Metamask,官网是https://metamask.io/,最早是chrome上的浏览器插件钱包,后面慢慢也扩展到了手机和电脑客户端。
Metamask是钱包,最早是以太坊钱包,后来是多链钱包,主要是EVM链,典型的EVM链如Arbitrum、zkSync、Avalanche、BSC。
EVM,以太坊虚拟机,粗略理解,这些链是模仿以太坊的形态,让你用上去感觉和以太坊一模一样,不然怎么叫虚拟机。EVM的概念,让我想起1998年的时候要把电脑叫“兼容机”,宾语被省略了,其实说的是HP、DELL这些品牌的电脑是兼容了IBM的微型机,但后来好像只剩下兼容机了,所以“兼容机”这个词反倒不见了。
Metamask是我每天要用的钱包。
这波熊市OKX的钱包很受欢迎,主要是针对羊毛党做了体验优化,比如跨链给你补gas,或者在首页列出来生态项目,方便羊毛党挨个去撸。0xzhaozhao就发了不少用手机撸羊毛的教程,都是用OKX钱包的。你要考虑,确实还有非常多的人是连电脑都没有的,他们有种装了OKX就可以撸遍天下的感觉。当然0xzhaozhao这些教程也是得到OKX的“赞助”的。
Metamask这种典型的叫做浏览器插件钱包,它的流行是从2020年的DeFi热潮开始的。
钱包这个话题就很大。
刚开始玩币的,一定要把钱包搞清楚。
我随便科普几条常识。
第一个,私钥是你的账户的一切,只要有私钥,你的账户里的所有资产都已经被获得了,不需要任何其他的东西,不管是口令还是助记词。
你记住一个简单的公式,账户=私钥。至于公钥,是用私钥计算出来的。我只要知道你的私钥,就能推导出你的公钥。地址,是公钥推算出来的。所以你看,私钥就是一切,私钥可以推导公钥,公钥可以推导地址。公钥是不需要保密的,地址是不需要保密的。有的人神秘兮兮地害怕别人知道自己的地址,这是没必要的。当然你钱太多了,怕人知道,可以隐蔽你的地址。但从安全角度来说,是没必要的,也不应当依赖于这样的做法。还是要把功夫下在保护私钥上。
第二个,助记词。助记词是钱包用来帮助用户管理账户的一种做法,目前来说的最佳实践,当然下一步随着AA的普及,会有新的最佳实践。
比如大家用Web2的APP,最佳实践就是短信验证码。你登录微信,需要短信验证码;你登录美团,需要短信验证码;你银行转账,需要短信验证码。
钱包的安全最佳实践是助记词。
助记词的好处是可以抄写到纸上,因为它都是单词。但我观察对于中国人,助记词有个毛病,因为大部分中国人不认识这些单词,我随便说一个单词abstain,你看这个词已经大部分中国人不认识了,他抄写的时候,会抄写成abtain,到时候就没办法恢复账户了。
如果你英语不怎么好,你抄助记词时候最好小心一点,花点时间把12个单词挨个查字典学习一下,也不是坏事。
第三个,我来谈谈助记词和私钥的关系。
私钥是用助记词推算出来的。打个比方,你的助记词是38。有人奇怪了,助记词不是12个单词,怎么可能是数字?害!12个单词就是数字,单词是让你人类方便抄写和记忆的,背后还是数字,计算机里归根到底就是只有数字。你看见一个汉字是一个数字(Unicode编码),你看见一张照片,也是一堆数字(图片编码),你在抖音上看一段短视频,背后还是数字(视频编码)。
助记词就是数字,比方你的助记词是38,你的私钥呢,就是n*38,第一个账户的私钥是38,第二个账户私钥是76,第三个账户是114……
所以你用助记词去恢复账户的时候,一串账户就回来了,这个生成的账户是无限的。
把刚才的描述总结一下,助记词和你的账户是一对多的映射关系,一个助记词,可以生成一系列账户(包含私钥)。
有人问,那密码是干嘛的?
