最近由於各種平台的風險,比較多人開始討論cold wallet
當然如果能買hardware wallet是比較好,但不一定每個人願意負擔那個成本
實際上免費方案是有足夠強的選擇,依照使用的方式,可以達到冷儲存的效果
只是使用上必須要自己具備一些知識
我在這篇只針對BTC的錢包Electrum簡介與教學,其他錢包或是幣種給有意願的人分享
以下幾個大分類展開來談
一) 什麼是Electrum
Electrum是2011年誕生的BTC專用錢包,注重速度、輕量、安全性
支援跨裝置(no iOS ver)、2fa認證、lightning network
基於安全性,已經不支援win7
二) Electrum不是被hack過嗎?
3.3.4版本的時候,曾經發生釣魚攻擊事件,目前4.2.2已經修正這類問題的漏洞
下方的教學會告訴大家怎樣在後續避免這類情況
除了釣魚攻擊之外,Electrum生成的private key存在本地
除非你的電腦本身已經被攻破,不然Electrum錢包的安全度可以接近硬體冷錢包
只要保護好seed phrase,就可以保護好你的錢包
三) 什麼是seed phrase
當你把錢包移除、在新的裝置要復舊錢包的時候,你需要seed phrase
換句話說,只要有seed phrase,誰都可以使用你的錢包
保護seed phrase就是保護冷儲存錢包最重要的任務
既不能讓人輕易取得,也不能讓自己輕易遺失
遺失seed phrase跟被盜取的風險相當
關於seed phrase跟private key、public key之間的差異、原理這裡暫時不談
本篇以實用性教學為主
大多數的seed phrase都符合Bitcoin標準BIP39字典
但是既然有標準字典,就有人可能會去嘗試暴力破解 (儘管機率是天文數字的低)
Electrum可以額外加入custom words,這會讓暴力破解的難度再拉高到接近無限大
這是Electrum的好處之一
以下大致說明安裝與使用的要點;
一) 重要提醒
最重要的事情放在開頭講,後面會說怎麼做:
0. 請確保你的電腦沒有被hack,如果你的電腦已經被攻破,後面都是枉然
1. 錢包建立好之後,一定要抹除一次,嘗試用seed phrase復舊成功
2. 傳資金進去的時候,一定要先傳一筆小額的,確認成功了,再傳大額的
3. 確認過seed phrase可以復舊、也確認幣傳了進去之後,建議移除錢包(保留app)
把錢包移除了,才能達到真正的冷儲存 (完全offline)
4. 除了google play下載之外,桌面版"一定"只能從官方網站下載
5. 桌面板下載之後"一定"要用簽章驗證 (後面會說明)
二) 驗證工具:GPG4win
在下載Electrum之前,你會先需要加密、解密、驗證工具 - GPG4win
這是給windows用的免費版本PGP工具
https://www.gpg4win.org/
GPG4win的延伸應用很廣泛,可以自行生成各種加密放在隨身碟
文件、檔案、或是互相有pub key的兩造之間可以傳送只有對方能解開的加密訊息
可以用來藏匿各種機敏資料、分散放置key和加密訊息
製作假key和假的加密資料作為decoy掩護真的key和真的資料等等
這裡暫時只是用來驗證Electrum的安裝檔
安裝好之後,會跑出兩個東西:GPA、Kleopatra
主要使用是後者,開啟Kleopatra之後,先建立一個自己的金鑰
之後要用自己的金鑰去信任Electrum的pub key來對electrum的安裝檔進行驗證
三) 下載與驗證Electrum
這裡以win版本來舉例,其他版本的說明在網站上有
https://electrum.org/
首先到download頁面去下載ThomasV的public key
https://raw.githubusercontent.com/spesmilo/electrum/master/pubkeys/ThomasV.asc
開頭的幾個位數是 mQINBE34z9wBEACT31,請確認下載的key沒有被變造
如果點下去不是下載,而是打開了key內文的話,可以回頭在連結上按右鍵另存連結
打開GPG4win的Kleopatra,點import,選ThomasV.asc
你會成功匯入一個Thomas Voegtlin Key
確認無誤之後,右鍵點選[保證],用你自己的金鑰去認證這個key沒有錯誤
回到Electrum的download page,下載windows installer和右方的signatures
你會得到Electrum-4.2.2-setup.exe,以及Electrum-4.2.2-setup.exe.asc
回到Kleopatra,點選[解密/檢查],選擇剛剛下載的exe安裝檔
如果驗證成功,你會看到"簽章合法,且憑證可信任。"
