私鑰迷云：你在交易所/錢包/DeFi里的幣，到底是在誰手里？_ONI

編者按：本文來自威廉閑談，作者：陳威廉，Odaily星球日報經授權轉載。問個問題，在幣圈的你，你的幣在哪里？在交易所里？在自己的錢包里？在中心化錢包里？在某樣理財錢包里？在DeFi里借貸？在挖礦？還是在哪呢。這幾天出的事情讓很多人瞬間開始學習“私鑰”、“多簽”等相關知識，因為他們不知道，為什么他們的幣提不了了，什么時候能提呢？并且看到了這么一個截圖，看來很多人對他們放幣的冷錢包，還是知之甚少呀：

所以還是回到我們的主題上來，除了幣在自己掌握私鑰的錢包里的朋友，其他的朋友們，你們真的知道你們的幣在哪里嗎?接下來我們好好聊聊這事兒，分不同情況聊聊。一、幣在交易所里

Supremacy：Eden Network部署者地址私鑰遭泄露，或由profanity漏洞導致:10月14日消息，據Supremacy安全團隊監測，2022年10月14日 Eden Network的部署者地址在鏈上發起異常交易，部署者調用setMetadataManager將其元數據管理員權限轉移到攻擊者地址0x5C95123b1c8d9D8639197C81a829793B469A9f32，隨后該地址利用此權限將EDEN幣的名稱和符號修改為\"EDEN Hack Inu\"和\"EDENHACK\"，由于部署者地址對于EDEN token的admin權限早已轉移，目前攻擊暫未造成其他影響。[2022/10/15 14:28:12]

這應該是目前最為主流的情況了，我個人除了冷錢包之外，也有許多幣在交易所里，可能是做一些投資，做一些理財，做一些套利對沖之類的，總之，交易所里完全沒幣也不可能。那么我們放在交易所里的幣，到底在哪里？一般來講，交易所的錢包分成熱錢包和冷錢包，熱錢包一般由“錢包組”管理，處理日常的提現，這里一般有個團隊負責，大部分金額也不大，動用不到冷錢包，每天做個統計就完事兒。最核心的還是在于冷錢包，也就是交易所幫用戶保管加密資產的地方，類似于區塊鏈世界的“銀行地底下倉庫的保險柜”，那么誰掌握這個保險柜的密碼呢？

Ronin橋被盜事件分析：5個驗證者私鑰被盜，合作第三方居然可訪問錢包服務器:據歐科云鏈鏈上天眼團隊對Ronin橋被盜事件分析：

1.Ronin是GameFi項目Axie Infinity做的游戲以太坊側鏈，Axie玩家需要將ETH、USDC等跨鏈到Ronin側鏈上玩Axie游戲；

2.Ronin采用簡易的資產跨鏈模式，用戶在以太坊上向Ronin跨鏈合約轉賬資產，Ronin控制的私鑰錢包在Ronin鏈上給用戶鑄造ETH或USDC。若用戶在Ronin上銷毀USDC、ETH，則Ronin控制的私鑰錢包簽名提幣證明，用戶拿提幣證明調用以太坊跨鏈合約贖回USDC、ETH等資產；

3.這意味著Ronin控制的私鑰錢包配置在服務器上，并且第三方服務可訪問，在服務器上就存在被盜私鑰可能性；

4.不排除Ronin（Axie Infinity）官方自盜嫌疑。

目前，鏈上天眼團隊已對相關地址進行了監控，并將進一步跟進事件進展。

?

此前3月29日晚間消息，Axie Infinity側鏈Ronin驗證者節點遭入侵，攻擊者使用被黑的私鑰來偽造假提款，Ronin橋被盜173,600ETH和2550萬USDC，Ronin橋和Katana Dex已經停止使用。[2022/3/30 14:25:46]

動態 | 科技記者因私鑰被竊損失超3萬美元的加密貨幣:科技記者Monty Munford因私鑰被竊損失了超3萬美元的加密貨幣。據悉，Monty在投資了ETH之后使用myetherwallet.com來進行存儲，但為了隨時可拿到私鑰，他將其保存在了自己的Gmail草稿中。雖然目前還不清楚騙子是如何偷走Monty的加密貨幣的，但考慮到私鑰被存儲在云服務上，存在被非法獲取的可能性。[2019/8/16]