英语的话,“密码”就是password,较真的话,这叫口令。
口令是用来加密你的助记词的,你的助记词存在本地,所谓本地,如果是电脑,就存在电脑上;如果是手机,就存在手机里。
Metamask是不存你的助记词的,更加不存你的以太坊账户(含私钥),Metamask公司那边是不存你任何信息的,这和微信是不一样的,不然怎么叫Web3呢。
圈内呢,也把Metamask这种钱包叫“自托管”钱包,self-custodial;既然有自托管,当然有他托管了。他托管的典型例子是银行,你的银行卡密码弄丢了,你跑去银行,用身份证证明你的身份,银行可以重置你的密码。币圈的CEX也是这样的。你提供护照等身份信息,可以把你密码都重置了。微信也是这样的,都可以重置你的密码,当然腾讯那边也可以删掉你的密码,或者停用你的账户。
但Metamask没有办法停用你的账户,真实的情况是,它根本不知道你在用Metamask,你也可以完全写一个自己的Metamask自己用,你可以写一个自己的钱包自己用,前提是你会编程的话。
毕竟你的币是在以太坊链上,跟Metamask钱包是没有关系的。很多人玩币四五年、七八年都不明白这些基本原理。
我讲的这些都是非常重要的。如果你看不懂,那你花时间多看几遍,也可以去网上找更多资料,反复阅读,直到搞懂为止。
这些都不懂,那就真是糊涂人,都是白玩了。
刚才说了口令,也就是大家说的密码是用来加密助记词的,口令也用来加密你的其他数据,不知道什么数据,反正你在钱包里用过的东西吧,比如你把你的账户改个名字叫“荒天帝”?
但你要注意,助记词是不需要口令的,如果我知道了你的助记词,我在这边可以直接登录你的所有的以太坊账户,并不需要知道你设置的那个口令,那个口令是没有用的。
估计你听迷糊了,你刚说口令是用来加密助记词的,现在又说口令没有用,口令到底是干嘛的,到底有用没有用。
你认真听下面的。
如果一个人想偷你的账户。
第一种方法,直接知道了你的助记词。打个比方,你把助记词截图了,截图放在百度网盘了,我用撞密码的方式,知道了你的微信密码,进一步知道了你的百度网盘密码,我去百度网盘里找到了你的助记词截图。到这里,我就获得你所有的以太坊账户了。只要你在Metamask里“生成”的账户,我全都是获取的,也可以马上把你所有的币都转走。
第二种方法,我不知道你的助记词,但是我到你的电脑上拷贝走了你的Metamask存放数据的目录,这个目录名字叫data。
我拷贝走这个目录,这个目录里面存放的是加密过的助记词,还有别的东西,但最主要是助记词。我要解密出来这个助记词,这时候我要猜你的Metamask密码,但猜这个密码是非常容易的,一般人的密码无非是自己的电话号码,或者自己的生日,我试几次就出来了。当然有的人密码非常复杂,但即便非常复杂,有字母有数字有标点符号,但我用暴力方式穷举破解,也只是花点时间罢了。
更何况,事实上大部分人的密码根本不复杂。
所以,被人拷贝走了你电脑里的data文件夹,那就是非常危险了,你设置的Metamask登录密码,几乎没用。当然,非常复杂的密码是很有帮助的。
我讲完这两个攻击手段,估计你彻底明白登录口令是做什么的,助记词是做什么的。
我把前面的?嗦归纳一下。
第一点,以太坊账户=私钥。有了私钥有了一切,所有的助记词、密码(口令)都是没有用的。
第二点,对于Metamask钱包级别,助记词是一切,有了助记词,你的所有账户都泄漏了,密码(登录口令)是没有用的。
第三点,倘若有人要盗取你的账户,但没有私钥,也没有助记词,但能拷贝走你的电脑里的数据,这个数据是加密过的,就是用钱包登录口令加密的。但这种加密是非常容易被字典类穷举法破解的。