一、什么是私钥和助记词？

私钥：一串由字母和数字组成的密码，是控制钱包资产的所有权凭证

• 唯一性：每个私钥对应唯一的区块链地址
• 不可逆性：通过私钥可推导公钥和地址，但无法反向推算私钥
• 控制权：拥有私钥即拥有对应地址中资产的绝对控制权

助记词：由 12、15、18、21 或 24 个单词组成的序列（常用 12/24），本质是将私钥转换为可读的单词组合，用于恢复钱包

• 等价于私钥：助记词通过确定性算法可恢复私钥（反之不成立）
• 不同链的私钥都是不同的，无法通过单一链的私钥恢复其他链钱包，助记词是跨链恢复资产的钥匙（私钥是“单链通行证”，助记词才是“跨链护照”）

核心原则：谁掌握了私钥 / 助记词，谁就拥有资产的控制权。一旦泄露或丢失，资产被盗后很难追回

Not Your Keys, Not Your Coins

二、私钥 / 助记词泄露的常见原因

1. 技术性泄露

• 恶意软件感染

传播虚假钱包等应用，诱导用户下载

远程木马扫描设备中的钱包相关文件

键盘记录器 / 剪贴板劫持窃取输入内容

• 钓鱼攻击

伪造钱包官网、交易所登录页或空投链接，诱导用户输入助记词

虚假客服通过 Telegram/ 邮件索要助记词（如“账户异常需验证”）

2. 人为操作失误

• 数字痕迹留存

助记词截图保存在手机相册，或通过微信 /Telegram 发送给自己“临时备份”

使用云端应用存储私钥 / 助记词

• 物理介质管理不当

纸质备份随意存放（如夹在书本中），被访客或他人发现

未使用抗灾材料（如普通纸张遇水 / 火损毁）

• 社交工程泄露

向善于伪装的攻击者透露助记词，或安装恶意应用

3. 物理泄露

• 设备盗窃

手机、电脑或硬件钱包被盗，若未设密码或密码强度低，可能被提取私钥

• 熟人作案

物理访问相关设备或私钥 / 助记词存储介质

三、安全策略

1. 安全储存方法

• 硬件钱包：

私钥永不接触互联网，交易通过设备离线签名

购买时务必通过官方渠道，避免设备被利用或植入恶意软件

• 物理备份：

手写助记词，禁用打印机（可能留存记录）

使用防水防火材料（如钛金属板或专用助记词胶囊）

• 分片存储：

将助记词拆分为多段（如 2/3 分片），分别存放在保险箱等独立地点

• 3–2–1 备份法则

3 份备份：至少制作 3 份独立副本

2 种媒介：如纸质 + 金属板 + 加密 U 盘

1 份异地：将一份备份存放于其他城市或国家等

• 测试恢复流程

创建钱包后，立即使用助记词在新设备恢复，验证有效性。

成功后重置钱包，确保流程无误。

个人平衡便利与安全的取舍

2.杜绝数字痕迹

• 禁止截图、云存储、邮件、聊天软件等传输助记词
• 使用过程防止他人窥屏等物理手段访问
• 交易使用专用设备，与日常设备隔离

3.防钓鱼攻击

• 交叉验证钱包 /dapp 官网地址，警惕搜索引擎广告中的虚假链接
• 交易前仔细检查交易细节，确保与预期一致
• 轻易不访问、不下载、不安装、不转账
• 安装 GoPlus 插件，日常体检扫描

4. 应急响应

• 物理断网

发现异常时，立即切断所有网络连接，防止恶意程序上传数据

• 转移资产

尽快转移资产到安全钱包，可联系 GoPlus 进行抢跑

• 设备修复

终止恶意进程，使用杀软深度查杀

格式化硬盘并重新安装操作系统

• 账户重建

永久弃用已泄露钱包地址，使用安全设备创建新钱包

更改所有关联账户密码（交易所、邮箱、社交账号）

所有账户启用 2FA