基于区块链技术的 Web3 正在驱动下一代技术革命,越来越多的人开始参与到这场加密浪潮中,但 Web3 与 Web2 是两个截然不同的世界。Web3 世界是一个充满着各种各样的机遇以及危险的黑暗森林。身处 Web3 世界中,我们会目睹许多人一夜暴富实现财富自由以及倾家荡产难以翻身,会感受到一个极具创新且节奏变化极快的行业。而钱包则是进入 Web3 世界的入口以及通行证,了解钱包不仅可以帮助你在 Web3 世界中自由畅行,还可以帮助你在这个黑暗森林中更好的保护好你的资产安全。
本篇研报由多位作者共同编写,在此感谢以下作者的辛苦付出:菠菜菠菜, Amber Yang, Patrick, Robert Mao,Roykay@MVP,Pan,Michael,Yan。
除此之外,DJ Qian, Raymond Qu,李龍,James XY,Charlie | Jomo,Karry,PeterYin,Calvin 对本篇研报提供了指导与支持。
感谢各位 DAO Member 的倾力协助!
一.钱包:Web2 世界通往 Web3 世界的入口
(一)什么是钱包?怎么理解钱包?
(二)钱包产品在 Web3 世界中存在的意义是什么?
(三)如果没有钱包产品的存在,Web3 世界会变成什么样?
二.钱包演变史:从账本到公链服务平台
(一)钱包 1.0 时代 — 记账时代(2009–2013 年)
(二)钱包 2.0 时代 — 智能合约时代(2014–2018)
(三)钱包 3.0 时代 — 多场景时代(2018- 至今)
三.简单理解密码学:钱包生成的艺术
(一)钱包是怎么生成的?怎么”登入”钱包?
(二)私钥可以被暴力破解吗?
(三)私钥那么难记,有什么解决方案吗?
四.加密世界的通行工具:钱包可以做什么?
(一)钱包实现了对资产的可视化和私钥管理
(二)钱包实现了与区块链应用的交互
(三)钱包实现了身份确权新范式
五.保障资产安全:如何选择钱包?
(一)托管钱包与非托管钱包 — 私钥是否掌握在自己手中?
(二)冷钱包与热钱包 — 你的私钥真的安全吗?
(三)为什么最不安全的 Centralized 交易平台钱包仍然最多人使用?
(四)加密世界雷曼时刻 — 如何保障资产安全?
六.黑暗森林:钱包骗局大揭秘!
(一)资产被直接转走? — 授权钓鱼骗局
(二)钱包地址被替换? — 剪贴板病毒陷阱
(三)签名也能被盗? — eth_sign 签名骗局
(四)天上掉馅饼? — NFT 空投骗局
(五)钱包里捡钱? — 故意泄露私钥骗局
七.未来展望 — 钱包未来的发展趋势
钱包(Crypto Wallet)常称加密钱包、数字钱包或是电子钱包。为什么说钱包是 Web3 世界的入口呢?我们不能用传统钱包的认知去理解 Web3 的钱包。钱包在 Web3 世界中不仅仅承担着传统意义上管理资产的功能,它还是一个在 Web3 世界中通行的必备工具,承载着人类与区块链进行交互的使命。可以说如果你没有钱包,就像你没有健康码哪都去不了一样,无法踏入 Web3 的世界。
对于首次接触区块链的用户而言,我们可以先从非严格定义的角度将钱包类比成“支付宝”。在支付宝 APP 上,你可以进行支付转账查看资产等操作处理,也可以使用支付宝登录访问第三方 APP 或者网站,甚至可以交友聊天。在 Web3 世界的钱包中,亦具备了类似的功能和服务,但与支付宝又有着很大的差别,比如:
钱包产品的出现在 Web3 世界中有着不可替代的意义,即降低了人们使用钱包的门槛使得越来越多的人可以参与到区块链的世界中。在比特币诞生之初,使用钱包的门槛很高。那时候并没有现在市面上各种各样的钱包产品,最初的钱包形态十分简陋甚至需要同步好几天下载整个比特币账本才可以运行,当时只有少数极客在电脑上操作才可以使用钱包。
随着比特币的发展,在 2011 年 6 月 29 日,比特币支付处理商 BitPay 推出了第一个用于智能手机的比特币电子钱包。自此钱包开始进入了移动端时代,人们不再需要学习复杂的电脑知识和运行数据量庞大的区块链节点才可以使用钱包。这是钱包迈向大众历史性的一步。钱包产品也在不断的迭代和降低门槛中吸引了越来越多用户进入到区块链的世界中,这会给 Web3 世界带来什么呢?
