加密货币解锁 第20篇：安全入门指南

你已经读了本系列的十八篇文章。你理解了区块链、DeFi（去中心化金融）、NFT（非同质化代币）、DAO（去中心化自治组织）、Layer 2 以及监管格局。你对加密货币的了解已经超过了 95% 的人。

然而——也许你到现在还没有真正动手操作过。

这很正常，不带任何评判。理解加密货币和真正使用它之间的鸿沟，比大多数人想象的要大得多。这涉及真金白银，界面可能让人望而生畏，而搞砸了的恐惧让不少聪明人一直在旁观。

今天我们把这个问题解决。这是一份实操的、手把手的指南，带你从零到"我拥有加密货币、我掌控它、我知道怎么用它"。我们还会讲到保护你安全的安全实践——因为加密货币最大的风险不是价格波动，而是你犯一个本可以避免的错误。

出发。

第一步：在中心化交易所买你的第一笔加密货币

最简单的入场通道是中心化交易所（CEX）。你可以把它理解为加密版的券商账户。

新手推荐：

• Coinbase — 界面最清爽，对新手最友好，覆盖大多数国家。手续费略高一点，但刚入门时简洁的体验本身就有价值。
• Kraken — 靠谱的替代选择，手续费更低，口碑优秀。界面稍微复杂一些。

操作步骤：

1. 在 Coinbase 或 Kraken 上注册账户
2. 完成身份验证（KYC）——是的，你需要上传证件。这是法律要求。
3. 绑定银行账户或借记卡
4. 买入少量 ETH（Ethereum，以太坊）——金额以你亏得起为准。50-100 美元就行。

为什么先买 ETH？ 因为它是最实用的加密货币，真正能做事。你在 Ethereum 和很多 Layer 2 网络上操作时需要它来支付 gas 费（交易手续费）。Bitcoin 作为投资标的当然很棒，但 ETH 才是打开 DeFi、NFT 和整个生态的钥匙。

搞定。你现在拥有加密货币了。但它还放在交易所里——也就是说他们在控制它。让我们来解决这个问题。

第二步：设置自托管钱包

自托管钱包意味着你自己掌握私钥。没有任何交易所能冻结你的账户、破产跑路，或者被黑客攻击导致你的资金丢失。你的加密货币，你的责任。

Ethereum 及 EVM 兼容链（Arbitrum、Optimism、Base、Polygon）推荐：

• MetaMask — 行业默认选择。浏览器插件 + 手机 App。获得数百万用户信赖，已处理超过 50 亿笔交易。请从 metamask.io 安装（只从这里安装——后面会讲到骗局）。

Solana（及更多链）推荐：

• Phantom — 最初是 Solana 的首选钱包，现在 Phantom 已支持多条链，包括 Ethereum、Bitcoin、Base 和 Sui——全部集成在一个钱包里。简洁、快速、好用。从 phantom.com 获取。

设置 MetaMask：

1. 安装浏览器扩展（Chrome、Firefox 或 Brave）
2. 点击"创建新钱包"
3. 设置一个强密码
4. 抄下你的助记词（Seed Phrase） ——这是 12 个单词，用来恢复你的钱包。写在纸上。不是笔记 App 里。不是截图。纸上。然后把它存放在安全的地方。
5. 确认助记词
6. 完成——你拥有了一个钱包地址（以 0x 开头）

你的助记词就是你的钱包。 任何人拿到这 12 个单词就等于拿到了你的钱。绝对不要分享它。没有任何正规服务会向你索要助记词。如果有人问你要，他们在抢你的钱。句号。

第三步：从交易所转账到你的钱包

现在让我们把 ETH 从交易所转到你的钱包里。

1. 打开 MetaMask，复制你的钱包地址（点击顶部的地址）
2. 去交易所 → 提币 → 选择 ETH
3. 粘贴你的 MetaMask 地址作为目标地址
4. 先发一笔小额测试交易 — 先转 5-10 美元。等它到账。然后再转剩余的。

测试交易这个习惯终有一天会救你的命。 加密货币交易是不可逆的。如果你转到了错误的地址，那笔钱就没了。一定要先测试，尤其是对新地址。多付的那点手续费，就是你不丢失全部资金的保险。

