不少人觉得将资产放入冷钱包就万事大吉了,然而我在链上安全领域从业八年,目睹过太多冷钱包被盗的事例,其所出现的问题基本上并非源于硬件自身,而是在于人的操作习惯。imToken冷钱包的风险防范,关键并非技术,而是行为。
第一个坑是助记词泄露的问题,有些人习惯把助记词拍照存于手机当中,将其通过微信发给自己,甚至输入到笔记软件里,然而,一旦手机遭黑客攻击,云盘被盗取,冷钱包立即毫无防护地暴露无遗。
应采用的真正正确之做法是:助记词要始终维持离线存储情形,亲手抄写在有着防火防水功能的纸张之上,分成两份放置于各异的、值得信赖之人手中,且永远都别把它输入到任何联网的设备里面。
第二个坑是伪造App以及钓鱼地址,不少人下载的是高仿imToken,或者在扫码签名时没能仔细看清合约地址。要明白,冷钱包仅能保证私钥不触网,可是要是签名的内容是恶意合约,资产仍旧会被转走。我个人的习惯是,在每次签名之前,都会仔细查看一次地址的前后8位,先开展小额测试转账,绝对不会盲目签名。
第三个坑是更新陷阱,冷钱包固件升级有一定风险,有时会重置设备,要是助记词没备份妥善,一旦做升级操作,钱包就会报废,另外,有些人贪图冷钱包某些功能,把冷钱包连接DApp进行授权,这如同主动拔掉网线再插上路由,给自己带来极大安全隐患。我的原则是:冷钱包只用于转账签名,绝对不参与任何授权操作。
当你运用冷钱包之际,曾经遭遇过什么样的陷阱呢?欢迎于评论区域予以分享,从而使得更多人群可以躲避掉这些隐匿的风险。
