7月13日，有幸邀请到Nabox运营负责人Yee；BitKeep创始人Kevin（mfer#6148）；BalletWallet产品副总Justin到UZ Capital做客，并在微信群进行一场AMA。围绕“如何保护自己的数字资产”展开讨论，以下为本场AMA整理。

Nabox运营负责人Yee：

各位下午好，我是Nabox运营负责人Yee，很高兴能在这里和大家分享和讨论关于钱包的话题。

Nabox是一个为Web3构建的跨链DID应用程序。通过Nabox，您可以管理不同区块链上的资产，无论是DeFi、GameFi、NFTs，还是其他项目。Nabox是用户进入多链世界的通道。Nabox使用非对称密码算法作为其DID的基础。用户使用相同的私钥和公钥来管理不同区块链上的资产和数据。Nabox里的SwapBox聚合主流DEX，为用户提供资产交换和资产跨链交换，并能智能寻找最佳交换路径。目前Nabox钱包已经支持37条链上的资产和DApp, 现有用户200k+,推特关注者111k+，Telegram主群（英文群）54k，Discord用户28.8k。

Nabox运营负责人Yee：欢迎大家下载体验：nabox.io，如果使用中遇到不懂的地方或问题请随时向我们提问和反馈，谢谢！

BalletWallet产品副总Justin:

大家好，我是Justin，目前是芭蕾钱包的产品VP，很高兴收到UZ Capital的邀请，来参加今天的活动。

芭蕾钱包总部位于美国内华达州拉斯维加斯，由其首席执行官李启元（Bobby Lee）和一支加密行业资深国际团队于2019年创立。

李启元 (Bobby Lee) 于2019年创立了芭蕾钱包，以解决加密行业中普通用户（非技术人员）的自我资产保管和存储的问题。基于他多年的行业经验，他认识到需要一个比现有硬件产品更用户友好的冷存储加密钱包；理想情况下，产品既可以免受黑客攻击，又可以规避用户使用失误带来的风险。

在李启元（Bobby Lee）成功担任BTCC首席执行官之后，他着手为主流市场创建加密资产存储解决方案。开创性的解决方案是 REAL 系列加密钱包——一种没有任何电子元件的物理加密存储设备。该钱包基于行业标准和开源技术构建，可同时存储100+不同的加密资产和50+ NFT。REAL系列加密钱包已获得6项美国专利，旨在实现安全和便利的理想平衡，最终目标是推动比特币、加密货币和NFT的全球大规模采用。

芭蕾钱包受到90多个国家/地区用户的信任，共持有价值超过4亿美元的数字资产。自2019年推出REAL系列钱包以来，芭蕾钱包从未出现安全漏洞，也没有客户资金损失。芭蕾钱包的专利安全模型赢得了用户的更多信任，成为市场上最安全、最可靠的冷藏解决方案之一。

数字资产硬件钱包制造商——芭蕾钱包完成了1300万美元的风险投资。此次融资将使芭蕾钱包扩大产品开发和业务运营。这一发展正值全球对用户友好型加密存储解决方案需求高涨之时。本轮融资由Lightspeed China Partners（光速中国）和Draper Dragon（德鼎创新）领投，Ribbit Capital、ACTAI Ventures、Digital Currency Group 和 Sky9 Capital（云九资本）跟投。

BitKeep创始人Kevin（mfer#6148）:

BitKeep.com 钱包，很简单，就是一个比 MetaMask 更好用的的跨链钱包，我们刚刚获得顶级投资机构Dragonfly 领投的 1500 万美元投资。

主持人：前几日披露了 Ronin 跨链桥被盗原因：

Axie Infinity 开发商的一位员工，下载了一份虚假的 Offer 文件导致间谍软件渗透至 Ronin 系统中，黑客因此能够攻击并接管 Ronin 网络上九个验证者中的四个，最后获得 Axie DAO 的验证人签名完成盗窃。

可以看到专业区块链公司都经常会碰到安全问题

各位嘉宾是否有一些的安全建议，或者说平时使用中有没有一些钱包安全小技巧？

Nabox运营负责人Yee：

第一是：助记词一定要妥善保管：建议将同一个助记词保管两份，分在两个不同的地方保管,别触网。各位的钱包助记词可以少记录1-2个单词，然后用脑子记住剩下的，或者打乱1-2个顺序，脑子记住正确顺序，或者用自己的算法转化，反正只要自己脑子能记住一部分，就更加的安全了。当然如果不记事的话就别这么操作了，容易BBQ。

• 除了刚生成钱包或者导入钱包的时候，任何地方都不要输入自己的助记词，凡是要求输入助记词的网站基本上可以算成诈骗。

• 导入钱包输入助记词不能用复制粘贴等，必须手打。现在各种app都能读取剪贴版，在复制的过程中基本已经泄漏。私钥同理。

• 纸质助记词别忘了放哪了。放的地方也要保证安全。

  
  

