这只是人类心理学中的一种工作原则。对于第一次与即使是像xVerse这样直观且用户友好的钱包互动的用户来说，从一个地址转移资产的简单交易可能会非常紧张。但对于习惯于进行复杂多资产操作的高级用户来说，或者例如甚至是开发人员，大多数事情开始都感觉过于简单并且是自动进行的。即使是经验最丰富的用户，有时也会犯看似微不足道的错误。例如，由于粗心，资金可能被发送到错误的地址。这就是为什么有时回顾那些看似太简单而不值得关注的事情是有帮助的。然而，忽视它们有时可能导致资金的丢失。

避免人为错误和关键规则

一些比特币损失并不是由于黑客攻击，而是由于错误：忘记密码、丢弃包含硬币的硬盘、发送到错误地址等。这种错误即使是经验丰富的用户也可能遇到。例如，简单的疲劳可能导致注意力不集中，其中地址中的一个字符可能因选择和粘贴不当而被错过。用户可能会“凭记忆”添加缺失的字符，而没有验证其与原始来源的匹配。因此，资金可能由于一个非常简单的错误而永久丢失。

为避免这种情况，请遵循一些简单的规则：

• 在交易时仔细检查所有内容（地址、金额）。

• 想出一个可靠的备份计划用于存储您的助记词，并在实践中测试以确保其可靠，并且您记住恢复步骤。

• 如果您感到不确定，请不要急于行动——区块链全天候开放，您可以在验证后随时稍后发送。

• 小心地址格式——比特币现在有一种更新的地址格式（bech32格式以bc1开头），所有现代钱包都支持，但如果有人给您一个旧格式的地址（以1或3开头），您仍然可以发送到那里；只需确保您的钱包支持它（大多数支持）。

• 保持小额资金用于手续费——在不考虑交易费用的情况下，不要完全清空一个钱包，否则交易可能无法发送（大多数钱包通过稍微减少金额来自动处理此问题，以支付手续费）。

• 如果您正在处理大量资金，尤其是属于某个组织的资金，最好使用多签进行所有交易，以消除单个密钥被泄露的风险。

• 请记住，如果攻击者获得对任意特定网络的访问权限，而您却不知道确切的攻击向量，则始终存在跨链资金被泄露的风险（尤其是在使用软件钱包或浏览器扩展钱包时）。

• 尽量使用“干净”的设备（智能手机、电脑）进行加密货币操作，即使它们的规格远不及二手设备。理想的设置是在加密货币和日常使用或工作之间有独立的设备。在当今的世界中，甚至一台MacBook也可能在引导加载程序中存在修改，即使在完全擦除后仍然存在，从而使设备处于不安全状态。

• 如果您的设备通过任何安装文件受到攻击，最好彻底更换设备。即使您是网络安全专家，并且以某种方式允许了这样的漏洞，仍然存在无法确保设备100%安全的风险，即使在完全重置和清理之后。

• 如果您注意到屏幕上的光标行为奇怪——颤动或随机跳到另一个位置，最好在找到确切原因之前不要与设备进行加密货币相关的交互。除了潜在的触控板或鼠标故障外，这可能是对您设备进行远程访问的迹象。

这些是帮助缓解任何用户——从初学者到专业人士——可能面临的风险的简单基本规则和行为。时不时地提醒自己这些事情，而不是因为速度更快而跳过它们是值得的。在加密货币领域，没有人可以以传统银行系统或法律赔偿的方式归还资金。一方面，用户对其资产拥有完全的控制权和所有权。另一方面，区块链技术的不可逆性要求高度的关注和自律。

社会工程——导致错误的推动方式及其对策

另一类归因于人为因素的错误是社会工程。这是一个广泛的领域，包括人为错误、有针对性的攻击、心理操控等。大多数这些问题都可以通过使用多签来避免。

然而，虽然在组织环境中，与多签的工作原则建立起来是安全的标准和关键方面，但对于个人用户来说，这种措施可能过于繁琐。例如，用户可能需要快速购买某种币或符文。在这种情况下，使用多签进行多个人的交易签名完全不切实际，仅仅因为即使在2方多签设置中，参与者中也可能有一个人忙于或没有访问其钱包。