這個密碼其實就是能給交易簽名的私鑰，一般我們說的“多簽”就是多人持有“保險柜的密碼”，得一塊兒簽名同意了，才能打開，光靠一個人是打不開的。所以你的幣可能并不在一個人手里，成熟的交易所，都是多簽。多簽有多種形式，可能是五個人持有私鑰，其中3個人簽名就可以提。大概是這樣，人可能更多，可能更少，邏輯是這么個邏輯。這也是為什么之前bitmexCTO被捕，他們依然能夠提現的原因。

動態 | 黑客通過安裝包內后門滲透進DragonEx龍網成功獲取錢包私鑰:近日，DragonEx龍網交易所安全事件中，降維安全實驗室(johnwick.io)第一時間與龍網積極取得聯系，與龍網一起分析和確認，客服曾經從陌生人處獲取并打開了一個Apple OS X下“交易軟件”安裝包WbBot.dmg (SHA256哈希`****7DEC218E815A6EB399E3B559A8962EE46418A4E765D96D352335********`)，此安裝包經降維安全實驗室技術分析存在捆綁后門，黑客通過此安裝包內后門獲取內部人員權限滲透進內網進而成功獲取數字貨幣錢包私鑰，關于此事件的更深入分析請關注降維安全實驗室的后續報告。[2019/3/28]

所以放交易所里，你的幣在誰手里？最核心還是在于大老板，其次是一些有權力的高管。大部分交易所都會分散開持有私鑰的高管們，盡量在不同國家/地區，避免同時被不可抗力影響，導致交易所無法正常運營。當然，除了避免外部風險之外，也得避免某個人想把交易所資產一股腦卷走的風險。所以幣放交易所里的朋友，最核心的是幾個高管，你們得天天祈禱他們別出啥事兒。二、在錢包里

錢包分成中心化錢包--就是“云端錢包”、“在線錢包”之類的，還有去中心化錢包--冷錢包、硬件錢包之類。冷錢包自然不用多說，自己保管私鑰。那么云端錢包呢？就是你注冊個賬號密碼就可以用的那種錢包，私鑰又在誰手上呢？當然其實也顯而易見了，就是錢包運營方手上。一般優質的在線錢包能提供更加好的體驗，不用一個幣一個錢包，一個賬戶一網打盡：

而且轉賬需要的不是私鑰簽名，而是手機驗證碼、谷歌驗證碼、人臉識別等，也讓更多朋友用起來更舒服，不用擔心丟私鑰。但是有好處自然有壞處，壞處就是這些幣事實上并不在你的“錢包”里，你看到的只是一個“憑證”而已，與交易所給你的無異。你的幣，依然是躺在錢包自己家的冷錢包里。和交易所一樣，如果你使用的是在線/云端錢包的話，那么你也得祈禱錢包運營方幾個管冷錢包私鑰的大佬們平平安安，順順利利吧。三、在合約里

其實不管你參與了DeFi哪個環節，是借貸、穩定幣還是挖礦還是機槍池還是等等等等之類的項目，你的幣大概都在一個地方，叫“智能合約”。你以為你的幣已經“去中心化”了，但是殊不知，其實合約背后，也是私鑰。

你的幣在合約里，理論上合約開源沒啥問題的話，轉入轉出都是OK的，但是智能合約這種東西，也是有私鑰的，能從合約里取幣的。所謂“留后門”，就是這么個操作。所以當你參與到去中心化世界里，把幣交給合約的時候，不妨先看看是哪些地址在控制著合約背后的私鑰。總之，我們可以相信自己，我們可以相信代碼，其他的，還是需要慎重的。最后還是那句話，投資一定不要把錢都放在一個籃子里，不管是幣圈也好，圈外也好，都是一樣。要你本金的投資，一直也在不斷發生著。

祝大家好運。

Tags：RONONIETHEDENTORONTO幣poloniex關聯BABYTETHEReden幣論壇

幣安app官網下載