道路千万条，安全第一条，区块链安全问题是一个老生常谈的问题。数字钱包作为加密资产流转、存储的重要平台，在区块链时代一直扮演着非常重要的角色，投资者要如何安全使用去中心化钱包，如何有效规避去中心化钱包的各类风险，保护自身资产安全，是我们每一位数字资产持有者都需要关心的问题。
 
今天，我们很荣幸邀请到TokenPocket联合创始人&CTO陈达做客世链直播间，世链集团运营负责人Richard担任主持人，从各种区块链项目方面临的安全问题出发，全面剖析去中心化钱包安全，讲解区块链钱包安全知识！
 
以下为直播专访实录，世链财经编辑整理：
 
【世链财经第一问】
 
世链集团运营负责人Richard：去中心化钱包作为当前市场存储数字货币的主力军，您认为去中心化钱包主要安全风险有哪些？
 
TokenPocket联合创始人&CTO陈总：根据我们近几年从事钱包行业来看，可以把风险主要分为两类，第一类就是助记词和私钥的保存出现问题，另一个就是合约交互出现问题。接下来，我会根据不同钱包来阐述这两种类型的安全隐患。通常来说，我们会把去中心化钱包分为两类，一类是冷钱包，一类是热钱包。其中冷钱包可以分为纸钱包、助记词板、硬件钱包，还有离线手机冷钱包，而热钱包就是我们常用的手机钱包、电脑插件，还有一些网页和客户端的钱包。
 
从第一类的助记词和私钥的存储安全来看，冷钱包其实可以解决一部分风险问题。因为冷钱包是全程不触网的离线状态，所以它的助记词和私钥安全可以得到很好的保障。而对于热钱包来说，比如我们用手机钱包还有插件的话，由于它是联网状态，可能会被一些手机环境所影响。比如市面上很多手机APP都会读取粘贴板，而电脑安装的插件也会带来相应影响。所以在热钱包这块，其实会比冷钱包的不触网环境更多一些风险。
 
然后是第二类的合约交互风险，比如大家经常会遇到的approve问题，就是合约交互相关的风险之一。其实从本质上来讲，不管是冷钱包，还是热钱包都会面临合约交互相关的风险，这是无法避免的，后面我也会具体讲合约交互这块儿遇到的问题。最后还有一个比较重要的地方就是钱包来源。冷钱包可能会面临购买渠道不安全，而热钱包可能面临来源风险，很多人会下载到一些盗版软件，或者是病毒软件，最终导致钱包处于被盗的状态。
 
【世链财经第二问】
 
世链集团运营负责人Richard：近年来去中心化钱包丢币事件频频发生，大多数人将焦点放在去中心化钱包的安全使用上，有些粉丝非常关心冷热钱包的问题，对此您能深入讲解下热钱包和冷钱包的区别，以及正确使用方式吗？
 
TokenPocket联合创始人&CTO陈总：其实冷钱包可以解决部分私钥助记词存储的风险，TP最开始就支持了手机的冷钱包，最近也支持了硬件的冷钱包。从冷钱包的主要用途来看，一是存储私钥和助记词，二是部分用户会通过冷钱包使用一些DeFi产品，一般情况下需要搭配热钱包或者观察钱包。通过观察钱包跟冷钱包之间去交互，可以通过冷钱包去签名这笔交易，然后通过观察钱包扫码的方式将这笔交易提交到链上。
 
那么使用冷钱包的话需要注意两点，一是助记词的备份。因为冷钱包也是需要备份助力词，一般的话硬件钱包都会配一个助力词卡片，或者买一个助力词板，然后放在保险柜里，相对来说是一个比较安全的方式。二是配套钱包的使用，如果你使用冷钱包时想去进行一些DeFi操作，或者去签名一些交易，需要保证配合冷钱包的热钱包是一个正规或者官方的钱包。如果配套钱包出问题的话，也是会带来风险。
 
最后考虑到冷钱包是完全离线的状态，可能没办法完全解析出来你要签名的交易信息，有时候甚至显示的可能是一些看不懂的16进制字符串。那么在这种情况下，我建议最好不要去签这种交易，也就是拒绝盲签。
 
【世链财经第三问】
 
世链集团运营负责人Richard：我们知道，中心化钱包存资产，去中心化钱包存私钥，如何防止私钥泄露与丢失至关重要，您认为用户该如何保存私钥最安全？
 
TokenPocket联合创始人&CTO陈总：我举一些反例，目前我们钱包最经常遇到的情况就是，用户将助记词和私钥截图放在手机相册里。但其实很多APP都有相册读取权限，所以保存在手机里就意味着你将这张图分享给了手机里的大部分软件。当然不同的系统是有不同的权限，IOS可能限制会高一点。
 
另外还有一些情况是，用户用手机复制助记词私钥被其他APP读取粘贴板，用户将助记词私钥写在纸上遗失了，甚至有用户让朋友去帮忙创建钱包，然后把私钥再给到他，导致私钥已经是泄露状态。这从目前被侦破的盗币案例来看也是这样，有很大一部分是被身边的朋友盗取。还有一些钓鱼网站骗用户输入助记词和私钥，或者是海外telegram上面假扮客服骗取助记词和私钥。要注意，不管是TP官方，还是其他官方，任何人都不会要你的私钥和助记词。
 
