最近币圈行情很平淡，行业却很不平静：先是币圈第二大的交易所 @FTX 短短几天就倒闭，大量用户资产无法提现（预计有80+亿美元的敞口）；而后一些小交易所跑路（比如AEX/虎符）；然后各路媒体FUD 币安，引发提币运动，用户为资金安全焦虑不已；月底BitKeep 软件钱包遭遇软件包劫持攻击，大量用户钱包资产被盗走，当前预估千万美元级。

经历这一连串的事件，很庆幸自己没有受到影响，但是为资金安全很是焦虑，担忧稍有不慎倒霉的那个人就是自己。所以，静下心来对如何做好加密资产安全管理进行了一番思考，同时也相应的调整了自己的策略。

接下来就根据我几年区块链行业闯荡经验和业务专业技能（传统IT行业网络安全研究员）谈一谈投资加密货币中的一些风险，以及如何去规避和消减对应的风险，最大可能的保护好自己的加密资产。我会从加密资产类别、存储、使用和出金这四个方面分别阐述其中可能涉及的风险，然后给出我建议的应对措施。

我姑且根据加密资产对法币可能的涨跌（主要是跌幅）幅度的大小，将加密资产分为三大类：稳定币、比特币和山寨币，对应的风险由小到大。

Tether/Circle/Binance/其他稳定币发行方发行的美元映射币，理论上是1:1兑换美元。

风险分析：

1. 稳定币发行方不能1:1刚性兑付美元。早些年每隔一段时间就会FUD一次Tether公司未能1:1储备美元，或者Tether公司遭受SEC审查。很多没有经验的人就会通过OTC紧急兑换法币，蜂拥而上的兑换需求就会导致稳定币大幅打折。

2. 法币对加密稳定币汇率变化。主要取决于人民币对美元的汇率 和 市场对加密稳定币的需求变化。人民币贬值，则稳定币可以兑换更多的人民币，反之则会亏损。另外，市场对加密稳定币的需求也影响实时兑换汇率，牛市的时候场外大量资金入场，则实际兑换价格会更高。

行业基石，可以说其是不会归零的资产（如果你现在仍然认为其存在归零的可能性，那你不应该参与进来），两者市值加起来占比接近60%（比特币39%，以太坊17.5%）。

风险分析：

1. 熊市时期的大幅下跌（85%以上那种）。历年熊市，比特币最大跌幅都超过了85%。不过，随着区块链行业的发展，加密市场市值不断的增大，比特币的涨跌幅度也在减小。

除比特币和以太坊之外的其他各种Coin/Token/NFT等资产。

风险分析：

1. 最大的风险就是归零，各种方式归零，包括但不限于

   • 项目方跑路（Rug pull）

   • 协议/合约/项目存在安全漏洞，被攻击者利用，无限增发

   • 项目被监管审查或禁止等

2. 其次，空气币，币价无限接近归零，没有涨回来的可能性。回头去看，太多太多这种空气币了，每轮熊市都会死掉一批。即使是市值Top 10的币，随着发展也可能变成空气币了，比如最近的LUNA。

3. 最后，巨幅下跌（95%以上那种）。持有山寨币，你的心脏需要足够强壮。不论是牛市还是熊市，其可能在某个时刻突然间就会暴雷、发生黑天鹅事件，令其价格瞬间暴跌。远的不说，就22年的LUNA、FTT，一个市值Top5、一个Top 3交易所代币，两者都是在几天时间里暴跌95%以上。至于其他的瞬间暴跌案例，比比皆是。如果你在市场里足够久，你就懂我在说什么。

加密资产原生风险主要是内在价值变化导致的价格下跌所造成的。对应的风险通过做好资产配置可以消减掉大部分的风险：

• 使用亏光对你生活无影响的资金量投资加密货币：加密货币的风险实在是太高了，动不动就是归零，是真真实实的归零，一毛不剩。所以，在投资之前一定要有归零的心理准备，使用少量的资金参与行业。

• 分散配置：不要ALL IN某一类，而是比特币（包括以太坊）、稳定币、山寨币、法币分散配置；

• 比特币为主：大比例配置为比特币（以太坊），压舱石；小比例配置山寨币，追求超高额涨幅；

加密资产的存储根据个人是否掌握私钥（助记词），可以分为中心化存储和去中心化存储，而每一个类别下面又各自有多重形态。

加密资产由中心化机构代为管理，个人不掌握私钥，理论上用户有随时随地赎回资金的能力。其有如下的一些形式：

• 中心化交易所

• VC

• 代投

• 其他

资产中心化存储的最大风险是中心化组织跑路或暴雷，那基本上资金就打水漂了。案例太多太多了，各类的交易所出事（Mt.Gox被黑、FT/AEX/虎符/跑路、FTX暴雷。。）、代投跑路层出不穷。