根据 2022 年的调查,全世界甚至有 17 亿人没有银行账户,这群人被世界金融体系排除在外。而钱包可以让这群人拥有区块链版的“银行账户”并享受无准入的金融服务。钱包不仅仅赋予了人人都可以享受金融服务的平等,随着钱包使用门槛的越来越低,意味着进入 Web3 世界的人就越来越多。这就会给 Web3 世界带来更深的流动性以及更多的用户,Web3 世界里的生态就会越来越繁荣,这将会是一个正向循环。
让我们回顾一下电脑的发展史,1946 年 2 月 14 日世界上第一台电子计算机诞生于美国的宾夕法尼亚大学。这台计算机被称为“肯尼亚克”,它被发明出来的目的是为了制造导弹的弹道。我们可以发现电脑最初的形态是极其庞大且复杂的,只有极少部分人才可以使用。随着时代的不断发展,直到 1974 年 12 月,电脑爱好者爱德华.罗伯茨发布了自己制作的装配有 8080 处理器的计算机“牛郎星”。这也是世界上第一台装配有微处理器的计算机,从此掀开了个人电脑的序幕。
电脑从只有极少数人可以使用降低到个人也可以使用电脑的门槛,但这期间也经历了很长一段时间的发展。随着硬件设备和电脑操作系统的不断迭代更新,从极少数人到现在老百姓都可以轻松使用电脑。门槛的降低带来了用户的爆发式增长也带来了生态的爆发,社交平台、电脑游戏、办公应用等等电脑应用的诞生也改变了人类的生活方式。
想象一下,如果现在的电脑和以前一样,体积庞大、操作门槛高、价格昂贵,还会有现在这么丰富的生态吗?在 Web3 世界也是如此,如果不能将钱包的门槛降低到人人都可以轻松使用的程度,Web3 就很难大众化。即便创新应用层出不穷,没有足够的用户量去支撑也很难存活下去。可以说如果没有钱包产品的存在来降低使用门槛,Web3 世界发展的基石就不稳固。Web3 世界需要更多的用户量才能带来积极的发展,这也是钱包产品存在的一个重要意义。
钱包的历史最早追溯到比特币诞生之初,那时的区块链仅仅只是一个分布式账本,但随着区块链的发展,钱包也经历了几个更新迭代的时期。
2008 年,中本聪发布了一个引起全世界金融科技革命的白皮书:《比特币:一种点对点电子货币系统》。2009 年,世界上第一个加密资产比特币主网上线,世界上第一个区块链系统正式开始运作。随着比特币主网上线,中本聪也同时开发了第一款比特币钱包,当时的钱包只有简单的转账和记账功能。
2014 年,Vitalik Buterin也就是我们俗称的 V 神发布了一个开启区块链 2.0 时代的白皮书:《以太坊:下一代智能合约和 Decentralized 应用平台》,区块链正式踏入智能合约时代。与比特币的分布式账本不同,在以太坊上除了转账和记账外还可以通过编写智能合约来搭建 Decentralized 应用。那么智能合约是什么呢?
智能合约可以理解为是一种在区块链上只要满足条件就会自动运行的程序,一旦部署就会一直运行在区块链上并且不可篡改。由于智能合约的诞生,以太坊吸引了大量的开发者,给区块链带来了许多颠覆性的创新。如:NFT、区块链上的 Decentralized 金融、元宇宙游戏。同时也带来了一段比较混沌的时期,由于智能合约允许每个人都可以发行自己的 Token,并且当时许多人对于区块链的认知不足,所以各种空气币横空出世收割了许多人的口袋,这也使得人们对于区块链的印象大打折扣。
随着智能合约的出现,钱包也完成了一次迭代升级。钱包的作用也从最初的转账和记账升级成了可以与智能合约进行交互,钱包踏入了 2.0 时代。
随着以太坊和智能合约的诞生,越来越多的人开始加入到区块链的世界中。但这时候人们发现了以太坊存在着一个问题 — — 拥堵。随着用户数量越来越多,但是以太坊的处理速度并没有变,这就导致了高昂的 Gas 费和漫长的等待时间。Gas 费可以简单理解为你付给 Miner 的小费,因为区块链上的交易都是需要 Miner 去记账的,你需要支付给 Miner 费用 Miner 才会帮你处理交易。如果一段时间有大量的交易开始同时堆积,那么就会发生链上拥堵,这时候谁给 Miner 钱多 Miner 就优先处理谁的交易。这甚至会出现一笔交易需要支付几百甚至上千美元的 Gas 费或长达半小时以上的处理时间,这是普通用户难以接受的。
这个时期许多号称高性能、高扩展性的新公链以及为了解决以太坊拥堵问题的第二层区块链(Layer2)开始不断诞生。开启了一场多链生态竞争时代,基本每条链都有自己的专用钱包。而钱包也踏入了 3.0 时代也就是多场景时代,功能单一的链专属钱包日渐式微。从消费者角度来说,没有人愿意为每一种链都安装一种钱包,这反而增加了钱包管理的成本。
钱包开始成为一个公链服务平台,单链很显然已经无法满足用户的需求。钱包开始支持多条区块链并具备同时管理多个链上不同资产的能力,同时也在用户体验上开始不断发展。现如今,人们已经可以在钱包中实现资产跨链、资产交易、智能合约交互、社交、资讯、查看行情等等功能。
在了解完了钱包的意义以及发展史后,你是否会好奇钱包产生的机制是什么?钱包不像传统注册账户那样需要身份信息且是匿名的,又可以真正掌握自己的资产,钱包是怎么做到的呢?答案就在于密码学。
如果你是一个小白,当你看到一些密码学名词比如:哈希函数、椭圆曲线加密算法、私钥公钥、非对称加密等的时候,你可能就看不下去要被劝退了。此处不会对密码学的生涩难懂的知识进行科普,而是简单理解钱包关键的生成原理。
首先有一个十分关键的密码学名词是必须牢记的,那就是私钥(Private Key),可以将私钥理解为钱包的账户密码。当我们生成一个钱包的时候其实就是通过一系列算法生成了一个私钥,并且通过这个私钥生成了一个公钥并组成密钥对和一个钱包地址。由于这个过程是单向的,所以持有私钥就等于拥有钱包的控制权。