第二是：要注意链上的安全：

• 每次点链接进网站确保是官方网站，不要乱点链接，点进链接不要乱签名，不要乱授权。

• 乱空投的各种币，NFT等不要关注，不贪就不会被黑，正规空投一般都有正规的项目方，官方规则等。

• 合约交互，接触熟悉且确保安全的项目，可以自己大致过一下合约，合约不开源不碰，开源就算看一遍也可能会有坑，没法保证百分百安全。

• 尽可能的降低杠杆和没有杠杆，无借贷，不爆仓，少玩Defi更不要玩Cefi。

• 检查自己的各种链上放的资产，stake，lp等等能取出就取出，过桥资产都回原生链。

• 每当熊市会有各种奇奇怪怪的幺蛾子出来，保护好自己的币才是最重要的，不要贪收益。

第三是：要注意交易所安全：交易所不要放大量资金，做一下资金配置，一般熊市少操作，所以也不需要那么多钱放交易所。尽量认准大所，二线交易所资金也尽可能的少放。一定要配置google两步验证，如果可以的话，两个手机，一个手机交易所，一个手机负责谷歌验证码，这样才能尽可能的保证资金安全。

BalletWallet产品副总Justin:

类似利用邮件进行社会工程学攻击的案例其实在币圈中已经多次发生，比较出名的例如，2016某香港交易所被盗了约12万个比特币（当时市价约7千万美元），也是因为收到了虚假的邮件。

因此，广大币友如果是使用托管钱包的，一定不要随意打开陌生人发送的邮件，更不要随意打开邮件中的链接或者附件。

对于大额资产，我们更是建议要存储在冷钱包里，自己保管私钥，而不要使用托管模式（例如放在交易所里）

因此我们建议，不要随意点击陌生人发的链接及邮件，有一些链接可能包含一些Free mint等收益诱导型的词汇，在对项目没有一定认知的情况下，建议谨慎参与。如果非常想要参加，可以使用没有资产的地址有限参与，降低风险。

资产实现“冷热分离”，大额资产尽可能使用冷钱包，私钥不要放在在线设备上，将其与高频交易的资产切割进行分散存储。

对于想要尝试新鲜事物的web3人群，可以多生成几个备用地址用于“尝鲜”

BitKeep创始人Kevin（mfer#6148）:

像碰到 Ronin 这样的做局诈骗，谁都挡不住。这是针对一家企业的诈骗行为。

但是我们觉得，对普通用户来说最核心的是要用离线的纸张记录我们的私钥，并且一定要使用“0事故率”的跨链 Web3.0 钱包——BitKeep

这才是保障你安全的秘密武器。

我们钱包会对每一个合约做出安全评级，使用DAPP前，先用BitKeep钱包查一下

最近的针对个人的诈骗都是 free mint;你要的是免费图，人家要你的ETH，我们针对所有DAPP都做了评级。所以一定要冲土狗前，先在BitKeep钱包里查一下风险

主持人：在刚刚的分享中，注意到 @Justin Fang 嘉宾尤其提出了“冷热分离”

但是其实对于大部分人来说，对“冷钱包” 硬件钱包的安全性可能只有一个模糊的概念。

请问各位嘉宾认硬件钱包对于普通钱包最大的优势是什么？有什么行为是比较普遍的，但却是错误的使用硬件钱包？

Nabox运营负责人Yee：

硬件钱包是专为安全存储私钥而设计的设备，它把你用户的数字资产的私钥单独存储在一个芯片中。在任何情况下都不会连接到互联网，这样就减少了恶意方可以利用的攻击媒介，因为他们无法远程篡改设备。

所以简而言之就是硬件钱包相对于普通钱包的安全性会更高，比较适合长期大量屯币者使用。

当然使用硬件钱包也有需要注意的地方

• 有的硬件钱包是会有助记词的，那么很多用户就会把助记词存在手机或者电脑的备忘录里，这是相当不安全的。

• 硬件钱包只能保护私钥不被恶意软件盗取，如果用户胡乱授权，也会有一定风险。

• 不要动不动就签名，一定要完全知道自己在做什么，才能继续操作。如果这个0x字符串是莫名其妙的网站要求，是绝对不能签名的，正常的网站只会要求签名可读文本。且签名不一定就完全安全，如果是0x开头的一串字符，需要特别提高警惕。

BalletWallet产品副总Justin:

主持人说的普通钱包应该指的是交易所（托管模式）和软件钱包（非托管模式）。

相对于交易所钱包，硬件钱包的最大优势就是用户自己控制私钥，真正拥有自己的数字资产。

相对于软件钱包，硬件钱包的最大优势就是离线冷存储，避免遭受黑客攻击和钓鱼。

目前大众对行业里的硬件钱包可能存在两种误区：

第一，所有的硬件钱包都适合长期存储数字资产。

大家都知道，电子产品的使用寿命是非常有限的。电子硬件钱包中的电子元器件容易受损坏、某些技术规格不兼容，用户维护成本太高（充电接口损坏、电池损坏、芯片损坏、升级固件失败等问题）。

第二，使用硬件钱包不需要信任第三方（钱包制造商）。

事实上，用户在生成私钥的时候，都需要使用钱包公司所提供的硬件，固件，软件和随机数。

以上四个要素都不是用户自己制作，而是由钱包公司提供，本质上用户还是需要信任钱包公司。

BitKeep创始人Kevin（mfer#6148）:

