Blog
Tutorials·20 min read

加密货币解锁 第20篇:安全入门指南

手把手教你购买第一笔加密货币、设置钱包、完成第一次兑换,以及一路避开骗局的实战指南。

Jo Vinkenroye·January 27, 2026
加密货币解锁 第20篇:安全入门指南

你已经读了本系列的十八篇文章。你理解了区块链、DeFi(去中心化金融)、NFT(非同质化代币)、DAO(去中心化自治组织)、Layer 2 以及监管格局。你对加密货币的了解已经超过了 95% 的人。

然而——也许你到现在还没有真正动手操作过。

这很正常,不带任何评判。理解加密货币和真正使用它之间的鸿沟,比大多数人想象的要大得多。这涉及真金白银,界面可能让人望而生畏,而搞砸了的恐惧让不少聪明人一直在旁观。

今天我们把这个问题解决。这是一份实操的、手把手的指南,带你从零到"我拥有加密货币、我掌控它、我知道怎么用它"。我们还会讲到保护你安全的安全实践——因为加密货币最大的风险不是价格波动,而是你犯一个本可以避免的错误。

出发。

从交易所到自托管钱包的旅程
从交易所到自托管钱包的旅程

第一步:在中心化交易所买你的第一笔加密货币

最简单的入场通道是中心化交易所(CEX)。你可以把它理解为加密版的券商账户。

新手推荐:

  • Coinbase — 界面最清爽,对新手最友好,覆盖大多数国家。手续费略高一点,但刚入门时简洁的体验本身就有价值。
  • Kraken — 靠谱的替代选择,手续费更低,口碑优秀。界面稍微复杂一些。

操作步骤:

  1. 在 Coinbase 或 Kraken 上注册账户
  2. 完成身份验证(KYC)——是的,你需要上传证件。这是法律要求。
  3. 绑定银行账户或借记卡
  4. 买入少量 ETH(Ethereum,以太坊)——金额以你亏得起为准。50-100 美元就行。

为什么先买 ETH? 因为它是最实用的加密货币,真正能做事。你在 Ethereum 和很多 Layer 2 网络上操作时需要它来支付 gas 费(交易手续费)。Bitcoin 作为投资标的当然很棒,但 ETH 才是打开 DeFi、NFT 和整个生态的钥匙。

搞定。你现在拥有加密货币了。但它还放在交易所里——也就是说他们在控制它。让我们来解决这个问题。

第二步:设置自托管钱包

自托管钱包意味着你自己掌握私钥。没有任何交易所能冻结你的账户、破产跑路,或者被黑客攻击导致你的资金丢失。你的加密货币,你的责任。

Ethereum 及 EVM 兼容链(Arbitrum、Optimism、Base、Polygon)推荐:

  • MetaMask — 行业默认选择。浏览器插件 + 手机 App。获得数百万用户信赖,已处理超过 50 亿笔交易。请从 metamask.io 安装(只从这里安装——后面会讲到骗局)。

Solana(及更多链)推荐:

  • Phantom — 最初是 Solana 的首选钱包,现在 Phantom 已支持多条链,包括 Ethereum、Bitcoin、Base 和 Sui——全部集成在一个钱包里。简洁、快速、好用。从 phantom.com 获取。

设置 MetaMask:

  1. 安装浏览器扩展(Chrome、Firefox 或 Brave)
  2. 点击"创建新钱包"
  3. 设置一个强密码
  4. 抄下你的助记词(Seed Phrase) ——这是 12 个单词,用来恢复你的钱包。写在纸上。不是笔记 App 里。不是截图。纸上。然后把它存放在安全的地方。
  5. 确认助记词
  6. 完成——你拥有了一个钱包地址(以 0x 开头)

你的助记词就是你的钱包。 任何人拿到这 12 个单词就等于拿到了你的钱。绝对不要分享它。没有任何正规服务会向你索要助记词。如果有人问你要,他们在抢你的钱。句号。

第三步:从交易所转账到你的钱包

现在让我们把 ETH 从交易所转到你的钱包里。

  1. 打开 MetaMask,复制你的钱包地址(点击顶部的地址)
  2. 去交易所 → 提币 → 选择 ETH
  3. 粘贴你的 MetaMask 地址作为目标地址
  4. 先发一笔小额测试交易 — 先转 5-10 美元。等它到账。然后再转剩余的。

测试交易这个习惯终有一天会救你的命。 加密货币交易是不可逆的。如果你转到了错误的地址,那笔钱就没了。一定要先测试,尤其是对新地址。多付的那点手续费,就是你不丢失全部资金的保险。