在 Ethereum 上转账通常需要 1-5 分钟。确认后你就会看到它出现在 MetaMask 里。

恭喜——你现在拥有了由你自己控制的加密货币。没人能冻结它。没人能在没有你的密钥的情况下拿走它。

第四步：在 DEX 上完成第一笔兑换

让我们在去中心化交易所（DEX）上用你的加密货币做点事。我们来把一些 ETH 兑换成另一种代币。

使用 Uniswap：

1. 前往 app.uniswap.org
2. 点击"Connect Wallet"（连接钱包）→ 选择 MetaMask → 批准连接
3. 在兑换界面中，上方的代币应该是 ETH
4. 在下方的栏位搜索一个代币——比如 USDC（一种锚定 1 美元的稳定币）
5. 输入要兑换的少量 ETH
6. 点击"Swap"（兑换）→ 核对详情 → 在 MetaMask 中确认
7. 等待交易确认（通常不到一分钟）

你刚刚使用了 DeFi。没有中间人。没有账户。不需要任何人批准。只有你和一个智能合约。

注意 gas 费。 Ethereum 主网的 gas 费在繁忙时段可能会很贵。如果手续费看起来不合理（一笔简单兑换要 20 美元以上），可以考虑使用 Layer 2，比如 Arbitrum 或 Base——同样的体验，费用只是零头。现在大多数交易所都支持直接将 ETH 桥接到 L2。

第五步：探索你的新世界

你已经上链了。是时候四处看看：

• DeBank — 粘贴你的钱包地址，查看你在所有链上的完整组合。就像你整个链上生活的加密仪表盘。
• Etherscan — 粘贴你的地址，查看你在 Ethereum 上的每一笔交易。这就是区块链浏览器——一切都是公开透明的。其他链有自己的浏览器（例如 Solscan 用于 Solana，Arbiscan 用于 Arbitrum）。
• Zapper — 另一个不错的投资组合追踪工具，界面干净清爽

到处点一点。在 Etherscan 上看看你的兑换交易。看看 gas 费、你交互的合约、精确的金额。这就是我们在系列前面章节讲到的透明性——你现在正亲身体验。

安全检查清单

既然你已经上手了，让我们把安全做到位。

不可妥协的安全基本功：

• 大额资金用硬件钱包 — 如果你持有的加密货币超过了你愿意随身带在实体钱包里的金额，就应该入手一个 Ledger 或 Trezor。它们将私钥离线保存，使远程入侵几乎不可能。价格大约 70-150 美元。
• 所有账户开启 2FA（双因素认证） — 在每个交易所、每个邮箱、每个账户上都启用。使用验证器 App（Google Authenticator、Authy），不要用短信 — SIM 卡劫持攻击是真实存在的。
• 专用的加密邮箱 — 为你的交易所账户和加密服务创建一个独立的邮箱地址。如果主邮箱被攻破，你的加密账户仍然是隔离的。
• 密码管理器 — 每个账户使用独立的强密码。Bitwarden 免费且优秀。
• 用书签访问网站 — 永远从书签进入交易所和 DeFi 应用，不要从搜索引擎搜索进入（骗子会购买仿冒网站的搜索广告）。

骗局全景

这是一个不太舒服的事实：加密圈里骗子很多。不是因为加密货币本身有问题——而是因为涉及到钱，而钱会吸引猎食者。以下是需要警惕的：

钓鱼网站 — 真实网站的仿冒版本。app.uniswap.org vs app-uniswap.org vs uniswap-app.com。只有一个是真的，其余的会掏空你的钱包。一定要检查 URL。一定要用书签。

假空投 — 你钱包里突然出现的、你没有买过的随机代币。不要与它们交互。不要尝试卖掉它们。有些包含恶意智能合约，当你批准交易时会抽干你的钱包。

Discord 和 Telegram 私信 — 任何主动给你发私信谈加密货币的人都在试图骗你。"客服"人员、"管理员"、主动帮你解决问题的人。正规项目永远不会主动私信你。在加密 Discord 服务器中关闭私信功能。

Twitter/X 冒充者 — 冒充真实项目或 KOL 的假账号，发布"发 1 ETH，返 2 ETH"或链接到恶意网站。Elon Musk 没有在帮你翻倍 Bitcoin。Vitalik 没有在免费送 ETH。

"杀猪盘"恋爱骗局 — 一种长线骗局，有人先和你建立感情关系（通常在交友 App 或社交媒体上），然后逐步诱导你到一个虚假的加密平台上"投资"。这类骗局非常精密，对受害者的情感伤害极大。如果一个你从未线下见过的人在给你加密投资建议，那就是骗局。FBI 的 IC3 追踪了这些案例——近年来造成了数十亿美元的损失。

