最近由于各种平台的风险,比较多人开始讨论cold wallet
当然如果能买hardware wallet是比较好,但不一定每个人愿意负担那个成本
实际上免费方案是有足够强的选择,依照使用的方式,可以达到冷储存的效果
只是使用上必须要自己具备一些知识
我在这篇只针对BTC的钱包Electrum简介与教学,其他钱包或是币种给有意愿的人分享
以下几个大分类展开来谈
一) 什么是Electrum
Electrum是2011年诞生的BTC专用钱包,注重速度、轻量、安全性
支援跨装置(no iOS ver)、2fa认证、lightning network
基于安全性,已经不支援win7
二) Electrum不是被hack过吗?
3.3.4版本的时候,曾经发生钓鱼攻击事件,目前4.2.2已经修正这类问题的漏洞
下方的教学会告诉大家怎样在后续避免这类情况
除了钓鱼攻击之外,Electrum生成的private key存在本地
除非你的电脑本身已经被攻破,不然Electrum钱包的安全度可以接近硬件冷钱包
只要保护好seed phrase,就可以保护好你的钱包
三) 什么是seed phrase
当你把钱包移除、在新的装置要复旧钱包的时候,你需要seed phrase
换句话说,只要有seed phrase,谁都可以使用你的钱包
保护seed phrase就是保护冷储存钱包最重要的任务
既不能让人轻易取得,也不能让自己轻易遗失
遗失seed phrase跟被盗取的风险相当
关于seed phrase跟private key、public key之间的差异、原理这里暂时不谈
本篇以实用性教学为主
大多数的seed phrase都符合Bitcoin标准BIP39字典
但是既然有标准字典,就有人可能会去尝试暴力破解 (尽管机率是天文数字的低)
Electrum可以额外加入custom words,这会让暴力破解的难度再拉高到接近无限大
这是Electrum的好处之一
以下大致说明安装与使用的要点;
一) 重要提醒
最重要的事情放在开头讲,后面会说怎么做:
0. 请确保你的电脑没有被hack,如果你的电脑已经被攻破,后面都是枉然
1. 钱包建立好之后,一定要抹除一次,尝试用seed phrase复旧成功
2. 传资金进去的时候,一定要先传一笔小额的,确认成功了,再传大额的
3. 确认过seed phrase可以复旧、也确认币传了进去之后,建议移除钱包(保留app)
把钱包移除了,才能达到真正的冷储存 (完全offline)
4. 除了google play下载之外,桌面版"一定"只能从官方网站下载
5. 桌面板下载之后"一定"要用签章验证 (后面会说明)
二) 验证工具:GPG4win
在下载Electrum之前,你会先需要加密、解密、验证工具 - GPG4win
这是给windows用的免费版本PGP工具
https://www.gpg4win.org/
GPG4win的延伸应用很广泛,可以自行生成各种加密放在随身碟
文件、档案、或是互相有pub key的两造之间可以传送只有对方能解开的加密讯息
可以用来藏匿各种机敏资料、分散放置key和加密讯息
制作假key和假的加密资料作为decoy掩护真的key和真的资料等等
这里暂时只是用来验证Electrum的安装档
安装好之后,会跑出两个东西:GPA、Kleopatra
主要使用是后者,开启Kleopatra之后,先建立一个自己的金钥
之后要用自己的金钥去信任Electrum的pub key来对electrum的安装档进行验证
三) 下载与验证Electrum
这里以win版本来举例,其他版本的说明在网站上有
https://electrum.org/
首先到download页面去下载ThomasV的public key
https://raw.githubusercontent.com/spesmilo/electrum/master/pubkeys/ThomasV.asc
开头的几个位数是 mQINBE34z9wBEACT31,请确认下载的key没有被变造
如果点下去不是下载,而是打开了key内文的话,可以回头在连结上按右键另存连结
打开GPG4win的Kleopatra,点import,选ThomasV.asc
你会成功汇入一个Thomas Voegtlin Key
确认无误之后,右键点选[保证],用你自己的金钥去认证这个key没有错误
回到Electrum的download page,下载windows installer和右方的signatures
你会得到Electrum-4.2.2-setup.exe,以及Electrum-4.2.2-setup.exe.asc
回到Kleopatra,点选[解密/检查],选择刚刚下载的exe安装档
如果验证成功,你会看到"签章合法,且凭证可信任。"