在 Ethereum 上转账通常需要 1-5 分钟。确认后你就会看到它出现在 MetaMask 里。

恭喜——你现在拥有了由你自己控制的加密货币。没人能冻结它。没人能在没有你的密钥的情况下拿走它。

第四步:在 DEX 上完成第一笔兑换

让我们在去中心化交易所(DEX)上用你的加密货币做点事。我们来把一些 ETH 兑换成另一种代币。

使用 Uniswap:

  1. 前往 app.uniswap.org
  2. 点击"Connect Wallet"(连接钱包)→ 选择 MetaMask → 批准连接
  3. 在兑换界面中,上方的代币应该是 ETH
  4. 在下方的栏位搜索一个代币——比如 USDC(一种锚定 1 美元的稳定币)
  5. 输入要兑换的少量 ETH
  6. 点击"Swap"(兑换)→ 核对详情 → 在 MetaMask 中确认
  7. 等待交易确认(通常不到一分钟)

你刚刚使用了 DeFi。没有中间人。没有账户。不需要任何人批准。只有你和一个智能合约。

注意 gas 费。 Ethereum 主网的 gas 费在繁忙时段可能会很贵。如果手续费看起来不合理(一笔简单兑换要 20 美元以上),可以考虑使用 Layer 2,比如 Arbitrum 或 Base——同样的体验,费用只是零头。现在大多数交易所都支持直接将 ETH 桥接到 L2。

第五步:探索你的新世界

你已经上链了。是时候四处看看:

  • DeBank — 粘贴你的钱包地址,查看你在所有链上的完整组合。就像你整个链上生活的加密仪表盘。
  • Etherscan — 粘贴你的地址,查看你在 Ethereum 上的每一笔交易。这就是区块链浏览器——一切都是公开透明的。其他链有自己的浏览器(例如 Solscan 用于 Solana,Arbiscan 用于 Arbitrum)。
  • Zapper — 另一个不错的投资组合追踪工具,界面干净清爽

到处点一点。在 Etherscan 上看看你的兑换交易。看看 gas 费、你交互的合约、精确的金额。这就是我们在系列前面章节讲到的透明性——你现在正亲身体验。

安全检查清单

既然你已经上手了,让我们把安全做到位。

不可妥协的安全基本功:

  • 大额资金用硬件钱包 — 如果你持有的加密货币超过了你愿意随身带在实体钱包里的金额,就应该入手一个 LedgerTrezor。它们将私钥离线保存,使远程入侵几乎不可能。价格大约 70-150 美元。
  • 所有账户开启 2FA(双因素认证) — 在每个交易所、每个邮箱、每个账户上都启用。使用验证器 App(Google Authenticator、Authy),不要用短信 — SIM 卡劫持攻击是真实存在的。
  • 专用的加密邮箱 — 为你的交易所账户和加密服务创建一个独立的邮箱地址。如果主邮箱被攻破,你的加密账户仍然是隔离的。
  • 密码管理器 — 每个账户使用独立的强密码。Bitwarden 免费且优秀。
  • 用书签访问网站 — 永远从书签进入交易所和 DeFi 应用,不要从搜索引擎搜索进入(骗子会购买仿冒网站的搜索广告)。

骗局全景

这是一个不太舒服的事实:加密圈里骗子很多。不是因为加密货币本身有问题——而是因为涉及到钱,而钱会吸引猎食者。以下是需要警惕的:

如何识别钓鱼网站:真正的加密网站 vs 仿冒网站
如何识别钓鱼网站:真正的加密网站 vs 仿冒网站

钓鱼网站 — 真实网站的仿冒版本。app.uniswap.org vs app-uniswap.org vs uniswap-app.com。只有一个是真的,其余的会掏空你的钱包。一定要检查 URL。一定要用书签。

假空投 — 你钱包里突然出现的、你没有买过的随机代币。不要与它们交互。不要尝试卖掉它们。有些包含恶意智能合约,当你批准交易时会抽干你的钱包。

Discord 和 Telegram 私信 — 任何主动给你发私信谈加密货币的人都在试图骗你。"客服"人员、"管理员"、主动帮你解决问题的人。正规项目永远不会主动私信你。在加密 Discord 服务器中关闭私信功能。

Twitter/X 冒充者 — 冒充真实项目或 KOL 的假账号,发布"发 1 ETH,返 2 ETH"或链接到恶意网站。Elon Musk 没有在帮你翻倍 Bitcoin。Vitalik 没有在免费送 ETH。

"杀猪盘"恋爱骗局 — 一种长线骗局,有人先和你建立感情关系(通常在交友 App 或社交媒体上),然后逐步诱导你到一个虚假的加密平台上"投资"。这类骗局非常精密,对受害者的情感伤害极大。如果一个你从未线下见过的人在给你加密投资建议,那就是骗局。FBI 的 IC3 追踪了这些案例——近年来造成了数十亿美元的损失。