授权漏洞利用 — 当你使用 DEX 时，通常需要授权它花费你的代币。恶意合约可能会请求无限额度的授权，然后在之后抽干你的钱包。一定要检查你在授权什么。注意：即使是硬件钱包也无法在这里保护你——授权漏洞不需要窃取你的私钥，它们使用的是你已经授予的权限。

撤销授权：用完就清理

每次你授权一个智能合约花费你的代币，这个权限会一直有效，直到你撤销它。随着时间推移，你会积累很多授权——其中任何一个都可能在该合约被攻破时被利用。

使用 revoke.cash：

1. 连接你的钱包
2. 查看你在超过 100 个支持网络上的所有活跃代币授权
3. 撤销那些你不再需要的

养成每月清理一次的习惯。每次撤销会花一小笔 gas 费，但绝对值得。就像定期改密码，但这次改的是智能合约的权限。

进阶技巧： 安装 Revoke.cash 浏览器扩展——它会在你签署潜在有害授权之前发出警告，充当你对抗钓鱼网站的实时安全网。预防胜于善后。另外需要注意：断开你的钱包与某个 dApp 的连接不等于撤销授权。断开只是移除了该网站查看你地址的能力——花费权限仍然有效，直到你明确撤销。

操作安全（OpSec）

除了技术层面的防护，你的行为方式也很重要：

• 不要告诉别人你有多少加密货币。 不在 Twitter 上说，不跟朋友说，不跟那些"就是想知道一下"的家人说。当别人知道你持有大量加密货币的那一刻，你就成了目标。5 美元扳手攻击是真实的——为什么要费力破解钱包，直接威胁钱包主人不就行了？
• 在公共 WiFi 上使用加密服务时开 VPN。NordVPN、Mullvad 或 ProtonVPN 都是靠谱的选择。
• 浏览器卫生 — 用一个专用浏览器（或浏览器配置文件）来操作加密。扩展越少，攻击面越小。恶意浏览器扩展已经抽干过不少人的钱包了。
• 永远不要签署你不理解的交易。 如果一个网站要求你签署什么东西，而你不确定它是干什么的——关掉标签页。

税务基础（对，这个也得讲）

我知道这不是有趣的部分，但无视它并不会让它消失。

在大多数国家，加密货币收益是需要纳税的。 具体规定各国不同，但基本原则是通用的：如果你买了加密货币，它涨了，然后你卖出或兑换——你需要为收益缴税。

• 每次兑换都是一个应税事件，在大多数法律管辖区是这样。把 ETH 换成 USDC？那就是卖出 ETH。
• 从第一天就开始记录。 从交易所导出你的交易历史。使用 Koinly、CoinTracker 或 TokenTax 等工具自动追踪所有交易。
• 不要等到报税季再来搞清楚这件事。 回溯性地在五条链上重建一整年的 DeFi 交易记录，那种痛苦我不会希望任何人经历。

小贴士： 现在就把你的钱包和交易所账户连接到加密税务工具上，趁你还是一张白纸的时候。未来的你会感激今天的你。

你的起步预算

聊聊钱的事。

只投资你完全亏得起的钱。 这不是一句客气话——这是加密投资最重要的规则。市场可能暴跌 80% 并持续低迷数年。如果那种情况会让你的财务状况崩溃，说明你投入太多了。

给新手的建议：

• 投入的金额，大到你会上心，小到亏光也不会改变你的生活。对大多数人来说，这个范围在 100-500 美元之间。
• 定投（DCA）优于一次性投入。 与其一次投入 500 美元，不如每周投入 50 美元，连续十周。你会得到一个平均价格，而不是赌某个时间点。DCA 消除了"我现在该买还是再等等？"的情绪焦虑。
• 不要追涨。不要因为某个东西昨天涨了 50% 就买入。不要 FOMO（错失恐惧）。市场明天还会在。

下一步

你做到了。你拥有加密货币，你掌控它，你用过 DeFi，你知道如何安全地操作。这是迈出的一大步。

但拥有加密货币是一回事——有策略是另一回事。在我们的最终篇 第21篇：构建你的策略 中，我们将把整个系列的内容整合起来。我们会讲投资组合构建、风险管理、如何评估项目、何时获利了结，以及如何将加密货币纳入你更广泛的财务版图。

你已经有了工具。现在让我们来制定计划。