以上主要是说我们钱包用户遇到的一些情况，下面我再介绍一下如何去保存私钥和助记词。首先是我自己的钱包，我会分为常用和不常用两种，将所有资料都存在1password这种专门存储重要信息的软件，然后我会去做分段的复制加密，把我的助记词分成几段，存在不同的地方。
 
除此之外，我也会买一个助记词版，如果家里有保险箱，可以将助记词板放到保险箱里，是相对比较安全的保管方式。如果有不用的手机，也可以作为一个冷钱包来使用。或者你懂技术多一点的话，也可以去做一些加密存储，当然大部分是没有必要的，用之前的方式也足够了。
 
现在市面上已经有一些智能钱包，还有多签钱包。智能钱包有一些社交的恢复机制确实挺好用，但是成本可能会会大一些。如果你的资产确实很大，而且需要共同去管理的话，我觉得多签钱包也是一个很好的方式。比如你家里有三个人，可以做一个三二的多签钱包，每个人管一个私钥，也就是三个人其中有两个人的私钥才能去管理这个资产，那如果其中有一个人的私钥丢了，也是可以避免资产损失。
 
【世链财经第四问】
 
世链集团运营负责人Richard：除此之外，还有很多不法分子通过假空投、假APP、钓鱼网站方式骗取钱包私钥，您认为用户该如何防骗？
 
TokenPocket联合创始人&CTO陈总：其实假空投、假APP、钓鱼网站正好是三种类型的盗币方式。首先是假空投，一般都是骗取你去approve也是一种合约问题。其次是假APP，从来源上直接把手机钱包做成假的，然后让用户进入钱包直接被盗。最后是钓鱼网站，一般也是会有approve，甚至是可让你去输入私钥。我觉得最核心的问题就是私钥这件事，除了你放钱包里，任何地方都不应该去输入私钥和助记词。
 
尤其是假APP的问题，甚至有段时间百度搜索出现的比较知名的钱包，像TP、im token或者说其他钱包，连百度标志的官网都不是真正的官网。所以说这个事情很严重，大家还是要从多方去了解官网信息。然后假空投的话，如果是approve的情况下，其实现在很多钱包都有提示，包括像TP，你去授权一些东西的时候，它会很清晰的告诉你，你正在做一个什么样的操作。一般正常来说，空投肯定不会让你去做签名操作的，一般可能输一个地址就可以了。如果是说让你去签名，或者去商店就都是假的。
 
正好今天还遇到一件事，无聊猿官方的Instagram官方账号被盗了，然后发了一个钓鱼网站。很多无聊猿的大户以为是官方肯定不会出问题，结果就被盗了，好像被盗了一百多只猴子。所以即使是官方，不管是邮箱或者任何渠道，我觉得大家也都要去警惕，不要轻易去相信。
 
【世链财经第五问】
 
世链集团运营负责人Richard：TokenPocket作为全球领先的多链自托管去中心化钱包，您认为TokenPocket在钱包安全性上有哪些比较好的措施和手段？
 
TokenPocket联合创始人&CTO陈总：我觉得最核心的一点就是，TP在一些敏感操作上会有强提醒，包括approve，转账，授权，签名之类的敏感操作。目前很大一部分用户被盗其实都是在approve这一块，但即使是有强提醒，还是会有一些用户不顾提醒，然后去授权一些东西，我觉得这是很头疼的事情。
 
除了强提醒，我们还有一个举报机制。当我们收到举报后会去审核，如果发现确实有问题的，我们会拉黑处理。一般情况下，我们是根据举报程度有不同的措施，最严重的话就是完全访问不了网页。此外，我们也会遇到一些用户给合约转账，那么大部分情况下，合约其实是没办法把币取出来的，所以我们在转账页面会有一个检测，提示用户转账的地址是个合约，可能会出问题。
 
作为钱包的话，我们有冷钱包，硬件钱包，观察钱包，插件钱包等不同类型的钱，可以满足不同安全需求的用户。比如不是经常操作的用户，可以用冷钱包；想要观察资产变化和大V动向，可以用观察钱包，不需要导入私钥。我们今年年初和去年年底推出了硬件钱包，适合不经常操作，然后资产比较多的用户，会选择硬件钱包这样的方式。
 
【世链财经第六问】
 
世链集团运营负责人Richard：Tokenpocket与一般去中心化钱包的区别是什么？它有哪些主要功能？
 
TokenPocket联合创始人&CTO陈总：因为TP初创团队都是做技术的，所以在设计还有开发钱包的时候，可能会更加开放一些。TP钱包是最早支持这种自定义的EVM，自定义波卡的钱包。而且我们钱包对一些开发者是比较友好的，TP会支持比较多的开发协议，包括自己也有一套这种协议，同时支持Mobile 的SDK，就是手机的APP也可以通过换取TP钱包来进行一些授权，
 
另外我们钱包现在也支持像ERC20、NFT还有一些DeFi的信息，此外token价格更新也是比较及时的，包括各个EVM的链。而且我们现在也做了聚合交易，包括跨链和本链的聚合。TP最早其实也支持冷钱包，观察钱包，包括刚才说到的一些安全方面的措施。
 
【世链财经第七问】
 
世链集团运营负责人Richard：刚才陈总也讲到了无聊