以后所有的安装,包括版本更新,都要从官方网站直接下载
即使是程式本身跳出了任何的升级通知,也必须要从上面这个流程去安装新版
即使程式跳出一个更新安装的按钮,也要从官网下载、验证、安装
即使程式跳出一个更新安装的按钮,也要从官网下载、验证、安装
即使程式跳出一个更新安装的按钮,也要从官网下载、验证、安装
所以Kleopatra建议要留着,这样下次只需要下载安装档和signature就可以验证
四) 开始使用Electrum
点开Electrum之,在Wallet输入你想创造的wallet名字,点Next
可以设立standard、2fa、multi sig三个种类 (只有standard支援LN)
============ 2fa说明 不用2fa的人可以跳过 ============
2fa的原理是multisig,其中一份key给第三方TrustedCoin
有两个key就可以认证钱包,也就是说TrustedCoin单独不能任意使用你的钱包
而你有两个key可以在未来任何时间把钱包复原成non 2fa
TrustedCoin提供2fa验证,可以用google authenticator汇入
使用的时候他会收取一部分的sats来当作手续费
老实讲是可以不要用啦... 这里只是说明一下机制
======================================================
所以就先以standars来举例
create new seeds之后,你会得到一个页面,写着12个seed words
抄下来,最好不要用电子的方式储存,也不要用键盘用任何方式输入
因为真的不知道自己电脑是不是有被放key logger
如果你10000000%确信电脑很安全,可以考虑用刚刚的GPG4win把key加密
然后把key汇出、跟被加密的seed phrase分开储存到usb去
就算用这类方法,也是一定要保留一份手抄本
右下角有一个options,点开里面有Extend this seed with custom words
这就是早前提到的"额外的custom words",不用也没关系,我个人建议用
下一步就会要你输入seed extension,记得也要自己抄好
再下一步会要你confirm seed phrase,可以设定password
(如果不删除钱包,每次打开会问password,传送币出去的时候也会问)
顺利完成之后就会进入到主接口
五) 删除钱包并复旧
把刚刚设定好的钱包从Electrum里面彻底删除
重新打开Electrum,选择Create New Wallet -> Standard -> I already have a seed
用Seed复原钱包,成功之后,你的钱包就可以正式开始使用了
六) 接收和传送
新的钱包点开Addresses的分页,就会已经默认了将近20个receiving address
这每个都可以用,可以自己挑几个去edit label设定给交易所汇出白名单
如果在receive分页,点选New Address,会生成新的address到addresses分页去
有一种见解是收币尽量不要重复使用address,避免被追踪身分
我个人是觉得我也没那么土豪,一定程度上重复使用是无伤大雅
在addresses点地址、右键Details,可以生成QR Code截图下来以后给别人扫
至于传送,在send页面要输入对方的address,也可以扫别人的QR code
自己想要保存的币传输到自己的Electrum钱包之后
理想情况是把钱包给删除 (必须先确认是否能够从seed phrase复旧!不然就永远失去币)
如果觉得自己电脑很够安全、密码也很安全、不跟别的密码共用重复的话
是也可以就这样存放著,尽管在冷储存的安全性来说比较不建议
也可以尝试看看手机能不能顺利用seed phrase复旧钱包
如果手机跟电脑都可以成功复旧,那就可以比较安心删除钱包
结语
我只介绍了只能用来存BTC的Electrum,其他的钱包选择、别的币种的钱包都还有很多种
这里就不一一列举,只作为抛砖引玉,有兴趣补上的人再补上别的钱包吧
冷钱包的重点在于实质掌控自己的财产,不依赖交易所、不依赖存币平台
实际使用了冷钱包,对于crypto的理解也会比较深、比较知道机制
也比较容易理解crypto的基本精神trustless
我个人使用Trezor硬件钱包搭配Electrum混合使用
虽然Electrum的接口比较阳春、手机版的UI有点傻(有的地方没有返回上一步骤...)
但是活了11年、除了phishing attack之外没有被攻破的老字号,还是有他的安全性
可能用的人会觉得这些步骤也太麻烦,安装前还要验证
但这是由自己掌控自己的资产,去除所有的风险因子是很重要的事情
Don't trust, verify. Your key, your coin.