授权漏洞利用 — 当你使用 DEX 时,通常需要授权它花费你的代币。恶意合约可能会请求无限额度的授权,然后在之后抽干你的钱包。一定要检查你在授权什么。注意:即使是硬件钱包也无法在这里保护你——授权漏洞不需要窃取你的私钥,它们使用的是你已经授予的权限。

撤销授权:用完就清理

每次你授权一个智能合约花费你的代币,这个权限会一直有效,直到你撤销它。随着时间推移,你会积累很多授权——其中任何一个都可能在该合约被攻破时被利用。

使用 revoke.cash

  1. 连接你的钱包
  2. 查看你在超过 100 个支持网络上的所有活跃代币授权
  3. 撤销那些你不再需要的

养成每月清理一次的习惯。每次撤销会花一小笔 gas 费,但绝对值得。就像定期改密码,但这次改的是智能合约的权限。

进阶技巧: 安装 Revoke.cash 浏览器扩展——它会在你签署潜在有害授权之前发出警告,充当你对抗钓鱼网站的实时安全网。预防胜于善后。另外需要注意:断开你的钱包与某个 dApp 的连接不等于撤销授权。断开只是移除了该网站查看你地址的能力——花费权限仍然有效,直到你明确撤销。

操作安全(OpSec)

除了技术层面的防护,你的行为方式也很重要:

  • 不要告诉别人你有多少加密货币。 不在 Twitter 上说,不跟朋友说,不跟那些"就是想知道一下"的家人说。当别人知道你持有大量加密货币的那一刻,你就成了目标。5 美元扳手攻击是真实的——为什么要费力破解钱包,直接威胁钱包主人不就行了?
  • 在公共 WiFi 上使用加密服务时开 VPN。NordVPN、Mullvad 或 ProtonVPN 都是靠谱的选择。
  • 浏览器卫生 — 用一个专用浏览器(或浏览器配置文件)来操作加密。扩展越少,攻击面越小。恶意浏览器扩展已经抽干过不少人的钱包了。
  • 永远不要签署你不理解的交易。 如果一个网站要求你签署什么东西,而你不确定它是干什么的——关掉标签页。

税务基础(对,这个也得讲)

我知道这不是有趣的部分,但无视它并不会让它消失。

在大多数国家,加密货币收益是需要纳税的。 具体规定各国不同,但基本原则是通用的:如果你买了加密货币,它涨了,然后你卖出或兑换——你需要为收益缴税。

  • 每次兑换都是一个应税事件,在大多数法律管辖区是这样。把 ETH 换成 USDC?那就是卖出 ETH。
  • 从第一天就开始记录。 从交易所导出你的交易历史。使用 KoinlyCoinTrackerTokenTax 等工具自动追踪所有交易。
  • 不要等到报税季再来搞清楚这件事。 回溯性地在五条链上重建一整年的 DeFi 交易记录,那种痛苦我不会希望任何人经历。

小贴士: 现在就把你的钱包和交易所账户连接到加密税务工具上,趁你还是一张白纸的时候。未来的你会感激今天的你。

你的起步预算

聊聊钱的事。

只投资你完全亏得起的钱。 这不是一句客气话——这是加密投资最重要的规则。市场可能暴跌 80% 并持续低迷数年。如果那种情况会让你的财务状况崩溃,说明你投入太多了。

给新手的建议:

  • 投入的金额,大到你会上心,小到亏光也不会改变你的生活。对大多数人来说,这个范围在 100-500 美元之间。
  • 定投(DCA)优于一次性投入。 与其一次投入 500 美元,不如每周投入 50 美元,连续十周。你会得到一个平均价格,而不是赌某个时间点。DCA 消除了"我现在该买还是再等等?"的情绪焦虑。
  • 不要追涨。不要因为某个东西昨天涨了 50% 就买入。不要 FOMO(错失恐惧)。市场明天还会在。

下一步

你做到了。你拥有加密货币,你掌控它,你用过 DeFi,你知道如何安全地操作。这是迈出的一大步。

但拥有加密货币是一回事——有策略是另一回事。在我们的最终篇 第21篇:构建你的策略 中,我们将把整个系列的内容整合起来。我们会讲投资组合构建、风险管理、如何评估项目、何时获利了结,以及如何将加密货币纳入你更广泛的财务版图。

你已经有了工具。现在让我们来制定计划。

Stay Updated

Get notified about new posts on automation, productivity tips, indie hacking, and web3.

No spam, ever. Unsubscribe anytime.

Comments

Related Posts