当一个人独自管理资金时，他们实际上成为了单点故障——即使使用硬件钱包也是如此。这是因为社会工程实际上是一种非常危险且有效的战术。即使在失去资金很久之后，用户可能仍然保持自信。例如，某个熟悉的人可能通过不引起怀疑的账号在社交应用中向用户发送消息。问题在于攻击者可以创建一个类似的昵称，例如通过将小写字母“l”（L）替换为大写字母“I”（i），或替换其他视觉上相似的字符。在用户自愿授权转移资金的情况下，没有任何硬件钱包可以提供帮助。

因此，例如，当朋友要求您向他们发送资金时——通过另一种社交应用联系那个人，进行视频通话，通过手机打电话或发送短信。诈骗者总是活跃；他们不断提高自己的社会工程学技能，而随着先进的大型语言模型的出现，模仿特定的交流风格不再成为问题。此外，现代技术使得即使是一个人的声音也容易被克隆。

另一个成功使用的攻击向量是在社会工程的领域，诈骗者假装是项目或风险投资公司的团队成员。他们可能拥有完善的社交媒体档案，您可能拥有许多共同的关注者。项目可能具有良好编写的文档、白皮书、推特账号、网站——甚至在Discord或Slack中的活跃社区。但是，所有这些都可能是虚假的。大型语言模型和机器人使得生成在一瞥之下看起来深刻和技术性内容成为可能。社区成员可以模拟彼此之间的对话。在这种情况下，攻击向量可能涉及要求用户下载文件、安装测试浏览器扩展、插件或简单地使用其凭证登录工作区。此外，有时投资者可能被要求测试某些内容——这是发展中的产品的正常现象。任何可执行文件都可能在您的设备中嵌入得非常深，以至于即使在重新安装操作系统后，攻击者仍然可以对设备保持远程访问。

有时也会发生，例如，Slack要求您在浏览器中多次登录到您的账户。或者，例如，在Atlassian中，您可能会被定期注销，并需要使用一次性密码再次登录。因此，偶尔被要求重新输入登录名和密码通常并没有任何可疑之处。为了避免丢失您的登录凭据，仔细检查在请求用户数据的地方的浏览器地址栏非常重要。

即使您发现您的资金在没有安装可执行文件的情况下被盗，最好也不要冒险，限制与受损设备的交互。用户在恐慌或社会工程攻击期间可能会感到迷失，忘记他们授予操作系统某些不寻常的权限。这可能是任何事情——从授予远程访问到简单允许文件或剪贴板复制，这可能包含私钥或助记词。

自我保管和安全原则 

设置非托管钱包意味着您现在是银行。这是赋予权力的——您拥有完全的控制权——但这也意味着您对安全负责。以下是自我保管比特币的基本原则和最佳实践：

• 用生命保护您的密钥（助记词）：助记词是您比特币的主密钥。如果您丢失它，您将失去访问权限。如果其他人找到了它，他们将获得对您所有资金的访问权限。绝不要分享它，绝不要将其输入到您没有刻意选择的任何网站或应用中（诈骗者可能通过假冒的“钱包”网站欺骗您）。在备份时，请离线进行。许多人在不同的安全位置保持多个副本（例如，一个在家里的保险箱中，一个在可信的亲属家中等），以防火灾或盗窃造成的损失。如果您以数字方式存储，请注意，如果您的计算机被黑客攻击，该文件可能会被发现——因此，物理的离线备份更安全。没有合法的支持或权威会要求您的助记词——如果有人这样做，那是诈骗。

• 在设备上使用强安全性：如果您使用移动或桌面钱包，请保护该设备。在您的手机上使用强密码，保持操作系统和钱包应用程序更新（更新通常包括安全修复）。考虑在您的设备上使用加密。在与您的加密货币相关的任何服务或账户上启用双因素认证（2FA）（例如，您的交易所登录、您的密码管理器等）。基本上，让攻击者尽可能难以破坏您的环境。避免点击可疑链接或下载未知软件，这可能包含旨在窃取钱包信息的恶意软件。将您的设备视为保险箱门。