如果说私钥=钱包的账户密码,那么钱包地址就是别人要给你转账时需要的账户。你可以将钱包地址公开,但是你不可以将私钥公开出去。因为私钥=钱包的控制权,所以私钥的保管尤其重要。你可以在任何地方使用私钥恢复你的钱包,与传统的账户密码不同,钱包只需要输入私钥就可以“登入”钱包。
钱包只靠一个私钥就可以“登入”,不像传统的需要账户和密码那样。那么可能你会产生一个疑问:“如果别人暴力破解私钥登入了其他人的钱包怎么办?” 放心,如果这个方式可行,比特币可能早就归零了。比特币的私钥是由 256 位的二进制数组成的(就是 0101010101 这种),那么破解一个比特币地址的私钥的概率为 2 的 256 次方分之一。
即便假设一个计算机每秒可以算出 900 万种私钥的可能性,破解一个地址的私钥甚至都需要上千年的时间,所以以人类目前的算力水平暴力破解私钥在目前几乎是不可能的事情。即便是量子计算机出现,由于算法不同以及抗量子攻击技术的出现,我们目前无需担心私钥的安全。
现在我们理解了私钥=钱包的控制权,但是私钥看起来感觉像是一串毫无规律的乱码。哪怕是写在纸上都可能会出错,更别说用脑子去记了。那么为了解决这个问题,我们又引入了一个新的概念 — 助记词。
助记词通常是由 12 或 24 个英文单词组成。助记词与钱包私钥是映射关系,可以理解为是私钥的另外一种表现形式,比私钥更容易记录,输入助记词也同样可以“登入”钱包。所以助记词和私钥一样都是需要保管好不让其他人知道的,否则其他人就可以轻易的从你的钱包中取走你的资产。
当你通过钱包在 Web3 世界中探索体验诸多的区块链相关应用和网站的过程中,你会发现在一条公链上每个应用都是使用钱包“登入”。这与我们传统意义上的“登入”不同,在 Web2 世界中,每个应用之间的账户不全是互通的。举个例子,我们不能用 QQ 飞车的账户去登入跑跑卡丁车,也不能用微信账户去登入 Twitter,不存在一个统一的账户密码去登入所有应用。但在 Web3 的世界中,所有应用都是统一使用钱包去进行“登入”。我们可以看到“登录”钱包时显示的不是“Login with Wallet”,取而代之的是“Connect Wallet”。而钱包是你在 Web3 世界中的唯一通行证。
钱包作为加密世界的通行工具,钱包的作用不仅仅是转账收款,钱包还实现了对私钥的存储和管理、加密资产的可视化、身份验证、智能合约交互甚至是社交等功能。那我们应该怎么去理解这些概念并进行实际操作呢?
相信许多人进入 Web3 世界做的第一件事情就是购买加密资产。那么钱包不仅是一个承载这些资产的载体,还做到了对加密资产的可视化和对私钥的管理,本质上我们所有的加密资产都只是区块链上的一串数据。所以当你在钱包上进行资产的处理(收取、发送、支付等)时,钱包实质上只是在通过对私钥的管理,实现了对加密资产数据的可视化处置。
在下图中我们可以看到在Metamask钱包上展示给用户的界面:
①是钱包地址,就是你收款的账户,想要往里面转加密资产的话需要的就是这个地址
②是常用资产操作快捷按钮:Receive(收款)、Buy(购买)、Send(发送)、Swap(互换),钱包最基础的功能都在这里
③是资产列表,你的所有加密资产都会显示在这里,你也可以点击某个资产去浏览交易明细
所以当我们生成了一个钱包之后,我们可以在交易平台中提现资产输入钱包地址将资产转到钱包中或者直接在钱包中使用第三方服务进行购买加密资产。之后就可以在钱包中看到并管理加密资产,最基础的转账和兑换其他加密资产的功能都在界面上可以随时使用了。恭喜你学会了钱包最基础的用法。
当然学会钱包最基础的用法还远远不够,钱包在 Web3 世界中的精髓在于体验区块链上的应用,我们通常称作为 DAPP,跟我们平时使用的手机 APP 有什么区别呢?简单区别的话就是 APP 是运行在 Centralized 服务器上的程序,可以随时停止服务和修改。而 DAPP 是运行在 Decentralized 的区块链上的应用,通常由智能合约组成,区块链不停止运行 DAPP 就不会停止运行。
钱包与区块链进行交互的方式有哪些?
钱包与 DAPP 的交互通常分为两种,身份验证(签名)和智能合约交互。签名授权是链下交互不需要花 Gas 费,而智能合约交互是链上交互需要花费 Gas 费。那什么样的场景下会使用不同的交互方式呢?
举个例子:比如你想在Opensea(目前最大的 NFT 交易市场)上卖出你的 NFT,那么 Opensea 就会向你请求一笔签名(身份验证)来证明你是私钥的持有者,发送之后你的 NFT 就会被挂在市场上售卖。因为你的 NFT 其实还在你的钱包里面,没有涉及到资产的转移 — — 也就是区块链上的数据变动,所以这是不需要向 Miner 支付 Gas 费的。那么如果在这期间有一个人看中了你的 NFT 并从 Opensea 上下单支付了,除了 NFT 的价格之外买方还需要支付一笔 Gas 费,为什么?因为买方购买你挂单的 NFT 涉及到了从你的钱包转移到了买方的钱包这一个步骤,这其实是对智能合约的一个交互,Miner 帮助买方实现了 NFT 的资产转移,所以支付了一笔 Gas 费给 Miner,这样是不是就能理解了?
做一个实验,如果你正随身携带着你传统意义上的钱包,请把它拿出来看看,你的钱包里都有什么? 也许是现金,或者一些信用卡或借记卡,但你也可能有你的身份证、驾驶执照或保险卡在那里! 通常情况下,我们传统意义上的钱包不仅用来装钱、付款,也用来装我们的身份文件。
那么在 Web3 世界中,钱包不仅可以用来存放你的加密货币,钱包同样也可以用来“装身份文件“,并实现对身份的确权,为什么说钱包实现了身份确权的新范式呢?我们首先需要理解传统的身份确权与 Web3 世界中的身份确权有什么区别?
