松鼠的隐秘仓库

松鼠的隐秘仓库 - 王一石Skip to the content

随着3月马蹄莲盛开季节的到来，新加坡这个壮美的海岛国际旅游惹火之地吸引了近 2000 万游客，他们来此度假、购物、在滨海湾金沙撒欢。

令人心旷神怡的圣淘沙则只离市中心二十余分钟车程。在那儿，你可以坐在码头的椅上，慢慢儿地品味遥远海平面的蜿蜒，这里的海景和海岸线令人窈窕心动。

很多人都认为新加坡是一个可以让人轻松放松的休闲天堂。你可以在圣淘沙看到松鼠，包括小食蟹松鼠、斑臂鼠、松鼠、喜马拉雅松鼠和巨型树松鼠等，常常在公园和花园里跳跃、寻找和储存食物，展现出鬼斧神工的储藏技能，甚至能在被积雪覆盖的地方轻松找到之前埋藏的食物。

在加密市场，每个人都需要锤炼自己像松鼠一样的匿藏技巧。

我以为每个人都具备这样的基础知识，可事实并不是。

如果你想建造一座坚固的堡垒，就需要从挖掘打好基础开始；如果你只是想在沙滩上盖个小沙堡，那一把塑料铲子就够了。

相似地，大多数人在赚取财富时，却将无法承受损失的财富轻易存储在MetaMask 钱包中。

资深全栈工程师 Hyper 讲过一句话，我至今都记忆犹新。

安全这种事，最核心的就是记住两点：

• 不要被别人搞死
• 不要自己把自己搞死

这句话同样适用于「加密资产保管」，翻译成人话就是：

• 不要让别人拿到你的资产
• 不要让你自己拿不到自己的资产

在安全花时间和精力，实质上是投入产出比非常高的，尤其是当你看到身边无数丢币惨剧发生，自己安然无恙的时候。

因此，我向大家推荐三种亲身总结出的最佳资产管理实践。

只要你严格遵守，基本不会存在任何后顾之忧。这些实践能够极大地提高你的加密资产的安全性。

在开始前，我建议你将自己的资产按下面比例分成3部分：

硬件钱包：热钱包：交易所 =  8:1:1 

这个你比例可以灵活调整，但我建议一定要把大头资金放到硬件钱包。

Passphrase 密语

所谓密语，很像信中套信。

夏津之战，文信马踏雪密授机密情报给将军白起，将情报嵌入了三层套嵌的密信中，并借口其妻子生产而赶赴晋阳。

这份情报来得非常及时、准确，使得白起成功地埋伏、围攻赵军，最终打败了赵国军队，成为了古代中国历史上著名的战役。

我们都知道钱包在创建的过程中会生成12、18或24个单词，这些单词就是你的钱包密钥，谁得到它，谁就掌握你的资产，所以万万不可泄露。

而密语做的，就是在这些单词的外面，再套一层密码，并透过特殊的方式派生出隐藏的钱包账户和地址。

• 钱包 A + 密语 B = 钱包 C
• 钱包 A + 密语 D = 钱包 E

一个钱包可以绑定无数个密语，每个密语都将带你走向不同的门。

每次要操作这些隐藏钱包，你都必须输入正确的密语，否则它们无法显形。

用密语的好处是，即便哪天你的助记词泄露，对方在不知道密语的情况下，依然无法获得你的资产。

下图是 Trezor 估算的暴力破解 Passphrase 需要花费的成本：

可以看到，如果你设定了一个同时包含大小写字母、数字、且12位以上的密语，破解它所需花费的成本是个天文数字。

主流的硬件钱包都支持密语，我目前主要在使用的三款硬件钱包是 Trezor、OneKey 和 Ledger。

下面以适合中国人习惯的 OneKey为例，教你如何设置。

首先，在你的硬件钱包「安全」或「钱包」选项中，打开 Passphrase（密语），下图分别为 OneKey Mini、Classic 和 Touch 的界面。

完成后，连接你的硬件钱包至客户端。

软件会自动识别到这个硬件已经开启了密语功能。

还记得我们刚才提的吗？一个钱包可以绑定无数个密语，每个密语都将带你走向不同的门，每扇门背后都是隐藏钱包。

密语不存在对或错，它不是密码，而是一串魔咒，你念什么魔咒都能进入对应的隐藏钱包。

密语不会被客户端记住或存储，下图中，你输入字母 ABCD，就会进入一个以 ABCD 为密语的隐藏钱包；你输入数字78219，就会进入另一个隐藏钱包。

只要你在同一个钱包上输入相同的密语，那么你每次进入的就是同一扇门，这样说，我想应该够清楚。

如下图所示：

• 按提示输入 Passphrase 密语就可以进入对应的钱包。
