如何保管个人加密资产 ? 看看 imToken 首席安全官的方式

十多年安全行业生涯，接触过各式各样的黑客攻击和网络诈骗等，对在网络上如何保管自己的几块钱有一定的心得体会。我认为能够一直安全地行走在互联网上，除了自我安全意识良好外，主要还是因为我们安全行业常提的一句话「你没有被黑，是因为你还没有被黑的价值」，没有资产就是保障自己资产最最安全的方式。当然对你们资产丰厚的人来说，保障的方式可以转换成：保持低调。

数字资产归类

在区块链的圈子里待得足够久，就会见到玲琅满目的项目和眼花缭乱的技术。为了能够保持对不同链的技术热情，持有相关项目的币会是一个不错的方式，所以业余时间也陆续购买了一些币种，都是零花钱的程度以应对技术测试之需，相关分类有：

1.主流：有 BTC、ETH、EOS 等，大家听得最多，技术上及社区形态很完备，这些主流币各家钱包或交易所也都是支持得最好的；

2.小币种：另外还有一些感兴趣的小币种，如匿名币 Beam、Grin 等，基本上各条链都持有一些，数量和没有持有也差不多，纯爱好研究；

3.新兴币种：即一些还没有发布主网或刚刚发布主网的项目，实际大多掌握在代投手里，或者项目方在以太坊上提前发布的代币。

数字资产放在哪里

资产总额虽小但分类太多，乱七八糟的，秉着万事小心的原则，能放在自己手里的便放在自己手里，所以大多放在去中心化钱包中，当然主要是 imToken，搭配硬件钱包使用更好。其它那些钱包不支持的，如小币种和新兴币种，需要放在各家项目自己的或指定的平台上，如果交易所支持了，会第一时间转到交易所里。

如何选择交易所

关于交易所的选择，品牌是很重要的选择标准，必须要大型知名，这样家大业大的，交易所自身「跑路」的可能性小，被黑客攻击出问题了也能有一定的赔付能力；当然知名交易所在安全上的投入也会更多更专业，安全虽然大家都说放在第一位，但归根结底还是要赚钱了才会有投入。

另一个对我个人来说的选择标准是能否及时出手，兑换成现实世界中可真实流通的币种，以方便日常生活；还有关于新兴项目，在主网上线时需要做映射等麻烦的操作，而这些交易所都会代办，也算省心省力。以当前大多数用户的安全意识之低，选择知名交易所来存储资产不失为一个好办法。

如何选择钱包

钱包目前我只会选择去中心化的钱包，毕竟中心化钱包和中心化交易所很难区分开了，实质上都差不多。

大家都说区块链是在解决信任问题，代码即法律，代码可以决定一切，但在你进入这个不需要信任的区块链世界之前，还是要解决选择哪一条路的问题，这条路可以简化为区块链钱包；「信任是一种滑稽的好感，我求之，却不得之」，很难说你信任谁或者谁信任你，选择钱包也是如此。

个人感触很多时候不是因为信任一款钱包而选择将资产存放在里面，而是用上了并且一用就很久，慢慢地才有了安全感，正所谓「情不知所起，一往而深」。

我在没有加入 imToken 前就一直使用 imToken，当时是 1.0 版本，垂直于以太坊功能简单却出奇的好用，可谓是一个时代的典范，至今还有一些圈里的朋友过来咨询钱包问题时，发来的截图还是 imToken 1.0 版本。虽然简单但能看出在安全上的许多努力，像转账时针对恶意黑客、诈骗地址的封禁，还有大额资产的冷钱包方案，都是极其优秀的安全实践方式。

基于对 imToken 钱包的认可，我在 18 年初有机会的情况下选择加入 imToken 团队，自此深入跟进并负责钱包安全，尤其是后面的 imToken 2.0 版本，安全贯穿始终，代码安全审计、用户风控系统、漏洞赏金计划、第三方安全公司合作等都在有条不紊地进行着。

因为了解所以使用，因为使用所以信任，因为信任所以选择，安全放心，至此不变。

imToken 1.0

imToken 2.0，官网截图，资产和本人无关

如何保管钱包备份

使用去中心化钱包，私钥即一切，自己是可以百分百掌握资产了，但手机上的钱包 App 删除了或者手机出问题了，如果没有备份，那可以说资产百分百丢失了。

所以使用钱包很重要的一部分是如何安全地备份，可以是直接导出私钥，也可以使用助记词；推荐以助记词的形式来备份钱包，毕竟私钥太长容易抄错，使用纸笔抄下助记词后安全放在只有自己知道的地方。

日常一直在处理用户丢盗币事件，见惯了太多因为钱包备份不安全而丢币的事件，如：将私钥 / 助记词写在云笔记里导致被盗、微信收藏私钥 / 助记词被盗、邮件传输私钥 / 助记词被盗等等，基本大都是将钱包备份上传到网络上被盗的。

另外再次说一下「保持低调」的重要性，我们也接触过很多被亲朋好友甚至配偶盗币的情况，黑客大多时候是在「背锅」，千万不要拿金钱来考验人性，没必要。

硬件钱包

说到安全的资产保管，硬件钱包是不得不提的，我认为它是目前最佳的资产保管及使用方式。

聊硬件可以先从交易所说起，因为被盗事件频发，交易所们慢慢形成了统一的安全标准或者说底线：即用 KMS （Key Management Service，密钥管理服务）系统来管理自己和用户的私钥，而这里面的安全核心是 HSM （Hardware Security Module，硬件安全模块）。

HSM 用硬件加密芯片来保证私钥永不离开「黑盒」，通过 KMS 系统来对外提供接口支持转账等操作，程序可能被黑，但私钥始终是可信的。交易所使用的这套硬件安全方案，下放到个人用户身上，便是硬件钱包。

所以从交易所到个人用户这条发展「历史」上来看，加密芯片是核心，硬件钱包是否有加密芯片和 KMS 是否有 HSM 支撑一样重要，没有加密芯片的硬件钱包只是有着一种不同于手机载体的软件而已。另外我们经常谈的硬件安全上还有供应链攻击，从生产到运输、固件更新等，都有可能破坏硬件的安全性，如被嵌入恶意程序等。

目前我在使用的是 imKey 硬件钱包，安全团队从头到尾见证了它的立项及最后的产出过程，甚至于进驻工厂验收质量，满足了我个人在硬件钱包上的安全选择要求：

• 加密芯片，军工级芯片 CC EAL6 +，等级非常高；
• 安全完善的固件管理及升级的校验机制；
• 知名硬件厂商（银行 U 盾等生产商）代工，并且出厂直发顺丰，保障供应链安全；
• 还有硬件安全团队的严格测试，及各家的安全评测等。

话不多说，上图为敬：

结束语

最后总结一下，作为一个安全从业者，我的资产保管方式：

• 钱包：imToken + imKey；
• 交易所：排名前三；
• 备份：助记词抄写在纸上藏起来；
• 「热爱学习并视金钱为粪土」，或保持低调。