在现实生活中,我们的身份普遍都是由中心化权威机构赋予的,我们的居民身份证、护照等等身份证明都是由国家公权力机构赋予我们的,而往往我们在社会中都需要依赖这些“可核验的存在证明”来进行社会活动,如:医疗、金融服务、教育、出行等等,并且我们的身份信息往往都是存储在中心化的数据库中,这也使得我们的信息存在着泄露和篡改的风险。
而在 Web3 世界中,去中心化的身份不仅可以让用户拥有身份的所有权、控制权以及管理权,还可以摆脱对中心化权威机构身份确权的依赖,利用区块链技术来实现对身份的确权。由于在 Web3 世界中所有人都是匿名的,而匿名也往往会导致一些问题例如女巫攻击,所以链上的身份系统给 Web3 世界带来了一种全新的”社会关系“。
存在于区块链上的身份形式不局限于传统意义上的身份信息,链上的身份可以是对现实世界身份的认证,也可以是由链上行为构成的身份认证比如在 DAO 中贡献被赋予的身份等等,所有身份验证只需要依靠钱包就可以完成,这种身份系统给钱包带来更多的想象空间。
以太坊创始人 Vitalik 提出的 SBT(灵魂绑定代币 Soul Bound Token)在这一轮数字身份的发展浪潮中屡屡被提及,也有了很多不同的实现。 SBT 采用了不可转移的 NFT 作为载体来实现了一定程度上对于链上的身份管理。 但目前为止 SBT 还缺乏统一的规范和实际使用的协议规范,其发展前景还有待观察。
ArcBlock 的 DID Wallet是市场上第一个把区块链数字资产钱包和 DID 数字身份钱包结合的产品,ArcBlock 的 DID Wallet 也是一个支持 W3C DID (一种去中心化身份标准)规范的数字身份钱包,并同时支持 Ethereum,各种 Ethereum 兼容链和 Layer2,Solona 链以及 ArcBlock 链。 **DID Wallet 能支持各条链上的 NFT 规范,因此采用 NFT 来实现的 SBT 等也能支持。** 大部分能支持以太坊的 NFT 的数字资产钱包也都能管理基于 NFT 的 SBT 实现的用户身份,以及各种 “DID 赛道”项目基于 NFT 等实现的“身份”。
目前在数字身份领域获得最多支持的是 W3C 刚刚通过成为正式建议的 W3C DID。W3C DID 成为 W3C Recommendation 是一个里程碑式的标志,代表着推动其发展的 W3C CCG(Credentials Community Group ) 所有成员和贡献者的胜利,但这更是用户的胜利。DID 是第一个成为 W3C 标准的自主身份(SSI,Self-Soverign Identity) 协议,这甚至可以说这是人民的胜利。
W3C 的 DID Core 规范基础定义了“去中心化标识符(Decentralized Identifier)”的标准格式基于 DID 之上的可验证凭证(Verifiable Credentials)。
格式看起来很像我们现在已经熟悉而常见的以 https:// 开头的 web 网址,它分为三个部分:
不要小看这样一个简单的各格式性规范,没有这个规范的各种服务的就会各自为政, 比如 Facebook 上一个用户的最基础的标识符就是个顺序数字,同样的数字可能也会出现其他的系统里往往代表的是一个完全不同的东西。比如我的 Facebook 的用户 ID 是 1314596489,但这个 ID 在亚马逊可能代表一本书,在 Instagram 可能代表一张照片。 有了 DID 规范,就可以清晰定义全球唯一的标识符,无论这个对象是在那个系统里,谁来开发实现都可以不混淆。
W3C 的 DID 还定义了 DID Document 的概念,这是一个极具扩展性的设计,这种设计不但让 DID 和 URI (Universal Resource Identifier)统一了起来,而且吸取了不少过去互联网协议里的经验和教训。
可验证凭证是一种包含了数字签名来实现可验证的数据格式规范。其实这个概念也非常简单,就是说这些数据的格式里包含了一些验证信息使其可以高效率的验证,并不能被篡改和破坏。这里使用的签名和验证技术已经在众多的互联网应用中普遍使用,是很成熟的技术和实践,这里设计规范的目的就是为了能让这些数据格式标准化,这样不同的系统、不同的实现都能有效地互操作。
除 W3C DID 规范之外,在区块链和 Web3 行业在此东风之下掀起了一场 DID 的创新,甚至有人称其为 DID 赛道。 需要注意这里的很多 DID 和 W3C DID 可能有着天壤之别,有些理念甚至是相对立的。 在目前判断何种理念会取得胜利还为时尚早,目前的”DID 赛道“如同当年”公链赛道” 或者“ICO 赛道”一样鱼龙混杂, 而 W3C DID 更为学术和工业标准路线,相对严谨的同时进展速度稍慢和产品多样性不足。但随着去中心化身份的发展,相信钱包作为 Web3 世界中身份的载体在未来会带来一场身份确权新范式。
钱包的类型可谓是多种多样,要细分的话可以按照是否触网、私钥的归属、网络 Decentralized 程度、私钥的生成方式以及钱包的账户类型等进行区分。
如果只围绕着资产安全,我们该如何选择钱包呢?
为什么区分托管钱包和非托管钱包很重要?因为这决定了你是否掌握钱包的私钥,换句话说,这决定了钱包是不是真属于你的?如何区分?
围绕着私钥的归属权,目前钱包衍生出了三种类型:托管钱包、混合托管钱包、非托管钱包
钱包的私钥掌握在用户自己手中,用户掌握钱包的所有权。使用门槛较高,安全性最高,需妥善保管钱包私钥 / 助记词,一旦丢失无法找回。可以生成并只通过私钥 / 助记词”登入“的钱包通常可以称为非托管钱包。
钱包的私钥分别掌握在用户以及应用服务商手中。通常是低门槛钱包产品采用的类型,双方掌握私钥并使用如双因素验证(2FA)等技术来确保钱包资产安全。使用门槛较低,丢失可找回,安全性介于托管钱包与非托管钱包之间。
钱包的私钥托管在第三方托管机构手中,可以理解为用户只有钱包的使用权而非所有权。使用门槛较低,钱包可以找回。资产只是一个显示的数字,托管机构可以任意挪用用户资金。Centralized 交易平台钱包便是最常见的托管钱包。
如果你是一个刚刚踏入 Web3 世界的小白,或你喜欢更便捷的用户体验,那么托管钱包或者混合托管钱包比较适合你。因为托管以及混合托管钱包是最贴合 Web2 世界的用户习惯的:使用账户密码登入、不需要保管所谓的私钥或助记词、密码忘记了也可以找回。如果你希望拥有一个安全性更高且完全由你自己掌控的钱包,尤其是有大额资产需要进行存放时,那么非托管钱包就是最好的选择,钱包私钥掌管在自己手里往往是最踏实的。
首先问屏幕面前的你一个问题:私钥在自己手上就绝对安全了吗?我来讲一个真实故事吧,之前有一个黑客组织入侵了美国科洛尼尔管道运输公司网络并索要了比特币作为赎金,最后黑客组织索要赎金成功获得了 75 枚比特币,之后 FBI 居然从黑客的钱包中追回了 63.7 枚比特币。如果不了解事情的吃瓜群众可能会认为:“What!!比特币都能被追回?比特币不是匿名的吗?看来比特币不靠谱就是骗局!”