• 从小开始并学习：如果您是全新的用户，首先尝试发送小额测试交易——例如，购买少量比特币，将其提取到您的钱包，或在钱包之间发送——以让自己熟悉它是如何工作的，并确保您已正确设置。犯错10美元比犯错整个储蓄好。熟悉如何从助记词恢复钱包（也许使用空钱包进行练习），以便您确信在必要时可以恢复。

• 没有你的密钥，没有你的币（自我保管为何重要）：我们提到过这一点，但值得强调。将您的比特币放在交易所或托管服务上意味着您面临对方风险。不幸的是，有许多警示故事：交易所被黑客攻击、破产，甚至欺诈性地滥用客户资金。当这些不好的事情发生时，用户通常会被冻结提款，最终将比特币丢失。通过持有自己的密钥，您消除了这种风险。您变得免受交易所崩溃的影响。即使所有的加密货币交易所明天关闭，您的自我保管比特币仍将保持100%属于您且可访问（因为它存活在全球比特币网络上，而不是任何一家公司的数据库中）。自我保管是比特币的核心理念，因为它能够实现金融自由和抗风险能力。然而，自我保管也意味着您必须认真对待安全——在比特币中没有“我忘记了我的密码”的选项。作为您自己银行的代价是，您没有FDIC保险或银行经理可以联系以寻求帮助。一些投资者选择混合方法（例如，将一部分资金保留在非常声誉良好的交易所或使用受保险的托管服务中），尤其是如果他们对自我安全没有信心，但总体而言，学习自我保管在比特币社区中深受推崇。

• 为意外情况做好计划：除了日常安全之外，还要考虑备份和遗产规划。对于备份：确保如果您的主要钱包发生意外（手机丢失、硬件钱包损坏），您有助记词以恢复资金。偶尔测试您的备份。对于遗产：如果您去世或失去能力，您的亲人是否知道如何检索您的比特币？这很棘手——您不想提前只给他们助记词（如果他们不理解其重要性，可能会泄露）。许多人使用密封的信件或在遗嘱中包含信息并附上说明。这个想法是留下一个计划，以便您的比特币不会永远丢失（有数百万BTC由于持有者去世或在没有备份的情况下丢失密钥而无法访问）。考虑一个值得信赖的家庭成员或一个多签设置（下面简要介绍）的处理方式。

操作安全（OpSec）最佳实践 

保持您的秘密离线：您的私钥和助记词应尽可能离线保存（因此强调使用硬件钱包和纸质备份）。如果您只在连接互联网的设备上持有它们，您将更容易受到黑客攻击。一个简单的最佳实践是对于大量资金使用冷存储：即将您的比特币存储在不定期连接互联网的钱包中（例如，硬件钱包或存储在保持离线状态的设备上的离线软件钱包）。冷存储大大降低了远程泄露的风险。当您将设备在线以进行交易时，请注意您的环境（如没有采取预防措施，不要在公共Wi-Fi上进行交易等）。

设备和网络安全：将计算机和智能手机的安全视为重中之重。为您的设备和任何与加密相关的账户使用强大而独特的密码。保持软件更新（更新修补漏洞）。考虑使用信誉良好的防病毒或反恶意软件解决方案，但不要仅仅依赖它。小心钓鱼攻击（如下文所述），绝不要从未经验证的来源安装软件或浏览器扩展，尤其是那些声称是加密工具的——许多都是恶意的。将单独的设备或分区用于处理您的加密货币也是个不错的主意，以最小化暴露在日常互联网威胁下的风险。

启用双因素认证：对于任何与比特币相关的交易所账户或重要登录，使用身份验证应用（如Google Authenticator或Authy）启用双因素认证（2FA）。基于短信的双因素认证比没有好，但可能易受SIM卡交换的攻击；验证器应用程序或硬件双因素认证（如YubiKey）更加强大。如果您的密码被盗，这将增加额外的保护。还请使用密码管理器生成和存储复杂密码，以免重复使用任何黑客可以利用的登录凭据。