硬件钱包最适合做屯币党，但是硬件钱包参与Web3.0的很多交互，是不给空投的，所以我建议大家想留住你的区块链行为，最好还是用BitKeep钱包

主持人：接下来下一个提问 

从技术上请问 冷热钱包如何确保安全性？例如 如何确保每一个版本不会被植入恶意代码或后门？

Nabox运营负责人Yee：

首先钱包的安全我们认为主要有两方面：第一是钱包提供服务的环境，第二是钱包产品代码漏洞会被其他程序劫持。

提供钱包服务的环境包含钱包的代码打包以及钱包下载提供的服务是否安全。这种情况通常是服务器被黑客攻击或密钥泄漏，导致服务器提供的环境不安全，甚至出现代码污染，用户会下载到有安全隐患的钱包。特别是安卓的APK程序，用户下载后务必校验MD5等信息后再安装。选择在GoogePlay和AppleStore下载，也能一定程度避免这一问题。

对此，Nabox的APK下载包在Github中公开，并且提供了版本情况和MD5用于校验。

另外一种就是钱包的代码有漏洞，存储在本地的私钥被安装的一些其他程序获取到。

例如此前Metamask发布提示，iCloud可能会上传一些钱包的密钥数据到云端。Nabox在设计中私钥是在独立的程序沙盒中进行了加密存储，即使设备受到攻击获取了钱包中的数据，也无法轻易的获取到用户的明文私钥。

还有一些是用户使用中的安全隐患，私钥保管和传输过程中被盗取。

这是用户需要非常值得注意的，作为去中心化的钱包来说，一旦出现资产被盗，钱包方无法帮助用户找回资产。

BalletWallet产品副总Justin:

首先，私钥要完全离线，不接触网络，这样就可以有效避免通过网络泄漏的风险。

其次，下载配套软件的时候要认清楚渠道，例如确认从官网下载或者官方的苹果商店下载。

最后，私钥要妥善保存，避免丢失或泄漏。

芭蕾钱包近期也上线了离线签名的功能，过程中用户可以使用两台手机，使用联网的手机创建和发布交易，而把对交易签名的过程放在了另一台完全离线的智能手机上，这样能更进一步地保护用户私钥的安全性。

此外，这也是为什么芭蕾钱包不会轻易提供可能有安全隐患的理财、借贷类服务。为用户提供安全的存储方案始终是我们最重视的。

主持人：相信大家已经对 钱包安全性这块有更加深度的认识

很多钱包厂商都相继发行ERC20-Token或NFT，MetaMask也有传言正在准备，各位嘉宾觉得钱包行业的未来趋势是什么样的？普通人是否能在这一趋势中获益？

Nabox运营负责人Yee：

钱包作为Web3应用的重要入口，区块链和加密资产的发展随着去中心化应用的发展，大量的用户正在从Cex的应用服务转向使用钱包+去中心化应用的方式。

个人认为，钱包作为与区块链进行任何交互的接入点，钱包地址最终将成为用户个人身份的代理。而随着Web3产品的逐渐成熟，钱包产品也会成为用户活动的中央枢纽。

BitKeep创始人Kevin（mfer#6148）:

这块我有发言权，我们 BitKeep 钱包创业四年，至今都还没发行token，但是我们肯定会发BKB，而且是肯定会给BitKeep的用户的，所以，你懂的……

我们创业四年，抵御无数次发币割韭菜的机会，就是为了把钱包做好

BalletWallet产品副总Justin:

行业里的确有很多钱包发行了自己的token或NFT。芭蕾钱包目前没有这方面的计划，我们主要的方向还是专注做好的产品，降低用户使用冷钱包的门槛，为用户提供安全存储自己数字资产的方案。

关于钱包行业发展趋势，芭蕾钱包一直秉持创新、开放、安全的产品理念，寻求与行业共同发展的各种可能性。近期我们新推出了NFT业务版块，赋能行业NFT的发展，给圈内及传统行业提供一站式的NFT服务，周董再也不用担心自己的NFT会丢失~~对NFT业务合作有兴趣的朋友可以访问链接了解 http://nft.ballet.com，群里也有我们Ballet的商务小伙伴，欢迎勾兑~钱包将成为未来用户进入web3领域重要的桥梁，芭蕾钱包愿与你携手步入web3新世界！

观众1：离线那要转账怎么转？离线了又如何交易？上线了又可能不安全。

BalletWallet产品副总Justin:

需要说明的是，上文中”交易签名”的“交易”，指的是这笔交易在广播之前，需要进行签名，才能发送数字货币。

离线签名的交易，只是在对交易进行签名的过程中是离线的，这样可以保护你的私钥的安全，之后会把签名好的交易通过二维码的形式传输回联网设备上，再发布到区块链网络中。

观众2：BK钱包的合约水平风险审核是基于什么标准呢？如果判定为一个“高风险”合约。这个是外接第三方服务吗？

BitKeep创始人Kevin（mfer#6148）:

我们首先判断合约是否是貔貅合约，其次会关注协议的合理性，很多合约非常不要脸，直接每次交易扣50%的版税，我们会直接提醒用户