如果你也这么想,那就大错特错了。FBI 之所以可以从黑客那追回赎金,本质上不是比特币的问题,而是黑客将钱包的控制权也就是私钥存在了接触互联网的电脑上,FBI 黑入了黑客的电脑并拿到了私钥,于是 FBI 轻松的将黑客钱包中的比特币追回。
那么冷钱包和热钱包跟这个故事有什么关系呢?我们来假设一下,如果黑客并没有将私钥存储在接触互联网的电脑上,而是写在了一张纸上,你认为 FBI 还能追回这笔赎金吗?答案当然是不能了,除非 FBI 直接抄了黑客的家拿到那张写有私钥的纸,那么这张纸,其实就属于冷钱包。如何区分冷钱包和热钱包呢?
冷钱包:
钱包私钥不接触互联网,适合大额资金存储,安全性高,可以有效防止私钥泄露。表现形式通常可以为:写在纸上、记在脑子里、硬件钱包产品、从未接触互联网的手机 / 电脑等。
热钱包:
钱包私钥接触互联网,适合进行高频链上操作,便捷性高,存在黑客攻击被盗风险,表现形式通常为:网页 / 插件钱包、手机端钱包、桌面端钱包、Centralized 交易平台钱包等。
Web3 世界是一个黑暗森林,充斥着各种骗局以及陷阱,用户可能在不经意间可能就会损失所有资产,正所谓鸡蛋不能放在一个篮子里,一个 Web3 老司机通常都会拥有多个钱包来分散风险,将大部分资金存储在冷钱包中,少部分资金放在热钱包中方便进行交互。
在了解完托管钱包和热钱包后,你会发现 Centralized 交易平台钱包其实是最不安全的一个钱包类型。可是最不安全的钱包反而是使用人数最多的钱包,导致这一现象的因素在于目前 Centralized 交易平台的不可替代性以及大多数人对钱包知识的不了解。
Centralized 交易平台存在的意义在于给加密世界提供了一个高效率低成本的交易撮合平台,目前这在整个加密世界暂时是无法替代的。虽然目前有运行在链上的 Decentralized 交易平台(DEX),但对于大部分不熟悉钱包操作的用户来说使用门槛较高。而且在 Decentralized 交易平台(DEX)诞生之前,人们想要交易加密资产只能通过 Centralized 交易平台或者场外交易。
而场外交易(OTC)则是效率低且风险极高的一种交易方式。由于加密资产的高波动性、区块确认等待时间以及法律上的不明确。人们在进行场外交易时可能会碰到许多意外情况:付了钱对方跑路、转比特币给对方等待很长时间才能到账、交易过程中价格剧烈波动导致需要重新商议价格、找不到交易对手方、转错帐户等等情况。
Centralized 交易平台的订单簿交易模式则极大的提高了交易效率以及流动性,并且为用户提供了担保的法币出入金服务以及低门槛的钱包账户服务,可以说没有 Centralized 交易平台的存在,加密世界的交易规模不可能会像今天一样庞大。
Centralized 交易平台的便捷性以及低门槛使得其成为了人们心中最佳的交易场所,这也让 Centralized 交易平台吸引了大量用户。使得 Centralized 交易平台钱包成为了使用人数最多的钱包,同时也为 Centralized 交易平台带来了庞大的利润。由于全球对于整个加密世界监管和法律的不完善,在庞大的利益驱动下,Centralized 交易平台挪用用户资金的行为开始泛滥。
由于许多用户都是抱着投机、炒币的心态使用 Centralized 交易平台,许多用户甚至连区块链都不知道是什么。对于加密知识的缺乏使得许多用户意识不到将加密资产存在交易平台是不安全的。其实用户在 Centralized 交易平台钱包中显示的资产都只是一些交易平台给你分配的数字罢了,所有的资产都在 Centralized 交易平台的钱包中,就像传统银行中显示在银行账户中的余额是一个性质。由于许多 Centralized 交易平台随意滥用用户资金的行为,导致 Centralized 交易平台的资金无法 100% 兑付。一旦出现暴雷事件引发挤兑,许多 Centralized 交易平台用户的资金将无法取出造成无法挽回的损失。所以,用户需要谨慎把大量资产存放在 Centralized 交易平台上。
2022 年 11 月注定是载入加密史上的一个月,加密世界正经历着”加密雷曼时刻“带来的巨震。谁能想到曾经登上美国著名杂志《财富》被认为可能是”下一个巴菲特“、全球第二大交易平台 FTX 以及百亿规模加密对冲基金 Alameda Research 的创始人Sam Bankman-Fried(SBF)成为了这场危机的主角。SBF 的商业大厦轰然倒塌,从被捧上神坛的“加密之王“到现在跌落神坛人人喊打,SBF 的净资产从 160 亿美元短短几天缩水至 1 美元,一切似乎都发生的太快几乎不给人反应的时间。
事情的起因还得从 2022 年 11 月 3 日 Coindesk 公布的一份关于 Alameda Research 的财务文件开始。文件显示 Alameda Research 共持有 146 亿美元资产,其中包括36.6 亿美元“已解锁的 FTT”以及 21.6 亿美元的“FTT 抵押品”,2.92 亿美元“未锁定的 SOL”、8.63 亿美元“锁定的 SOL”和 4100 万美元的“SOL 抵押品”。其他提到的代币有 SRM、MAPS、OXY 和 FIDA 等低流动性项目代币,还包括了 1.34 亿美元的现金和等价物以及 20 亿美元的股票投资。而其负债则高达 80 亿美元,其中有 74 亿是美元贷款,问题出在哪?