备份和冗余：我们已经提到这一点，但为了重申：在安全的位置保存多个备份的錢包助记词（或私钥）。如果您使用硬件钱包，您也可以考虑保持一个额外的硬件钱包作为备份（如果一个失败，您可以将相同的助记词输入到新设备中）。定期通过在新钱包上恢复来测试您的备份（您可以使用备用设备并确保其显示正确的余额，然后擦除它）。备份只有在需要时真正有效！此外，请考虑备份的耐久性：纸张可能会退化；您可以使用不锈钢备份（有一些产品可以在金属板上打孔或雕刻助记词以使其防火和防水）。这些工具可以通过比特币安全零售商找到。始终将备份保持为秘密——将其视为高价值资产。

多签（多重签名）以增强安全性：对于存储大量比特币的人，您可以考虑一个多重签名钱包。多签意味着要移动资金，需要多个密钥——例如，您拥有3个密钥分布在不同位置，“2-of-3”多签中需要任何两个密钥才能支出。这样，即使一个密钥被盗或丢失，其他密钥也无法访问这些币。多签可以防止单点故障（包括您自己丢失一个密钥）。有一些服务和软件（如Unchained Capital、Casa或DIY设置Electrum/Bitcoin Core）可以帮助协调多签。虽然多签增加了复杂性，但它可以显著增强持有大量比特币的HODLer（长期持有者）的安全性，基本上就像将密钥分散到多个保险箱中。对于大多数初学者来说，多签可能有些过于复杂，但随着您的进展，了解它的存在是件好事。如果您选择多签，请务必练习并遵循所有备份程序（您需要备份每个密钥的助记词等，并有一个计划应对其中一个密钥/设备失败的情况）。

信任但验证工具：尽可能使用开源的、经过良好评审的钱包软件。比特币的理念倾向于开源软件，因为代码可以被检查以发现漏洞或恶意部分。像Bitcoin Core、Electrum、Sparrow、BlueWallet等钱包都是开源且经过时间考验的。如果您使用一个闭源的钱包或一个小的未知应用程序，您就隐性地信任开发者，可能涉及到您的密钥或交易。这并不是说所有闭源应用程序都是坏的，但要保持警惕。同样，当您下载钱包软件或更新时，请从官方源下载，并在您知道的情况下验证签名。这可以防止下载被篡改的版本。

您可以做的最简单的事情，无需签名验证，就是仔细检查您下载应用程序的网站地址与多个来源进行比较。或者直接使用Trezor和Ledger提供的应用程序。尽管它们不如软件钱包方便，但它们是最可靠的。

结论

因此，在比特币和DeFi的世界中，在任何生态系统中，安全性不是一次性的设置，而是一种持续的纪律。正如本文所示，您资金面临的最大威胁不仅来自外部攻击者或复杂的恶意软件，也来自简单的人为错误、对安全性的过度自信或社会工程陷阱。即使是经验丰富的用户也可能成为错误或复杂操控的受害者。

真正的自我保管提供财务主权，但这也需要个人责任。从保护助记词和使用安全设备，到理解钓鱼向量和应用多签以管理大额资金——每一个行动都有其结果和后果。不管技术多么安全，如果您的习惯薄弱或意识减弱，它不会单靠它自己来保护您。

无论您是在比特币的旅程中刚刚开始，还是在DeFi领域是一位经验丰富的参与者，核心理念始终不变：安全是一种心态，而不是清单。重温基本原则，挑战假设，永远不要低估攻击者的创造力。在一个交易不可逆转且基于设计最大限度减少信任的空间中，您最好的防御是健康的怀疑、良好的操作卫生，以及对拥有自己密钥时所伴随责任的深刻尊重。

而且不要忘记，智能合约可能包含错误和漏洞，因此值得关注协议通过的审核。危险可能随处可见。但如果用户能预见一步前的行动，例如用小金额进行测试工作——这将显著降低风险。

保持警惕。保持控制。保持独立。