DeFi 钱包：你的密钥、你的加密货币、你的安全难题

把 DeFi 钱包想象成你个人的钥匙串，用于连接日益壮大的去中心化应用 (dApp) 及其运行的系统；大多数系统不会为你保管钥匙。这与传统的加密货币交易所相比是一个很大的转变，因为你掌握私钥——你资金的密码——这是去中心化金融的核心理念。将这种控制权交给你，意味着你可以更好地掌控自己的资金，不必担心公司丢失资金，但这也意味着你需要承担新的责任。

这些钱包是您通往 Web3 的通行证，让您可以持有、发送和获取各种数字货币和代币。它们不仅仅是一个数字存钱罐，还能让您直接参与 DeFi 活动：您可以借出或借入加密货币，在去中心化交易所 (DEX) 上交易，尝试通过收益耕作来增加持仓，甚至可以投票决定项目的运作方式。如今，您会发现大多数钱包可以处理不同的区块链和各种数字资产，甚至包括 NFT 等独特的资产。

但这引出了一个主要问题：DeFi 钱包对于日常用户和投资者来说是否安全？

DeFi 钱包的构建方式确实决定了它的安全性、易用性以及你可能会遇到的危险：

• 你会发现像 MetaMask 这样的钱包就内置在你的网页浏览器中，让你可以轻松点击并运行 dApp。它们通常比那些将你的密钥保存在某个公司服务器上的老式网页钱包更安全，但它们仍然容易受到隐蔽的浏览器攻击、网络钓鱼诈骗或有害插件的攻击；如果你的浏览器不安全，你的钱包也同样不安全。
• 此外，还有一些移动应用程序，例如 Trust Wallet 或 Argent，它们将 DeFi 装进了你的口袋，并且通常允许你使用指纹或人脸登录。但问题在于？你的手机可能会受到专门针对移动设备的恶意软件、虚假的应用商店列表或操作系统漏洞的攻击。由于这些“热钱包”始终处于在线状态，它们本身就存在一定的风险。
• 将你的软件钱包与 Ledger 或 Trezor 等硬件设备配对，可以真正提升你的安全性。这些设备可以让你私钥完全隔离在互联网之外，避免被黑客窃取。你必须按下设备上的实体按钮才能批准任何交易，大多数人都认为这是严肃使用 DeFi 的最佳防御措施，即使它不太方便。
• 像 Argent 或 Safe 这样的新型智能合约钱包实际上是在区块链上运行的小程序。这种设置允许使用一些很酷的技巧，例如需要多人批准交易、在好友失去访问权限后找回钱包的方法，或者设置消费限额。它们的安全性取决于程序代码的编写质量和错误检查。它们包含一些强大的工具，但代码中的一个错误也可能为窃贼打开方便之门。随着诸如账户抽象（你可能听说过 EIP-4337）之类的想法的出现，事情变得更加有趣，这可能会带来更智能、更易于使用的智能合约钱包，从而避免一些管理私钥的难题。

掌握自己的钥匙：DeFi 的重大承诺和更大的责任

“你的钥匙，你的币”——这就是 DeFi 自主托管的核心。这意味着，如果你拥有私钥，你就是唯一真正拥有与之相关的数字货币的人。这颠覆了传统，将所有安全责任都放在了你的肩上。当然，如果大型交易所遭到黑客攻击或账户被冻结，你还是安全的，但如果你丢失钥匙或被骗子欺骗，钱就没了，而且也没有银行可以求助。

那种掌控全局、直接进入 DeFi 的感觉很诱人，但你必须在它与棘手的技术问题以及你全权负责保障安全之间找到平衡。错误难免会发生，比如将加密货币发送到错误的地方，或者点击了不靠谱的智能合约，这些都是巨大的风险。

在 DeFi 中保持安全：警惕钱包风险和协议陷阱

DeFi 无疑是尖端技术，但它也是骗子的温床，数十亿美元因安全漏洞而消失。你必须警惕以下常见陷阱：

• 警惕网络钓鱼：骗子会创建看似相似的网站、虚假的 dApp，或发送看似真实的电子邮件，所有这些都是为了诱骗你交出私钥或同意一些不正当的交易。这种老套路至今仍然屡试不爽。
• 如果骗子获得了您的私钥或种子短语（可能是通过病毒、网络钓鱼诈骗或因为您没有安全存储），他们就拥有了您的钱包及其中的所有内容。
• 恶意软件始终是个问题。有些程序会在你复制粘贴时偷偷更改加密货币地址，有些程序会窃取你的信息，还有一些只是假冒的钱包应用。臭名昭著的拉撒路（Lazarus）组织甚至传播了一个 DeFi 钱包，并设置了秘密入侵方式。
• SIM卡交换是另一个可怕的威胁。窃贼会盗用你的电话号码，获取你通过短信发送的双重身份验证码，然后入侵你的账户。
• 谨慎对待与智能合约的交互。“授权漏洞”是指你赋予可疑或被黑客入侵的智能合约过多的代币控制权，让窃贼洗劫你的账户。你还会发现一些隐藏在虚假 dApp 中的“钱包窃取程序”；它们会诱骗你签署某个协议，然后把你的加密货币拱手让给别人。自 2020 年以来，仅这些授权骗局就已盗取了超过 4.05 亿美元。

