加密钱包的种种

 这一期，我来列举一下加密钱包的各种东西，以及背后的逻辑和风险。

首先，加密钱包是什么？

我这里首先讲web3钱包，还有硬件钱包等不同钱包。

加密钱包是一个软件，它的第一个作用是管理钱包。这似乎是一个循环论证，但是道理是这样的。你找一个加密钱包，比如metamask，okx web3 wallet。比如你装了chrome的插件，或者是手机app。

加密钱包是软件的概念，每个钱包里的地址包含公钥私钥，也叫钱包，所以怎么叫都可以，只要你能分得清概念。

当你点看钱包的时候，会提示你导入钱包，可以是重新生成一个，可以是导入助记词，也可能是从iCloud导入，也可能是观察某一个地址的余额。不管怎样，都是导入了一个钱包。这一步完成了，你就可以看到很多链/币的地址和余额，可以进行币的swap和bridge，也可以接入不同的dapp进行操作。当然，还可以和管理导入多个钱包。

解释一下，在你生成一个钱包的时候，就是生成一组助记词，然后根据不同的derive path生成每种币的地址种种信息。然后钱包会提示你备份助记词，可以写纸上，存在硬件钱包里，或者存在离线的地方，比如不用的U盘里。

当导入助记词的时候，理想一点的钱包是不会把助记词传到网上的，但是这件事不一定，有些毒钱包就会骗你下载钱包，骗你导入助记词，然后盗走你的资金。

钱包还有一个重要的功能，就是签名和转账，签名很简单，就是给你一段文字和nonce，让你证明是你自己，这不涉及交易。转账是这样的一个加密算法过程，首先，针对接收方的公钥地址用你自己的私钥进行加密，加密里还要包含nonce和金额，然后将加密的信息发给rpc服务器，到mempool中，最后等矿工去挖矿写到链上。钱包只做第一步加密和第二步发送。

这里有个问题，如果你用web3钱包，加密和发送都是在线的，虽然加密是在本地的，但是钱包软件也能看到你的私钥。这在理论上也是不安全的。所以，有硬件钱包的存在，将这两步分离。首先web3钱包提供转账的信息给硬件钱包，然后硬件钱包离线计算出结果给web3钱包，最后由web3钱包将加密结果转发的链上。这在理论上是安全的。

当然如果你的离线钱包是纸，你也很难拿纸笔手算出来加密结果。

这也让你看到了，你的web3钱包里少存钱，除非你不在乎。

web3钱包是大多数dex的入口，一个网站登录，以前用邮箱，后来用手机，现在可以用一个EVM兼容的地址，或者其他链的地址登录，只要能够签名就行。这也是web3和web2的不同点，web2的操作都是在同一个网站上的，你的账户可以被注销，被随意登录。但是web3不需要，你可以使用同一个钱包在不同的网站上使用，结果都被记录到链上，别人没有你的私钥就不会碰你的链上数据。

如果我拓展一下web3开发，架构上基本上是首先开发一组智能合约，然后配套对合约操作的前端，最后保存链下的其他信息。

那么，加密钱包有很多，哪些是相对安全的？

我找一个网站，其实这些网站有很多，有选择地看。

https://cer.live/wallet

okx wallet，metamask，trust wallet，rabby，exodus，backpack这些都是相对安全的。

其他没听过的，哪怕名字让你觉得很安全，先不要用，用也是每次生成一组新的助记词来用，别拿自己的助记词导入进去。说不定有人监视你的余额，当链上检测到有钱进去了，就盗你的钱。

找钱包下载的地址，不要谷歌，不要百度，要找相应的官方推特（X）帐号，然后再进入钱包下载地址，否则很容易被盗！！！一定是官方推特哦，不是假的！！！

但如果你需要用一些特殊的链，比如ton、sui、xmr，他们都有自己推荐的钱包，你可以去官网找一找其链的生态，都有几个推荐的钱包。

其他的钱包就不要用了，即使人家给你钱让你用也不要。

加密钱包还可以做什么？

撸空投：跟着新项目做链上认为，等着项目TGE的时候分你一杯羹。

转账：基本操作

做dex交易：比如最近火的hyperliquid，就是dex的交易，甚至有超过cex的趋势。

做预测市场：polymarket、kalshi。

做投资：比如mystonks，jarsy。

冲土狗：比如pump.fun

炒meme：sol生态、base生态、bsc生态等，其实和pump一脉相承

炒NFT：这是基于ERC-721/ERC-1155协议的东西，类似于炒艺术品

做社交：比如tako、farcaster、firefly

做社交币：比如zora

做ai agent：不举例了，都做得一般

做web3：这是其他所有的总称

做DePIN：去中心化基础设置

参与DAO：去中心化组织，和公司相对应

随便列举一些，就这样吧

最后说一下，使用加密钱包需要注意什么？

首先，要断开不必要的网站链接。不要嫌麻烦。

其次，不要授权自己不知道的东西。

这个很重要，现在EIP-7702有很多合约可以在你不知情的情况下“合法”盗取你的资金！因为你授权了。

接下来，如果钱包提示你不安全，立刻收手。

钱包也是有安全防护机制的，一旦触发了，很可能是你从钓鱼网站跳转过来的，千万不要授权。

再后，配合一些安全插件使用。

比如，我用的  https://www.scamsniffer.io/

最后，定期revoke一些授权。可以看钱包的授权选项，也可以去 https://revoke.cash/zh

取消授权可能需要补充一些gas，这个也值得！