随着全球加密数字货币规模超高速的增长，数字货币的安全存储成为了关键的一环，也是决定其健康可持续发展的基石。大批投资者进入数字货币行业，首先需要做的就是建立自己的数字货币钱包。不过，你的数字货币钱包安全吗？

之前很多网上的朋友向笔者咨询Gala节点以及数字货币相关的问题，笔者发现大部分人对钱包的安全不够重视，或者不清楚该做哪些事情让自己的钱包更安全。下面笔者就先从几个明显会有问题的点介绍一下，如何能够更好的保障自己数字钱包的安全。

来源：公众号：小凡说币

钱包的选择

一般用户常用的，主要是冷钱包和热钱包。

冷钱包不触网，完全脱离网络存储私钥，比如不联网的手机、电脑、u盘。因为不触网，很难被黑客攻击盗走私钥或助记词，所以相对来说安全很多。但最好还是在其他物理设施上备份一下助记词，以防硬件损毁。冷钱包适合存放大资金或者价值投资长期持有，因为不能在钱包直接交易，需要转账之后才能参与Defi、Gamefi等。账号的创建也比较复杂，对大多数人来说非常不友好。

热钱包是指互联网能够访问到私钥的钱包，往往是在线的轻钱包形式。热钱包被广泛采用，有以下几点需要特别注意下：

1. 热钱包一定要选择大平台或者开源的平台，比如小狐狸钱包，TokenPocket，imToken，麦子钱包等。尽量不要用不知名的钱包服务商，因为你无法保证不知名的钱包服务商不会偷偷上传你的私钥。即便钱包服务商没有恶意，也无法确认他们的技术能力能否防得住黑客的攻击。经过时间和用户检验的钱包服务商更值得信赖。
2. 热钱包一定要在官方的渠道下载，比如官网、APP store、Google Play等。一定不要从第三方网站下载，包括但不限于云文档的下载地址，IM软件传输的文件，假的官网地址等等。尤其近期很多诈骗犯，发送模仿的冒牌网站引导下载钱包软件。而你下载的大概率是重新打包的软件并被植入了病毒，只要导入私钥之后就可以不访问私钥直接转走数字货币。
3. 热钱包的私钥和助记词备份下，保存到安全的地方。主要还是为了防止助记词丢失找不回钱包的问题，当然最好是在纸上抄写一下存放起来，如果存到第三方软件上，你要确认第三方软件是足够安全的。
4. 一定不要跟任何人说出自己钱包的助记词。这个操作相当于你把银行卡和密码告诉了别人，即便是你信赖的朋友，如果你的银行卡里有大额资金，你能保证你这个朋友不会动心思？何况区块链匿名的特性，你甚至不会知道这个钱到底是谁取走了。

网络的选择

网络是参与项目非常关键的步骤，也是最容易出问题的地方。如果你不小心使用了不受信任的网络，你的钱包信息就可能会被泄露。想想为什么会有冷钱包的存在，就是为了防止触网导致黑客侵入。以下几点需要格外关注：

• 不要连接公共WiFi

你根本不知道提供公共WiFi的人，到底在WiFi上放置了什么软件。这里的公共WiFi包括但不限于：咖啡厅的公共WiFi，饭店开放的公共WiFi，购物中心可连接的WiFi，免费的WiFi软件提供的可连接的WiFi，不知道谁开放的可以直接连的WiFi等等等等。除了你自己的WiFi，全都不要连接。如果你真的很需要流量，那就买个大流量套餐的手机卡。你连了免费的WiFi以为节省了流量，殊不知提供WiFi的人，说不定就是在钓鱼，诱导你连了他的WiFi然后抓取你的网络数据包，你的网络数据包里可能就存在钱包的信息。

• 不要信任、不要使用VPN翻墙软件

由于国内政策的原因，许多区块链和数字货币的项目需要科学上网才能访问。所以很多人买了VPN用于访问这些项目，例如佛跳墙啊、极光之类的，甚至还有一些看广告可以免费使用一小段时间的VPN厂商。为什么VPN不安全？因为你使用的软件，在使用VPN网络的情况下，网络数据会先发送到VPN所在的服务器，然后通过这个服务器转发到目标服务器。所以VPN的服务器会记录你所有的网络数据包，对，就是所有的网络数据包。