以後所有的安裝,包括版本更新,都要從官方網站直接下載
即使是程式本身跳出了任何的升級通知,也必須要從上面這個流程去安裝新版
即使程式跳出一個更新安裝的按鈕,也要從官網下載、驗證、安裝
即使程式跳出一個更新安裝的按鈕,也要從官網下載、驗證、安裝
即使程式跳出一個更新安裝的按鈕,也要從官網下載、驗證、安裝
所以Kleopatra建議要留著,這樣下次只需要下載安裝檔和signature就可以驗證
四) 開始使用Electrum
點開Electrum之,在Wallet輸入你想創造的wallet名字,點Next
可以設立standard、2fa、multi sig三個種類 (只有standard支援LN)
============ 2fa說明 不用2fa的人可以跳過 ============
2fa的原理是multisig,其中一份key給第三方TrustedCoin
有兩個key就可以認證錢包,也就是說TrustedCoin單獨不能任意使用你的錢包
而你有兩個key可以在未來任何時間把錢包復原成non 2fa
TrustedCoin提供2fa驗證,可以用google authenticator匯入
使用的時候他會收取一部分的sats來當作手續費
老實講是可以不要用啦... 這裡只是說明一下機制
======================================================
所以就先以standars來舉例
create new seeds之後,你會得到一個頁面,寫著12個seed words
抄下來,最好不要用電子的方式儲存,也不要用鍵盤用任何方式輸入
因為真的不知道自己電腦是不是有被放key logger
如果你10000000%確信電腦很安全,可以考慮用剛剛的GPG4win把key加密
然後把key匯出、跟被加密的seed phrase分開儲存到usb去
就算用這類方法,也是一定要保留一份手抄本
右下角有一個options,點開裡面有Extend this seed with custom words
這就是早前提到的"額外的custom words",不用也沒關係,我個人建議用
下一步就會要你輸入seed extension,記得也要自己抄好
再下一步會要你confirm seed phrase,可以設定password
(如果不刪除錢包,每次打開會問password,傳送幣出去的時候也會問)
順利完成之後就會進入到主介面
五) 刪除錢包並復舊
把剛剛設定好的錢包從Electrum裡面徹底刪除
重新打開Electrum,選擇Create New Wallet -> Standard -> I already have a seed
用Seed復原錢包,成功之後,你的錢包就可以正式開始使用了
六) 接收和傳送
新的錢包點開Addresses的分頁,就會已經預設了將近20個receiving address
這每個都可以用,可以自己挑幾個去edit label設定給交易所匯出白名單
如果在receive分頁,點選New Address,會生成新的address到addresses分頁去
有一種見解是收幣盡量不要重複使用address,避免被追蹤身分
我個人是覺得我也沒那麼土豪,一定程度上重複使用是無傷大雅
在addresses點地址、右鍵Details,可以生成QR Code截圖下來以後給別人掃
至於傳送,在send頁面要輸入對方的address,也可以掃別人的QR code
自己想要保存的幣傳輸到自己的Electrum錢包之後
理想情況是把錢包給刪除 (必須先確認是否能夠從seed phrase復舊!不然就永遠失去幣)
如果覺得自己電腦很夠安全、密碼也很安全、不跟別的密碼共用重複的話
是也可以就這樣存放著,儘管在冷儲存的安全性來說比較不建議
也可以嘗試看看手機能不能順利用seed phrase復舊錢包
如果手機跟電腦都可以成功復舊,那就可以比較安心刪除錢包
結語
我只介紹了只能用來存BTC的Electrum,其他的錢包選擇、別的幣種的錢包都還有很多種
這裡就不一一列舉,只作為拋磚引玉,有興趣補上的人再補上別的錢包吧
冷錢包的重點在於實質掌控自己的財產,不依賴交易所、不依賴存幣平台
實際使用了冷錢包,對於crypto的理解也會比較深、比較知道機制
也比較容易理解crypto的基本精神trustless
我個人使用Trezor硬體錢包搭配Electrum混合使用
雖然Electrum的介面比較陽春、手機版的UI有點傻(有的地方沒有返回上一步驟...)
但是活了11年、除了phishing attack之外沒有被攻破的老字號,還是有他的安全性
可能用的人會覺得這些步驟也太麻煩,安裝前還要驗證
但這是由自己掌控自己的資產,去除所有的風險因子是很重要的事情
Don't trust, verify. Your key, your coin.