个人自己掌握私钥（助记词），真正意义上拥有资产，可以随时调动资产。私钥通常以“钱包”的形式生成、存储和使用，而行业根据私钥是否使用专用硬件存储，将钱包分为两大类：硬件钱包、软件钱包。

• 硬件钱包：私钥通常保存在安全芯片（SE），使用过程中不接触网络。

• 软件钱包：私钥通常由软件钱包自动保管，存储在用户钱包常驻的设备上。

由于私钥（助记词）由用户自己保管，不管是硬件钱包还是软件钱包，都面临着共同的一些风险：

• 最大风险是私钥（助记词）被盗。攻击者转移走钱包的所有加密资产，钱包变得空荡荡。对于私钥（助记词）被盗，硬件钱包和软件钱包的盗取方式不完全一样。

• 次级风险是遗忘私钥（助记词）。私钥（助记词）遗忘需要分情况来分析：

  • 如果保存私钥的钱包可用，则无大碍，用户依然可以控制资产。建议尽快将资产转移至新钱包，并妥善保存好私钥（助记词）。

  • 如果保存私钥的钱包不可用（如设备故障、丢失、重置），那就永久丧失了对资产的控制权，你的资产永久的封印在区块链上。

• 钱包生产者作恶。因为私钥是由钱包产生、存储、使用，所以钱包的生产者有机会作恶。比如，非随机产生助记单词、将产生的私钥上传至服务器、预留后门 等等。

对于加密资产中心化存储和非中心化存储，有着不一样的应对措施。

加密资产的使用其基本模型是与另外一个地址（合约）交互，比如转账、交易、Staking 等。其根据使用场景的不一样，面临着不同的风险，但有一些共同的措施来消减风险。

• 仔细确认交互地址。一种典型的攻击就是“相同缩略地址攻击法”：即由于钱包地址比较长，钱包在展示的时候一般只展示前后几位、中间省略（如前6后6，0x1ed67f...123456）；这样，攻击者可以遍历出一个缩略地址相同，而实际不一样的地址，伪装成被害者某个熟知的地址（如交易所账号地址），并使用这个地址与被攻击钱包交互（比如小额转账）；当被害者在转账时，如若大意，选择了这个伪装地址转账，则会导致资产损失；

• 审计合约安全性。如有能力，自行审计合约安全性。其次，查看合约是否经过权威的安全机构进行审计。

• 谨慎授权。某些场景下，对方合约请求钱包某些权限，如果使用者不了解权限，或者未仔细查看申请的权限列表，则可能导致过度授权，导致钱包被盗。

在加密货币市场经过一段时间如履薄冰、小心翼翼的投资之后，终于赚了大钱，想着将一部分加密资产变现成法币（如CNY）。这个时候就需要通过OTC（Over The Count，场外交易市场）与中间商兑换。由于国内在政策上限制，OTC中间商都是民间个人/组织，其中充斥着各种黑钱（诈骗资金、腐败资金 等）。如若不小心兑换到关联的黑钱，则账户可能会被警方冻结，账户内资产也无法提现/转账。

个人其实无法识别变现的法币是否涉黑（当你知道的时候账户已经被冻了）。可以在变现的过程中、资金到账做如下的工作：

• 选择信用好、交易量大的商家。OTC平台一般会对商家进行评级，也允许用户对商家评分，还有就是商家的交易量，可以综合衡量这些指标选择商家；

• 一定要求商家使用自己名下银行卡转账。商家可能由于各种原因跟你商量使用亲朋好友银行卡给你转账，一定要拒绝这种交易。这种情况很大可能收到黑钱，并且后续与警方非常难以解释。

• 资金到账后取现/还信用卡/转股票账户等。资金到账后，由于存在被警方冻卡的风险，最好的策略是取出现金，这样即使被冻结也只是牺牲一张银行卡。其他的一些规避方法包括资金还信用卡/消费贷、资金转至股票账户等。切忌转至自己（或者家人）名下的银行卡账户：因为如果变现资金涉黑，那么关联的账户都会被冻结（亲身经历）。

是不是觉得在币圈太危险啦？确实如此！各种资金归零方式让你大饱眼福。

如果你坚定的要参与区块链行业的建设，那么请一定小心翼翼。遵从一些通用的安全建议：分散配置、掌握私钥、小心谨慎、Don't trust, Verify。

(完)