想必即使是没有财务知识的人也能发现这份财务文件中的一些端倪。即 FTX 的平台代币 FTT 占据了 Alameda Research 的大部分资产,而 Alameda Research 和 FTX 同时都是 SBF 旗下的公司。可以说 Alameda Research 的大部分净资产都是 FTX 凭空”打印“出来的代币,而 Alameda Research 却用这凭空”打印“的代币去抵押贷款了实实在在的美元。通过区块链浏览器的数据查询,可以看到 FTT 是高度集中的,前三名地址就占据了 80% 的总量,一旦抛售在市场上根本毫无流动性可言。而正是这高度集中且没有流动性的 FTT 占据了 Alameda Research 净资产的 88%,一旦 FTT 下跌 Alameda Research 就会面临流动性危机资不抵债。
随着这份 Alameda Research 财务文件的公布,大家开始议论纷纷,同时也引发了市场的担忧。尽管 Alameda Research 出面回应了这份财务文件声称已归还大部分贷款,但由于 SBF 与 Binance 创始人赵长鹏曾经的一些私人恩怨(这里不进行展开),赵长鹏在 2022 年 11 月 6 日宣传将出售账上所有的 FTT,这一举动使得市场上的恐慌情绪开始疯狂蔓延。
尽管 SBF 亲自出面稳定用户情绪,但似乎并未起到作用。FTX 挤兑潮爆发,大量的用户开始不断地从 FTX 中取出资产,72 小时的时间里 FTX 有 60 亿美金的资产被取出。FTT 的价格出现了断崖式下跌,FTX 开始资不抵债并停止接受提现请求,自此 SBF”皇帝的新衣“被彻底戳穿。
就在 FTX 资不抵债停止接受提现请求后,SBF 只能选择向竞争对手赵长鹏出售 FTX,于是赵长鹏开始着手准备收购 FTX 的事务并签署了意向书,一时激发起市场上的激烈讨论。但反转再次来临,赵长鹏宣布放弃收购 FTX,原因是 FTX 资金缺口过大并且伴随着一系列法律问题。于是 FTX 在经过了一系列小插曲和尝试自救的过程后于 2022 年 11 月 11 日宣布破产,FTT 的价格也从月初的 25 美金跌落至 1 美金,而 SBF 商业大厦轰然倒塌的影响才刚刚开始……
此后,FTX 的资金缺口被爆料有 80 亿美元以上,债权人数量甚至可能高达 100 万,整个加密市场也因为 FTX 的暴雷而大受打击。在这场暴雷中,损失最惨重的莫过于信任 FTX 的用户以及相关联的公司了。对于 FTX 用户来说,许多人甚至在这次危机中损失了全部资产,这也给所有加密世界的用户敲响了一个警钟,资产需要掌握在自己手中。Elon Musk 也在 FTX 暴雷后的一场 Twitter Space 中说道:”Not Your Key,Not Your Wallet(不是你的私钥,就不是你的钱包)”。用户需要拥有自己的钱包并将资产存入其中保管,而不是去信任可能那些擅自挪用用户资金的 Centralized 交易平台。
FTX 的暴雷对整个 Web3 行业来说在信心上是很严重的一次打击,这不意味着 Web3 的失败,但这一定是 Centralized 交易平台(CEX)的失败。FTX 的影响还远远未结束,下一个雷会何时爆?没有人知道,但希望 FTX 的倒塌可以给整个行业带来更好的自律,也给所有的 Web3 用户唤起资产安全的意识。
由于区块链的匿名性以及认知门槛较高,许多钱包用户对于钱包安全知识的缺乏以及链上交互逻辑的不了解,导致安全事故频频发生造成了大量资金的损失。并且资金被盗后可追回的可能性微乎其微,可以说加密世界就是一个黑暗森林,要想保护好自己的资产安全必须建立起对钱包安全的认知,以下是一些常见骗局的揭秘。
钱包授权被盗是钱包资产损失案例中最常见的手段。通常被害者是因为点击了不明链接(如空投、领白名单等)且在不知道授权意味着什么的情况下将资产授权给了骗子,导致骗子将受害者钱包中的资产转移走。比较有名的案例之一是周杰伦价值超 300 万的 NFT 无聊猿被盗,原因也是因为授权给了钓鱼网站。如何去理解这个骗局的原理呢?