你可能会心存侥幸，这些VPN服务有那么多人买，不止我买了这个软件，而且我很多的应用都在用VPN，这么庞大的数据，应该不至于被识别吧？其实并不是这样。网络安全行业有一个常见名词——APT，高级持续性攻击。

APT是指隐匿而持久的入侵过程，通常由某些人员精心策划，针对特定的目标。其通常是出于商业或政治动机，针对特定组织或国家，并要求在长时间内保持高隐蔽性。

如果黑客知道你的热钱包有大量的数字货币，而通过VPN的网络数据包分析并篡改返回数据，则可以悄无声息的转走你的数字货币，而你甚至根本不会怀疑是VPN出了问题，只觉得自己运气不好。

VPN服务商有动机做这样的事情吗？当然有。你要知道，售卖VPN翻墙软件在国内是违法的！VPN翻墙服务商团队要么是匿名团队，要么已经定居海外，本来就很难追溯到他们。而由于国家不承认数字货币的价值，即便知道是他们盗走了数字货币，也很难报警立案。再者，即便立案了，你能找到任何的证据，来证明是VPN服务商团队做的事情吗？几乎无风险又可能获得大量的收益，一定需要着重的防范下。

如果你只有价值几万块钱的数字货币，不会有人采用这种攻击手段，实施成本较高。但你进入数字货币领域，难道只是为了赚几万块钱？当有一天你的钱包里有了大量的数字资产，而这足够让黑客花大量时间分析你的各个应用的数据，对你的行为习惯等建立模型，找出合适的攻击方法。

如果购买的VPN软件不能被信任，那该如何访问国外优质项目的网站呢？最好的方法，莫过于自己搭建专属的访问通道了。虽然有较高的技术门槛，但钱包的安全会有相当大的保障。或者找懂技术的朋友帮忙搭建，密码自己设置好，搭建完成之后每月的付费并不比VPN软件贵。笔者目前使用自己专属的访问通道，完全不用担心被封禁、被盗钱包之类的问题。

手机的选择

手机建议最好买一个备用机，只安装极少数的软件，并保管好钱包。当然备用机就不需要太贵的了，用官方原版本的系统，不要做任何魔改。

笔者一直是在用Android系统，主要是曾经阅读了所有Android framework的源代码，对手机的硬件和安全也有深入研究，开源社区对于Android的支持也更加友好。这里笔者还是推荐一下华为的手机，并不是因为爱国情怀……而是华为的手机，在安全性上确实做得还可以，华为本身也是做通信起家的。

讲个例子吧，之前工作上的一个项目，需要从硬件层面攻破手机的Bootloader锁，从而获取系统最高权限。当时小米、魅族等型号的手机，最终都采取了9008端口的方法获得了最高权限。然而当时华为的手机，使用了各种办法都没能搞定，最终只搞定了老型号的机器。因为什么呢？华为对员工和信息安全的管控做得太严格了。笔者大学期间曾经去华为的实验室实习，每次进入工区都要经过非常严格的安检，各种数据和代码权限管控极为严格，硬件设备是决不允许连到内网的，所以市面几乎找不到任何关键资料去攻破Bootloader锁。笔者现在使用华为作为备用手机，续航、存储、安全都较好的满足了需求。

不过华为的手机无法支持Google Play，如果经常使用海外的软件，必须要依赖Google Play，那就需要考虑下其他型号的手机了。先推荐款三星的手机吧，后续大家有兴趣，可以针对Android手机的选择专门讲一下

个人行为

避免成为APT的目标，最好的方法就是控制自己的行为。一定不要炫耀，不要浮夸。圈子里有太多人，炫耀自己盈利，手里有很多币，然后就被黑客攻击，一无所有。老祖宗一直教育我们闷声发大财，就是看清楚了这点。赚了钱就好好改善下自己的生活，会所啊什么什么的，没有必要给别人证明什么。一定不要有“富贵不还乡，如锦衣夜行”这种想法，这样也是最大可能避免成为APT目标的方法。

多增加自己的安全防范意识，对自己百利而无一害。增加自己数字货币的安全是需要长期积累下来的，祝愿各位都能稳稳地保护住自己的数字货币。