谈一谈加密资产风险与对策

最近币圈行情很平淡,行业却很不平静:先是币圈第二大的交易所 @FTX 短短几天就倒闭,大量用户资产无法提现(预计有80+亿美元的敞口);而后一些小交易所跑路(比如AEX/虎符);然后各路媒体FUD 币安,引发提币运动,用户为资金安全焦虑不已;月底BitKeep 软件钱包遭遇软件包劫持攻击,大量用户钱包资产被盗走,当前预估千万美元级。

经历这一连串的事件,很庆幸自己没有受到影响,但是为资金安全很是焦虑,担忧稍有不慎倒霉的那个人就是自己。所以,静下心来对如何做好加密资产安全管理进行了一番思考,同时也相应的调整了自己的策略。

接下来就根据我几年区块链行业闯荡经验和业务专业技能(传统IT行业网络安全研究员)谈一谈投资加密货币中的一些风险,以及如何去规避和消减对应的风险,最大可能的保护好自己的加密资产。我会从加密资产类别、存储、使用和出金这四个方面分别阐述其中可能涉及的风险,然后给出我建议的应对措施。

一、加密资产原生风险

我姑且根据加密资产对法币可能的涨跌(主要是跌幅)幅度的大小,将加密资产分为三大类:稳定币、比特币和山寨币,对应的风险由小到大。

稳定币

Tether/Circle/Binance/其他稳定币发行方发行的美元映射币,理论上是1:1兑换美元。

风险分析:

  1. 稳定币发行方不能1:1刚性兑付美元。早些年每隔一段时间就会FUD一次Tether公司未能1:1储备美元,或者Tether公司遭受SEC审查。很多没有经验的人就会通过OTC紧急兑换法币,蜂拥而上的兑换需求就会导致稳定币大幅打折。

  2. 法币对加密稳定币汇率变化。主要取决于人民币对美元的汇率 和 市场对加密稳定币的需求变化。人民币贬值,则稳定币可以兑换更多的人民币,反之则会亏损。另外,市场对加密稳定币的需求也影响实时兑换汇率,牛市的时候场外大量资金入场,则实际兑换价格会更高。

比特币(以太坊)

行业基石,可以说其是不会归零的资产(如果你现在仍然认为其存在归零的可能性,那你不应该参与进来),两者市值加起来占比接近60%(比特币39%,以太坊17.5%)。

风险分析:

  1. 熊市时期的大幅下跌(85%以上那种)。历年熊市,比特币最大跌幅都超过了85%。不过,随着区块链行业的发展,加密市场市值不断的增大,比特币的涨跌幅度也在减小。

山寨币

除比特币和以太坊之外的其他各种Coin/Token/NFT等资产。

风险分析:

  1. 最大的风险就是归零,各种方式归零,包括但不限于

    • 项目方跑路(Rug pull)

    • 协议/合约/项目存在安全漏洞,被攻击者利用,无限增发

    • 项目被监管审查或禁止等

  2. 其次,空气币,币价无限接近归零,没有涨回来的可能性。回头去看,太多太多这种空气币了,每轮熊市都会死掉一批。即使是市值Top 10的币,随着发展也可能变成空气币了,比如最近的LUNA。

  3. 最后,巨幅下跌(95%以上那种)。持有山寨币,你的心脏需要足够强壮。不论是牛市还是熊市,其可能在某个时刻突然间就会暴雷、发生黑天鹅事件,令其价格瞬间暴跌。远的不说,就22年的LUNA、FTT,一个市值Top5、一个Top 3交易所代币,两者都是在几天时间里暴跌95%以上。至于其他的瞬间暴跌案例,比比皆是。如果你在市场里足够久,你就懂我在说什么。

应对措施

加密资产原生风险主要是内在价值变化导致的价格下跌所造成的。对应的风险通过做好资产配置可以消减掉大部分的风险:

  • 使用亏光对你生活无影响的资金量投资加密货币:加密货币的风险实在是太高了,动不动就是归零,是真真实实的归零,一毛不剩。所以,在投资之前一定要有归零的心理准备,使用少量的资金参与行业。

  • 分散配置:不要ALL IN某一类,而是比特币(包括以太坊)、稳定币、山寨币、法币分散配置;

  • 比特币为主:大比例配置为比特币(以太坊),压舱石;小比例配置山寨币,追求超高额涨幅;

二、加密资产存储风险

加密资产的存储根据个人是否掌握私钥(助记词),可以分为中心化存储和去中心化存储,而每一个类别下面又各自有多重形态。

中心化存储

加密资产由中心化机构代为管理,个人不掌握私钥,理论上用户有随时随地赎回资金的能力。其有如下的一些形式:

  • 中心化交易所

  • VC

  • 代投

  • 其他

资产中心化存储的最大风险是中心化组织跑路或暴雷,那基本上资金就打水漂了。案例太多太多了,各类的交易所出事(Mt.Gox被黑、FT/AEX/虎符/跑路、FTX暴雷。。)、代投跑路层出不穷。