我们与智能合约的交互中其实是与智能合约中的某一个函数功能进行交互。函数的功能都可以在区块链浏览器中查看,在我们进入了一个钓鱼网站的时候,映入眼帘的可能是一个 Free Mint(免费铸造 NFT)的按钮。当你点击之后你以为你可以免费获取一个 NFT,但其实弹出来的交互界面其实是将你的资产授权给骗子,如果你点击并交互了,你的资产就被盗了。
交互的原理其实是你的钱包会向骗子指定的智能合约的授权(Approve)函数功能传入指定的参数,也就是将你的资产授权给骗子的钱包地址。授权意味着你允许别人可以调用智能合约中的从…转移(transferFrom)函数功能,这样骗子就可以直接将你钱包里面被授权的资产转移走。
剪贴板病毒陷阱是一种难以察觉且无处不在的存在,此类病毒在 Web3 中常用的社交软件 Telegram 上散播比较严重,通常会伪装并隐藏在各种下载的文件当中。一旦下载了带有剪贴板病毒的文件,此病毒就会潜伏在你的电脑当中等待时机。该病毒会自动识别钱包地址的格式,并在你复制粘贴地址后将你本应该粘贴的地址替换成骗子的地址,只要是没有仔细检查钱包地址的人就会中招并损失资产。
eth_sign 骗局,一种利用链下签名授权来盗取钱包资产的钓鱼手段,这种骗局相比于链上授权钓鱼的形式更加难以防范。因为链下签名形式的交互不需要花费任何 gas,这使得人们对于这种交互方式的防范心会降低。
这种骗局的原理是利用了以太坊的一种签名方法 eth_sign,简单的理解就是你写了一个带有你签名的【空白支票】给了骗子,支票上的内容可以由骗子自己编写,骗子就可以拿着带有你签名的支票去银行兑换资产。
下图显示了这种签名方法的格式,eth_sign 签名格式是一串 32byte 的数据,并且 MetaMask 会对 eth_sign 这种签名格式会进行警示,所以识别度还是比较高的。
NFT 空投骗局是一种组合骗局。如果你有一天打开 NFT 交易平台查看你的账户资产时,发现你突然多了一个 NFT,并且还有人出了高价 Offer 想要购买这个 NFT。不了解的人肯定会觉得天上掉馅饼了乐开了花,但如果你接受 Offer,你会发现你无法卖出。
无法卖出的原因是此类 NFT 在编写智能合约的时候将转移(transfer)函数功能取消了,也就是说这个 NFT 是无法交易的。如果此刻你不予理会,那么这个骗局就不会骗到你。但如果你对 Offer 中的金额虎视眈眈,并通过交易平台进入到该 NFT 的官网时,你会发现这其实就是一场授权钓鱼或者签名骗局,只不过空投了 NFT 并给了 Offer 来作为诱饵。
故意泄露助记词 / 私钥骗局是一种利用人们内心贪念的骗局。骗子会故意将自己钱包的助记词 / 私钥泄露到网络上,当你输入助记词 / 私钥进入钱包时你会发现钱包里面存有一定的资产,但没有 Gas 费。如果这时候你将 Gas 费转入钱包的话,你会发现你转入的 Gas 费在到账的瞬间就消失了。因为这类钱包通常会有许许多多个机器人同时监控,一旦检测到 Gas 费转入就会瞬间转走。但即便你有 Gas 费,你也无法将钱包内的资产转移走。
资产无法被转移走的原理是因为此类钱包的资产通常都是被拉黑的资产,就是所谓的进入智能合约黑名单的资产。比如 USDT、USDC 等 Centralized 稳定币。黑名单通常会被用于协助司法机构或惩罚作恶钱包,但不只限于这些 Centralized 稳定币才会存在黑名单。当你看中了钱包中的资产的同时,骗子也看中了你的 Gas 费。
彩蛋:在钱包生成的艺术篇章中的助记词图片便是一个案例,该钱包在波场(Tron)链中有资产,可以输入助记词体验一下,但不要往里面转钱噢!
在这篇文章中,我们可以看到数字钱包正从过去那种属于极客或者加密资产爱好者才会使用的工具,逐渐变成普通用户的移动设备或者浏览器上的常用产品。 这种发展规律其实和当初互联网工具的发展道路是一致的。 而随着钱包和各种应用方式的结合,钱包越来越从一个管理私钥和数字资产的基础工具,变成具有战略意义的 web3 入口。
在著名的 IT 咨询公司 Gartner 的最新的产品成熟度曲线 2022 (Hype Cycle)中,Gartner 的分析师把数字钱包 ( 包含在 Decentralized Idenity 里)归类在期望值峰顶这个位置,并预测在未来的 5–10 年内处于这样的位置。
纵观目前最新的一些钱包产品,我们不难发现现代数字钱包现在一些明显的共同发展趋势:
到目前为止身份钱包和数字资产钱包基本还是属于两类不同的产品, 但是两者走向融合的趋势已经非常明显。 除了在 DID Wallet 产品上我们看到了一个完整结合 DID 的数字身份与区块链数字资产钱包的结合外,大部分负责数字身份的钱包产品都还没有数字资产的功能。然而随着 web3 应用的迅速增加,在应用和用户需求推动下,数字身份功能融入钱包之中是比较自然而然的趋势。
那么是身份钱包快速融入数字资产功能的潜力更大还是数字资产钱包纳入身份管理的可能性更大呢? 我们的判断是后者。数字资产钱包从一开始就以安全性,私密性作为第一要素,用户已经用这些数字资产钱包管理了价值不菲的资产,而数字身份钱包直到现在还基本停留在演示阶段。由于 DID 技术本身还处于早期,如果仅仅是提供数字身份功能,那么意味着这些需求都还没有存在。 对数字资产钱包,开始拥抱市场趋势,在原来的基础上增加对 DID 的支持将相对容易很多。 我们有理由相信,在未来的三到五年内,对数字身份的支持会成为每一个数字资产钱包的基础功能。
用无需密码的钱包连接应用方式来使用 web3 应用已经在现有的加密用户和 web3 用户里蔚然成风,甚至被认为是 web3 区别于过去 web2 的特征之一。 但是不可否认目前加密资产和 web3 相对于互联网的广大用户还只是冰山一角,而用户的习惯是非常难以改变的。 因此我们预测,要在未来让更多的增量用户涌入 web3,很可能会出现一种更友好、更符合用户习惯的新型钱包用户体验。能够兼容并蓄传统的互联网用户,使得 web3 真正成为主流。