• 选择「在设备上输入」，可以使用直接在硬件上输入你的密语。
• 勾选「固定」，会将这个密语的钱包账户保留下来，固定在客户端的钱包列表里
• 如果不勾选，那么软件关闭后这个钱包账户会自动消失，等待你下次重新输入密语召唤它

通过密语进入隐藏钱包后，你可以先小额往里存一点币。然后拔除设备，重新输入密语，再检查币是否还在。

只要确认还在，就说明你已经熟练掌握密语的输入了。

不过，我衷心建议不要在隐藏钱包上操作 DeFi，频繁地输入密语是很痛苦的。

密语+隐藏钱包只适合用来囤币，不适合做其他操作。

以上，是为密语。

多重签名

印度史诗《摩诃婆罗多》中，提到过一个宝藏，它被藏在玛哈布哈拉塔家族的宝库中。

为了保持宝藏的安全，存放宝藏的密室被设置了多重签名系统。

在这个宝藏的多重签名系统中，只有能掌握宝藏藏匿之地的几个人才能够进行签名授权。如果宝藏被盗或者有任何非法使用，那么他们会失去玛哈布哈拉塔家族的信任。这样就可以保护这个宝藏，防止不当的使用。

比特币原生支持多重签名，如果是以太坊或其他 EVM 链的资产（如 Polygon、BSC…），我推荐你用 Gnosis Safe 来做多签。

下面我以 OneKey 硬件钱包 + Electrum 客户端为例，演示如何通过这种形式保护你的资产。

准备工作，你需要：

1. 下载并安装 Electrum 客户端
2. 准备好支持 Electrum 客户端的硬件钱包，如 OneKey、Trezor、Ledger、BitBox02  … 等 

首先，打开 Electrum 客户端，创建新钱包，钱包名称随时可改。

这里，我们选择 Multi-signature wallet，也就是多重签名钱包。

这个界面看起来有些复杂，我们逐一解释：

• From X cosigners，指的是这个多重签名钱包一共有 X 把「钥匙」。
• Require Y signatures，指的是需要 Y 个签名才能把交易发出去。

X 的数值永远大于等于 Y 的数值。常见的有：

X – Cosigners	Y – Signatures	含义
3	2	一共3把钥匙，每次交易需要2把签名。
5	3	一共5把钥匙，每次交易需要3把签名。
7	4	一共7把钥匙，交易需要4把签名。
9	5	一共9把钥匙，交易需要5把签名。

为什么？因为这样设置的容错性最好。

非常不建议你设置成诸如 3 of 3，5 of 5… 这种每次交易需要全部钥匙签名的形式，万一丢了其中一把钥匙，你的币就找不回来了。 

如图所示，我们选择了 2 of 3 多签形式。意味着这个钱包由3把钥匙共同生成，每次转账，都需要其中的2把钥匙共同签名，才能奏效。

接下来，我们选择 Use a hardware device，按照界面的提示，逐一插入自己的硬件钱包。

Electrum 会要求你解锁钱包，读取硬件钱包的公钥。

当你使用Electrum钱包客户端时，它会让你选择地址格式并允许你自定义路径。

Electrum的默认派生路径是：m/84’/0’/0’。

不过，我们建议保持默认的设置，不做过多的调整。

这时会出现钱包的公钥，我们暂时用不到。

继续添加硬件钱包，直到你将3个钱包都添加完。

恭喜，到这里你就已经完成了  2 of 3 多签钱包。

所有转到这个钱包里的币，都需要2个签名才能发出去。

如果你丢了其中一个钥匙也没关系，只要还有2把，就能随时把钱包恢复出来。

Electrum 是一款非常强大的开源比特币钱包，功能极多，受制于篇幅，这里不展开，你可以自行摸索。

一些说明：

• 多签的钥匙数量一旦设置，无法修改，所以创建时务必谨慎。
• 硬件钱包不是多签的必需品，我这里用硬件钱包做演示，是因为这样更安全。
• 如果你偏好纯软件的比特币多签钱包，BlueWallet 是个不错的选择，容易上手，也是完全开源的。
• 访问 Electrum -> Preferences -> Appearance，可以修改客户端的显示单位，我比较喜欢改成 BTC 或 sat。
• 访问 Electrum -> View -> Show Addresses，可以将当前钱包里的地址都显示出来，建议打开。