最近币圈行情很平淡，行业却很不平静：先是币圈第二大的交易所 @FTX 短短几天就倒闭，大量用户资产无法提现（预计有80+亿美元的敞口）；而后一些小交易所跑路（比如AEX/虎符）；然后各路媒体FUD 币安，引发提币运动，用户为资金安全焦虑不已；月底BitKeep 软件钱包遭遇软件包劫持攻击，大量用户钱包资产被盗走，当前预估千万美元级。

经历这一连串的事件，很庆幸自己没有受到影响，但是为资金安全很是焦虑，担忧稍有不慎倒霉的那个人就是自己。所以，静下心来对如何做好加密资产安全管理进行了一番思考，同时也相应的调整了自己的策略。

接下来就根据我几年区块链行业闯荡经验和业务专业技能（传统IT行业网络安全研究员）谈一谈投资加密货币中的一些风险，以及如何去规避和消减对应的风险，最大可能的保护好自己的加密资产。我会从加密资产类别、存储、使用和出金这四个方面分别阐述其中可能涉及的风险，然后给出我建议的应对措施。

我姑且根据加密资产对法币可能的涨跌（主要是跌幅）幅度的大小，将加密资产分为三大类：稳定币、比特币和山寨币，对应的风险由小到大。

Tether/Circle/Binance/其他稳定币发行方发行的美元映射币，理论上是1:1兑换美元。

风险分析：

1. 稳定币发行方不能1:1刚性兑付美元。早些年每隔一段时间就会FUD一次Tether公司未能1:1储备美元，或者Tether公司遭受SEC审查。很多没有经验的人就会通过OTC紧急兑换法币，蜂拥而上的兑换需求就会导致稳定币大幅打折。

2. 法币对加密稳定币汇率变化。主要取决于人民币对美元的汇率 和 市场对加密稳定币的需求变化。人民币贬值，则稳定币可以兑换更多的人民币，反之则会亏损。另外，市场对加密稳定币的需求也影响实时兑换汇率，牛市的时候场外大量资金入场，则实际兑换价格会更高。

行业基石，可以说其是不会归零的资产（如果你现在仍然认为其存在归零的可能性，那你不应该参与进来），两者市值加起来占比接近60%（比特币39%，以太坊17.5%）。

风险分析：

1. 熊市时期的大幅下跌（85%以上那种）。历年熊市，比特币最大跌幅都超过了85%。不过，随着区块链行业的发展，加密市场市值不断的增大，比特币的涨跌幅度也在减小。

除比特币和以太坊之外的其他各种Coin/Token/NFT等资产。

风险分析：

1. 最大的风险就是归零，各种方式归零，包括但不限于

   • 项目方跑路（Rug pull）

   • 协议/合约/项目存在安全漏洞，被攻击者利用，无限增发

   • 项目被监管审查或禁止等

2. 其次，空气币，币价无限接近归零，没有涨回来的可能性。回头去看，太多太多这种空气币了，每轮熊市都会死掉一批。即使是市值Top 10的币，随着发展也可能变成空气币了，比如最近的LUNA。

3. 最后，巨幅下跌（95%以上那种）。持有山寨币，你的心脏需要足够强壮。不论是牛市还是熊市，其可能在某个时刻突然间就会暴雷、发生黑天鹅事件，令其价格瞬间暴跌。远的不说，就22年的LUNA、FTT，一个市值Top5、一个Top 3交易所代币，两者都是在几天时间里暴跌95%以上。至于其他的瞬间暴跌案例，比比皆是。如果你在市场里足够久，你就懂我在说什么。

加密资产原生风险主要是内在价值变化导致的价格下跌所造成的。对应的风险通过做好资产配置可以消减掉大部分的风险：

• 使用亏光对你生活无影响的资金量投资加密货币：加密货币的风险实在是太高了，动不动就是归零，是真真实实的归零，一毛不剩。所以，在投资之前一定要有归零的心理准备，使用少量的资金参与行业。

• 分散配置：不要ALL IN某一类，而是比特币（包括以太坊）、稳定币、山寨币、法币分散配置；

• 比特币为主：大比例配置为比特币（以太坊），压舱石；小比例配置山寨币，追求超高额涨幅；

加密资产的存储根据个人是否掌握私钥（助记词），可以分为中心化存储和去中心化存储，而每一个类别下面又各自有多重形态。

加密资产由中心化机构代为管理，个人不掌握私钥，理论上用户有随时随地赎回资金的能力。其有如下的一些形式：

• 中心化交易所

• VC

• 代投

• 其他

资产中心化存储的最大风险是中心化组织跑路或暴雷，那基本上资金就打水漂了。案例太多太多了，各类的交易所出事（Mt.Gox被黑、FT/AEX/虎符/跑路、FTX暴雷。。）、代投跑路层出不穷。