我们相信技术和用户习惯并不会走倒退的路线,用户的自主身份、对自己身份数据和资产的自主拥有这些先进的 web3 特性并不会消失。但是也许会出现一种兼容传统的用户密码却又不牺牲去中心特性的设计,最先能推出这种新用户体验的钱包可能会获得迅猛的用户增长,成为未来的王者。
从 Rainbow wallet 开始,现在的很多钱包都是多姿多彩的设计,赢得了用户的青睐。 钱包产品一扫过去沉闷刻板的形象,而变得丰富活泼。 钱包产品也从过去纯粹作为一个工具,变成用户了解自己的资产,甚至展现自己资产的入口。 随着更多的 Decentralized 应用,以及 DID 等开启的 SocialFi 等应用的兴起,钱包也会成为用户进行新型社交活动的起点。
钱包的用户界面丰富和友好的趋势,带来的最大的机会将是让更多的用户能接触到钱包产品,这对整个行业的发展有着重大的意义。
未来的数字钱包会具有更好的安全性,用户不需要什么技术背景,也不需要了解众多的概念和区块链知识,就能在钱包的帮助下,确保自己的身份、数据和数字资产的安全。 我们预测,钱包产品在这个环节会扮演重要的角色, 钱包产品可能不但会成为用户的身份、证书、私钥、资产的管理工具,而且会成为一个重要的验证工具、用户向导和安全看门人。
过去的钱包主要是一种工具特性,钱包仅仅对区块链协议进行解析,让用户确认后使用钱包内的私钥进行签名,但这些安全性需要来自用户自身的安全意识和安全知识。 而在未来新一代钱包,可能成为每个用户的独立安全顾问和专家系统, 能主动帮助用户识别交易中的风险,自动验证交易各方的信息,引导用户做出正确的判断。 在这种情况下,一个 Decentralized 的、完全站在用户角度的钱包会成为用户在 web3 领域里冲浪的最佳安全向导,在这样的向导下, 没有任何技术背景的用户也能确保资产的安全。
当今的一个趋势是钱包日渐开始深度集成 DeFi 协议,甚至为常用的 DeFi 提供原生的界面,使用户有更好的使用体验同时,增加钱包产品的竞争力。 而从 Metamask 于 2022 年 7 发布的数据,在 2022 年其月活用户达到了 3000 万。据报道,通过这些活跃用户对 Decentralized 交易的需求,metamask 在 2021 年的收入超过 2.5 亿美元。
钱包和 DeFi,跨链桥,Decentralized 交易平台的融合能给用户更好的使用体验,减少用户误操作带来的风险。新一代采用钱包为中心节点的跨链桥和 DeFi 有机会使用钱包给用户带来的安全提示和验证能力,在未来使系统能更为安全。
随着新一代区块链对账户抽象的更好支持,钱包也将会同步支持账户抽象后带来的各种特性。不同于今天那些通过智能合约来实现账户抽象的钱包的各种局限性,在未来新一代链这个层级对账户抽象有更好支持。甚至形成规范和标准之后, 钱包将能给用户带来更好,更安全的体验。
另外多方安全计算技术的发展,可能也会彻底改变钱包的架构。 新一代的钱包可能会把多方安全计算作为标准配置支持。 用户在私钥安全的基础上可能不需要担心密钥的丢失,从而兼具托管钱包和非托管钱包的优势。
跨链一直是一个有重要需求却又有很大难度的关键架构。我们现在已经充分认识到,未来的世界不可能是一条公链或几条公链就能满足各种业务需求的,而是错综合复杂的网状结构。 那么如何跨链将是一个重要的课题, 在过去相当长的时间里,业界把“跨链桥”作为解决方案,不成熟的跨链桥技术已经在过去的一年里产生了多次安全事故,累计损失达数亿。新一代钱包技术有可能给跨链带来一种新的思路,也即以每一个用户钱包作为一种跨链的节点完成需要在多条链上交互的业务, 当然这种跨链业务不可能只通过钱包完成,而是需要链、跨链桥等多种服务节点一起协调。 钱包本身是连接多链多应用的,并且钱包用户基数巨大,通过钱包来辅助跨链业务,能进一步提高系统的去中心程度,并且简化系统的架构,还能更好提高系统安全。
通过钱包来实现跨链的架构,甚至可能催生一种全新的 Decentralized 应用架构模式,这种应用模式可能形成的就是普遍的 DApp 支持跨链的架构,也就是未来的 DApp 普遍能支持多条区块链,并能在应用层级实现跨链。
有人说钱包就像是 web3 时代的浏览器,那么互联网时代最成功的产品“浏览器”在 web3 时代会演变成什么样的形态呢? 在 web3 时代钱包会取代浏览器吗? 我们的预测认为这并不会发生,但是新一代钱包和新一代的浏览器很有可能会融合,或者钱包干脆会成为新一代浏览器的一个基础功能模块。于此同时,硬件的、移动的独立钱包会依然独自存在,但和新一代的浏览器会更紧密结合,或者干脆浏览器内的钱包模块很可能就是独立钱包的延续能被独立钱包统一管理。
Web3 的 Decentralized 应用对浏览器其实也提出了新的需求,过去这两年新的浏览器创业企业层出不穷, 除了普遍在使用体验上有所改进之外,更好地支持区块链。 我们相信新一代的浏览器和新一代的钱包必定是一个融合的状态,甚至形成新的产品形态。
SquareDAO is a DAO of the builders, by the builders, for the builders.
SquareDAO 由蓝驰创投 Patrick 发起组织,成员囊括了 Web3 Builder、投资人、KOL 等各领域专业人士。
加入 SquareDAO,您可以:
💡 和众多 Builder,大佬们,OG 彼此认识,交流观点,分享内容。每一句发言都会被视为贡献。
🎁 参加 SquareDAO 的活动,如 TwitterSpace,专项研报,融资路演等,及享受 Builder 们分享的 Airdrop 小福利。
【免责声明】市场有风险,投资需谨慎。本文不构成投资建议,用户应考虑本文中的任何意见、观点或结论是否符合其特定状况。据此投资,责任自负。