去中心化存储

个人自己掌握私钥(助记词),真正意义上拥有资产,可以随时调动资产。私钥通常以“钱包”的形式生成、存储和使用,而行业根据私钥是否使用专用硬件存储,将钱包分为两大类:硬件钱包、软件钱包。

  • 硬件钱包:私钥通常保存在安全芯片(SE),使用过程中不接触网络。

  • 软件钱包:私钥通常由软件钱包自动保管,存储在用户钱包常驻的设备上。

由于私钥(助记词)由用户自己保管,不管是硬件钱包还是软件钱包,都面临着共同的一些风险:

  • 最大风险是私钥(助记词)被盗。攻击者转移走钱包的所有加密资产,钱包变得空荡荡。对于私钥(助记词)被盗,硬件钱包和软件钱包的盗取方式不完全一样。

软、硬件钱包私钥(助记词)被盗方式
软、硬件钱包私钥(助记词)被盗方式

  • 次级风险是遗忘私钥(助记词)。私钥(助记词)遗忘需要分情况来分析:

    • 如果保存私钥的钱包可用,则无大碍,用户依然可以控制资产。建议尽快将资产转移至新钱包,并妥善保存好私钥(助记词)。

    • 如果保存私钥的钱包不可用(如设备故障、丢失、重置),那就永久丧失了对资产的控制权,你的资产永久的封印在区块链上。

  • 钱包生产者作恶。因为私钥是由钱包产生、存储、使用,所以钱包的生产者有机会作恶。比如,非随机产生助记单词、将产生的私钥上传至服务器、预留后门 等等。

应对措施

对于加密资产中心化存储和非中心化存储,有着不一样的应对措施。

加密资产中心化和去中心化存储风险及应对措施
加密资产中心化和去中心化存储风险及应对措施

三、加密资产使用风险

加密资产的使用其基本模型是与另外一个地址(合约)交互,比如转账、交易、Staking 等。其根据使用场景的不一样,面临着不同的风险,但有一些共同的措施来消减风险。

  • 仔细确认交互地址。一种典型的攻击就是“相同缩略地址攻击法”:即由于钱包地址比较长,钱包在展示的时候一般只展示前后几位、中间省略(如前6后6,0x1ed67f...123456);这样,攻击者可以遍历出一个缩略地址相同,而实际不一样的地址,伪装成被害者某个熟知的地址(如交易所账号地址),并使用这个地址与被攻击钱包交互(比如小额转账);当被害者在转账时,如若大意,选择了这个伪装地址转账,则会导致资产损失;

  • 审计合约安全性。如有能力,自行审计合约安全性。其次,查看合约是否经过权威的安全机构进行审计。

  • 谨慎授权。某些场景下,对方合约请求钱包某些权限,如果使用者不了解权限,或者未仔细查看申请的权限列表,则可能导致过度授权,导致钱包被盗。

四、加密资产变现风险

在加密货币市场经过一段时间如履薄冰、小心翼翼的投资之后,终于赚了大钱,想着将一部分加密资产变现成法币(如CNY)。这个时候就需要通过OTC(Over The Count,场外交易市场)与中间商兑换。由于国内在政策上限制,OTC中间商都是民间个人/组织,其中充斥着各种黑钱(诈骗资金、腐败资金 等)。如若不小心兑换到关联的黑钱,则账户可能会被警方冻结,账户内资产也无法提现/转账。

个人其实无法识别变现的法币是否涉黑(当你知道的时候账户已经被冻了)。可以在变现的过程中、资金到账做如下的工作:

  • 选择信用好、交易量大的商家。OTC平台一般会对商家进行评级,也允许用户对商家评分,还有就是商家的交易量,可以综合衡量这些指标选择商家;

  • 一定要求商家使用自己名下银行卡转账。商家可能由于各种原因跟你商量使用亲朋好友银行卡给你转账,一定要拒绝这种交易。这种情况很大可能收到黑钱,并且后续与警方非常难以解释。

  • 资金到账后取现/还信用卡/转股票账户等。资金到账后,由于存在被警方冻卡的风险,最好的策略是取出现金,这样即使被冻结也只是牺牲一张银行卡。其他的一些规避方法包括资金还信用卡/消费贷、资金转至股票账户等。切忌转至自己(或者家人)名下的银行卡账户:因为如果变现资金涉黑,那么关联的账户都会被冻结(亲身经历)。

五、写在最后

是不是觉得在币圈太危险啦?确实如此!各种资金归零方式让你大饱眼福。

如果你坚定的要参与区块链行业的建设,那么请一定小心翼翼。遵从一些通用的安全建议:分散配置、掌握私钥、小心谨慎、Don't trust, Verify。

(完)