香港加密貨幣安全:保護你的持倉
如何在香港保護比特幣、以太幣及其他數碼資產——涵蓋交易所、錢包、常見攻擊途徑及SFC監管平台。
如何在香港保護比特幣、以太幣及其他數碼資產——涵蓋交易所、錢包、常見攻擊途徑及SFC監管平台。
香港在證券及期貨事務監察委員會(SFC ↗)的虛擬資產交易平台(VATP)發牌制度下,已確立自身為亞洲領先的受監管加密貨幣司法管轄區,該制度於2023年6月起強制執行。持牌平台——包括HashKey Exchange和OSL Exchange——須符合嚴格的資本充足率、保管及安全標準。然而,監管針對的是平台層面的運營標準,而非個人投資者帳戶或錢包的技術安全。個人安全完全是投資者自己的責任。
監管框架在SFC持牌平台與無牌交易所之間創造了有意義的區別。在香港運營或針對香港居民的無牌平台被禁止,SFC定期更新疑似無牌平台的警示名單。在無牌交易所交易,意味著你的資金不在香港金融監管的保護範圍之內——沒有存款保障、沒有強制分隔客戶資產,也沒有正式的投訴解決機制。2022年FTX的崩潰在全球造成數十億美元的客戶損失,仍是無牌交易所風險在實踐中意味著什麼的最清晰例證。
除交易所風險外,個人加密貨幣持有者還面臨帳戶被盜用、針對加密貨幣錢包的malware、旨在獲取助記詞的社交工程攻擊,以及冒充交易所登入頁面的釣魚網站的盜竊風險。區塊鏈的不可更改性——使其作為交易可信賴的特性——意味著被盜的加密貨幣幾乎無法追回。與詐騙性銀行轉帳不同,警察可能能夠凍結資金,在區塊鏈上確認的加密貨幣轉帳無論如何獲得都是永久性的。
交易所帳戶安全是大多數投資者加密貨幣保護的第一個實際層面。帳戶被盜用通常源於憑證重複使用(使用與被洩露服務相同的密碼)、針對交易所登入憑證的釣魚攻擊、SIM卡調換以截取短訊驗證碼,或用戶設備上的malware。每種攻擊途徑都有對應的防禦措施,合併應用後可使帳戶被盜用極為困難。
加密貨幣交易所最重要的單一帳戶安全措施是啟用最強可用的雙重驗證,並使用驗證器應用程式(Google Authenticator、Authy或如YubiKey的硬件密鑰),而非短訊。基於短訊的2FA易受SIM卡調換攻擊——一種詐騙者對你的流動網絡商進行社交工程,將你的號碼轉移至他們的SIM卡,此後接收你所有短訊(包括OTP)的技術。SIM卡調換直接造成香港數十萬美元的加密貨幣交易所盜竊。基於應用程式的TOTP代碼或硬件FIDO2密鑰對此類攻擊免疫。
提款白名單——大多數受監管交易所提供的功能——將提款限制在預先批准的錢包地址列表。啟用此功能意味著即使攻擊者完全訪問你的帳戶,也無法提款至他們自己的錢包,直到他們將其添加到白名單,這會觸發帶有時間延遲的額外核實程序。結合所有登入嘗試的電郵和電話提示,這為在資金被提取前偵測和應對帳戶被盜用提供了寶貴時間。
加密貨幣保管中的根本決定,是將多少持倉保存在熱錢包(連接互聯網)中,與保存在冷倉(離線)中的比例。熱錢包包括交易所帳戶、手機錢包應用程式(Trust Wallet、MetaMask)及桌面錢包。它們方便用於交易和與DeFi協議互動,但永久連接互聯網,易受任何針對你設備或帳戶的攻擊。冷倉——主要是Ledger Nano X或Trezor Model T等硬件錢包——將你的私鑰保持離線,使遠程盜竊在理論上不可能。
對於持有超過幾千港元加密貨幣的香港投資者,硬件錢包不是可選的,而是必要的。Ledger或Trezor設備的成本(通常HK$600至HK$1,200)與它所保護的價值相比微不足道。設置硬件錢包包括生成新錢包並在紙張或鋼鐵備份介質上記錄12或24個助記詞。這個助記詞是所有資金的主密鑰——它必須安全、離線存放,且與設備本身分開存放。任何持有助記詞的人都可以從任何兼容的錢包應用程式訪問所有資金。
手機設備上的軟件錢包佔據中間地帶——比交易所帳戶更安全,但比硬件錢包更不安全。對於你定期互動的金額——以加密貨幣支付服務費用、以合理金額參與DeFi——配置良好的手機錢包是可接受的。確保運行你軟件錢包的設備有強力解鎖PIN碼、啟用全磁盤加密(在現代iOS和Android上默認設置),以及最新的作業系統。切勿在持有加密貨幣錢包應用程式的設備上安裝未知應用程式,如果你的持倉重要,考慮專門保留一台設備用於加密貨幣錢包使用。
針對香港居民的加密貨幣詐騙 ↗已達到流行病的程度。香港警務處報告,僅2023年的加密貨幣詐騙損失便超過HK$49億,損失持續攀升。加密貨幣交易的匿名性,加上區塊鏈轉帳的不可逆性,以及技術的複雜性(造成攻擊者利用的知識差距),使加密貨幣成為有組織詐騙活動的獨特吸引力目標。
殺豬盤(殺豬盤)是主要威脅。詐騙者——通常在東南亞的詐騙園區運作——透過社交媒體、交友應用程式或WhatsApp建立聯繫,在數週或數月內建立關係,然後隨意提及他們令人印象深刻的加密貨幣投資回報。他們將受害人引介至一個顯示驚人利潤的虛假交易平台,鼓勵進一步投資。該平台接受存款但拒絕提款,理由是稅收、費用或合規問題。等受害人明白計劃的真相時,他們往往已損失畢生積蓄。
其他普遍的加密貨幣詐騙包括:聲稱來自馬斯克或其他名人的虛假加密貨幣贈送(需要你透過發送小額資金「驗證」你的錢包,聲稱將「雙倍退還」)、惡意DeFi網站的惡意錢包連接請求(無限訪問以清空你的錢包),以及詐騙者在出售時人為拉高鮮為人知的代幣價格的拉高出貨計劃。保護自己需要保持對任何承諾異常高回報並製造壓力要求快速投資的投資機會的根本懷疑。