个人自己掌握私钥（助记词），真正意义上拥有资产，可以随时调动资产。私钥通常以“钱包”的形式生成、存储和使用，而行业根据私钥是否使用专用硬件存储，将钱包分为两大类：硬件钱包、软件钱包。

• 硬件钱包：私钥通常保存在安全芯片（SE），使用过程中不接触网络。

• 软件钱包：私钥通常由软件钱包自动保管，存储在用户钱包常驻的设备上。

由于私钥（助记词）由用户自己保管，不管是硬件钱包还是软件钱包，都面临着共同的一些风险：

• 最大风险是私钥（助记词）被盗。攻击者转移走钱包的所有加密资产，钱包变得空荡荡。对于私钥（助记词）被盗，硬件钱包和软件钱包的盗取方式不完全一样。

• 次级风险是遗忘私钥（助记词）。私钥（助记词）遗忘需要分情况来分析：

  • 如果保存私钥的钱包可用，则无大碍，用户依然可以控制资产。建议尽快将资产转移至新钱包，并妥善保存好私钥（助记词）。

  • 如果保存私钥的钱包不可用（如设备故障、丢失、重置），那就永久丧失了对资产的控制权，你的资产永久的封印在区块链上。

• 钱包生产者作恶。因为私钥是由钱包产生、存储、使用，所以钱包的生产者有机会作恶。比如，非随机产生助记单词、将产生的私钥上传至服务器、预留后门 等等。

对于加密资产中心化存储和非中心化存储，有着不一样的应对措施。

加密资产的使用其基本模型是与另外一个地址（合约）交互，比如转账、交易、Staking 等。其根据使用场景的不一样，面临着不同的风险，但有一些共同的措施来消减风险。

• 仔细确认交互地址。一种典型的攻击就是“相同缩略地址攻击法”：即由于钱包地址比较长，钱包在展示的时候一般只展示前后几位、中间省略（如前6后6，0x1ed67f...123456）；这样，攻击者可以遍历出一个缩略地址相同，而实际不一样的地址，伪装成被害者某个熟知的地址（如交易所账号地址），并使用这个地址与被攻击钱包交互（比如小额转账）；当被害者在转账时，如若大意，选择了这个伪装地址转账，则会导致资产损失；

• 审计合约安全性。如有能力，自行审计合约安全性。其次，查看合约是否经过权威的安全机构进行审计。

• 谨慎授权。某些场景下，对方合约请求钱包某些权限，如果使用者不了解权限，或者未仔细查看申请的权限列表，则可能导致过度授权，导致钱包被盗。

在加密货币市场经过一段时间如履薄冰、小心翼翼的投资之后，终于赚了大钱，想着将一部分加密资产变现成法币（如CNY）。这个时候就需要通过OTC（Over The Count，场外交易市场）与中间商兑换。由于国内在政策上限制，OTC中间商都是民间个人/组织，其中充斥着各种黑钱（诈骗资金、腐败资金 等）。如若不小心兑换到关联的黑钱，则账户可能会被警方冻结，账户内资产也无法提现/转账。

个人其实无法识别变现的法币是否涉黑（当你知道的时候账户已经被冻了）。可以在变现的过程中、资金到账做如下的工作：

• 选择信用好、交易量大的商家。OTC平台一般会对商家进行评级，也允许用户对商家评分，还有就是商家的交易量，可以综合衡量这些指标选择商家；

• 一定要求商家使用自己名下银行卡转账。商家可能由于各种原因跟你商量使用亲朋好友银行卡给你转账，一定要拒绝这种交易。这种情况很大可能收到黑钱，并且后续与警方非常难以解释。

• 资金到账后取现/还信用卡/转股票账户等。资金到账后，由于存在被警方冻卡的风险，最好的策略是取出现金，这样即使被冻结也只是牺牲一张银行卡。其他的一些规避方法包括资金还信用卡/消费贷、资金转至股票账户等。切忌转至自己（或者家人）名下的银行卡账户：因为如果变现资金涉黑，那么关联的账户都会被冻结（亲身经历）。

是不是觉得在币圈太危险啦？确实如此！各种资金归零方式让你大饱眼福。

如果你坚定的要参与区块链行业的建设，那么请一定小心翼翼。遵从一些通用的安全建议：分散配置、掌握私钥、小心谨慎、Don't trust, Verify。

(完)