以上，是为多重签名。

自定义路径

阿斯托里亚号是一艘美国军舰，在1942年参加了第二次世界大战。这艘军舰沉没于阿留申群岛附近的海域，事后被发现是因为恶劣的天气和导航错误导致的。

在阿斯托里亚号沉没之前，舰长詹姆斯·莫林斯（James Manning Roebling）曾经对船员提出了一个提醒：无论何时都要重视风险，并且在采取任何行动之前，要想象一下最坏的情况，并采取措施以最大限度地减少事故的发生。

虽然这艘军舰的结局是悲剧，但不妨碍我们从中汲取教训。

对于加密资产的保护，我们除了密语、多签外，还有一个冷门的加密方式，即，自定义派生路径。

假设你处在极度危险的环境下，被迫交出了自己的所有硬件钱包、助记词、甚至是密语，那么你至少还应该留最后一个铜板在「自定义派生路径」上。

什么叫派生路径？以最流行的 BIP44 为例，其派生路径为：

m / purpose' / coin_type' / account' / change / address_index

具体来说，BIP44定义了以下参数：

– Purpose’：表示此HD密钥是用于分层确定钱包结构的。

– Coin_type’：coin_type是一个数字，意思是币种的类型，例如，比特币的值为0。

– Account’：帐户，编号是可以自定义的，可以创建多个帐户。

– Change：这是一个非强制项，可以是0或1，0表示外部地址，用来接收比特币；1表示内部地址，用来找零。

– Address_index：地址的数字索引，用于确定和管理地址列表。

因此，比特币的完整派生路径为：m / 44′ / 0′ / account’ / change / address_index，比如 m / 44′ / 0′ / 0’ / 0 / 0。

当你将助记词导入钱包时，相应的账户地址会自动恢复，但这个数字会有上限。通常而言，钱包在“account”这一层级往上找到20就会停止。

然而事实上，“account’”的上限是2 ^ 31 – 1，也就是2147483647。这是因为BIP44使用了带符号的32位整数来编号从0到2^31-1的账户。

这样一来，你就可以创建自己的账户路径。

比如说，你可以创建一个编号为202399999的“account’”，并在其中存储一些资产，而除了你自己，没有别人会知道这个路径的存在。

除了“account’”，你还可以自定义“address_index”，而二者的组合可以几乎无限。

歹徒即便拿到你的助记词，导入他的钱包，若不知道具体的路径位置，也极难恢复出真正有币的那个地址。

这为你脱逃和转移资产争取了宝贵的时间窗口。

这是个天然的藏匿容器，却极少有人知道。

下面，我用 OneKey 桌面客户端手把手教你操作。

首先，点击钱包界面右上角的账户选择器。

在账户选择器中，点击右侧的 + 号，轻点 Manage Accounts 管理账户。

接着，点击 Mange Accounts 页面右上角的 … 菜单，并继续点击 Find Address by Path 选项。

在下方的界面中，我在 Account 栏输入了  202399999 这个数字，在 Address_index 栏输入0，你可以按自己的想法随意输入。

现在，见证魔法的时刻到了！

你的钱包出现了一个编号极大的账户，这就是你的秘密地址。

保险起见，你可以点击账户右侧的菜单“…”，删除这个账户，然后重新添加一次。

只要确认地址一样，你就可以放心往里转币了，美哉美哉。

通过这种方法，你可以给自己的地址叠加无数个 Buff。

真真假假，没有人知道你的币究竟在哪个账户的哪个地址上。

当然，自己要把路径记牢，最好能写下来，放在安全的地方。

如此一来，真是念头通达。

总结

以上种种，是我亲身指南的最佳资管实践。

你只需学习其一，就可轻松应对囤币难题。

若巧妙组合运用，FBI找你都无门。

请诸位好好学习，做一只聪明的松鼠，保管好自己的隐秘仓库。

Enjoy.