你需要担心的不仅仅是你的钱包；有时 DeFi 服务本身也存在一些弱点，可能会让你损失金钱：

• 有时，运行 DeFi 服务的代码会存在 bug。诸如“重入”问题（几年前导致 DAO 大规模黑客攻击，以及 2023 年 7 月 Curve Finance 遭受 6100 万美元损失）之类的问题，可能会让窃贼窃取人们投入该服务的资金。
• DeFi 服务通常使用“预言机”来获取价格信息。如果黑客能够欺骗这些预言机，使其报告错误的价格，就可能导致人们被不公平地清算，或者让攻击者在无需提供足够抵押品的情况下借入加密货币。Mango Markets 就是这样损失了 1.17 亿美元的。
• 闪电贷是指某人借入大量加密货币并立即偿还，这种行为可能被用于恶意行为。攻击者利用闪电贷来扰乱市场价格或利用协议中的其他弱点，通常会从流动性池中抽走大量资金。
• 然后还有“地毯式拉拢”（rug pulls）。这指的是项目创始人聚集资金后突然消失，通过清空流动性池或抛售所有自有代币来卷走所有人的资金。超过 5800 万美元消失的 AnubisDAO 事件就是一个警示。
• 即使 DeFi 服务的核心代码非常可靠，如果其网站遭到黑客攻击，你也可能被诱骗去交易恶意合约。BadgerDAO 就曾遭遇过这种情况；他们的网站遭到入侵，导致 1.2 亿美元的损失。

保障加密货币安全：明智习惯以及开发者的做法

保护好你的私钥和助记词是首要任务，没有任何借口。考虑离线创建它们（说真的，看看硬件钱包），找到非常安全的方式来存储你的助记词，包括物理和数字存储（但永远不要在线存储），并且始终仔细检查你的备份。

DeFi 钱包的构建者们也在通过多层安全措施来加强他们的安全：

• 他们经常将代码开源，以便任何人都可以查看，并且社区可以帮助发现问题。
• 他们还会聘请受人尊敬的外部公司来检查代码，找出漏洞。这并非万能的盾牌——即使是经过审计的项目有时也会受到影响——但这确实是一项重要的检查。
• 有些钱包现在会允许你“预览”你批准交易后会发生什么前它能帮你发现一些可疑的东西。Fordefi 钱包和 Tenderly 等公司的工具都提供这种功能。
• 您还可以找到诸如 Revoke.cash 或 Etherscan 上的 Token Approval Checker 之类的工具，它们可以让您查看和取消不再需要的任何令牌权限。
• 而且，如上所述，确保钱包可以轻松连接到硬件设备是安全 DeFi 的重要组成部分。

对于您来说，保持警惕至关重要：

• 总是要做好一点怀疑的准备，特别是对于突如其来的提议或任何看起来好得令人难以置信的承诺回报的事情。
• 检查并反复核对每个合约地址和交易的所有细节。使用 Etherscan 等网站确保合约信息真实可靠。
• 如果您持有相当数量的加密货币，那么拥有一个硬件钱包不仅是件好事，更是必需品。
• 如果您不使用 dApp，请养成检查并取消授予它们的权限的习惯。
• 永不停止学习。了解最新的诈骗手段，掌握最佳的安全方法。

下一步：更先进的安全技术和不断变化的监管环境

为了让 DeFi 钱包更加安全，新想法层出不穷：

• 一个令人兴奋的发展是账户抽象（类似 ERC-4337）。这可以将你的钱包变成一个智能的、可编程的账户，并提供一些很酷的功能，例如通过好友恢复访问权限、需要多次批准才能进行大额转账，甚至让其他人支付你的交易费用，所有这些都可能使管理密钥变得不那么麻烦。
• 多方计算（MPC）是另一种技术。它的工作原理是将私钥拆分成多个部分，这样任何一部分都无法被窃取和单独使用，从而消除了关键的薄弱环节。
• 还有形式验证，这是一种使用数学来证明程序代码确实按照预期运行并发现隐藏缺陷的奇特方法。
• 当然，人工智能也正在进入游戏领域，开发出可以发现甚至猜测不良行为者何时采取行动的系统。

政府对 DeFi 钱包的看法仍在不断变化。像 FATF 这样的大型国际组织希望看到更多反洗钱和反恐融资规则，并且他们经常关注谁真正拥有对这些 DeFi 系统的“控制权或影响力”。在欧洲，新的 MiCA 规则和“旅行规则”将改变加密服务提供商处理人们自行管理的钱包的方式。与此同时，在美国，SEC 和 CFTC 等机构正在采取行动，关于开发者是否应该承担责任以及“去中心化”的真正含义的讨论也很多。我们期待最终出台更清晰的规则，但它们必须在鼓励新想法和保障人们安全之间找到平衡。

人们有多安全感觉DeFi 钱包的使用对于更多人加入以及整个市场能否发展至关重要。每一次大规模黑客攻击都会让人感到紧张，但每一次智能安全突破都能让他们安心。DeFi 渴望成为主流，但要做到这一点，它必须找到一种超级安全的方式来保护资金，同时又要让日常用户轻松便捷地使用。诸如去中心化保险以及确保每个人都了解风险和如何保持安全等措施，对于未来让 DeFi 更安全、更惠及每个人也至关重要。