Web 錢包 vs 手機 App:邊種先真正免 KYC?
「免 KYC」呢幾個字經常出現在各類錢包產品宣傳入面,但 Web 錢包同手機 App 錢包其實有頗大分別——唔單止係使用形式唔同,喺私鑰儲存位置、攻擊面、觸發 KYC 嘅條件等核心層面,都各有取捨。本文會由架構角度拆解兩類產品嘅主要差異,幫你判斷喺唔同場景下,邊種形式更適合你。
先釐清概念:邊類「Web 錢包」先係真正免 KYC?
「Web 錢包」呢個講法喺行業入面有啲含糊,所以要先分清楚:
第一類:瀏覽器插件錢包(例如 OneKey、MetaMask)。呢類錢包以瀏覽器擴充功能形式運作,私鑰會加密儲存在本地瀏覽器 Storage 入面,屬於非託管錢包,天然唔需要 KYC。
第二類:網頁版託管錢包(例如中心化交易所嘅「錢包」頁面)。呢類產品雖然係透過網頁使用,但私鑰由交易所保管,用戶持有嘅其實係平台帳戶權限,而唔係真正掌握私鑰,通常必須完成 KYC。
第三類:純網頁非託管錢包(例如 MyEtherWallet 嘅本地簽名模式)。私鑰喺瀏覽器內本地生成同使用,唔會上傳到伺服器,通常唔需要 KYC。不過每次使用可能要手動匯入密鑰檔案,對安全習慣要求較高。
本文所講嘅「Web 錢包」,主要指第一類——瀏覽器插件錢包,並同手機 App 錢包作橫向比較。
核心分別:私鑰放喺邊度?
無論係瀏覽器插件定手機 App,非託管錢包嘅共同點都係:私鑰由用戶自己持有。真正分別在於儲存嘅載體,以及相應嘅攻擊面。
EIP-712 等簽名標準喺兩種形式下都適用。不過瀏覽器插件錢包由於同網頁 DApp 處於較接近嘅操作環境,簽名展示通常會更直接,亦更方便用戶即時對照網頁操作內容。
KYC 觸發邏輯:關鍵唔係用 Web 定 App
一個常見誤解係:「用網頁版就可能要 KYC。」實際上,KYC 觸發嘅核心邏輯係:中間有冇持牌金融機構代你託管資產?
FinCEN 嘅監管指引明確區分咗非託管軟件提供者同貨幣服務業務營運者。前者只係開發工具,後者先係持有或處理資金。只要你使用嘅錢包係非託管——無論佢係瀏覽器插件,定係手機 App——開發商都唔扮演金融中介角色,因此唔需要執行 KYC。
歐盟 MiCA 法規亦採用類似框架:非託管錢包提供者一般唔會被視為加密資產服務提供商(CASP),亦唔需要向監管機構註冊或執行 KYC 程序。
安全攻擊面比較
瀏覽器插件錢包嘅主要風險
瀏覽器係一個相對開放嘅運行環境,插件錢包面對嘅威脅包括:
- 惡意 DApp 發起簽名請求。用戶需要仔細閱讀每一筆簽名內容,避免被釣魚網站誘導簽署惡意授權。
- 過度寬鬆嘅代幣授權(Approval)。Revoke.cash 提供咗唔錯嘅學習資源,解釋點樣識別同撤銷高風險授權。
- 惡意瀏覽器擴充功能互相干擾。部分攻擊者會上架仿冒知名錢包嘅假插件,誘導用戶安裝。
手機 App 錢包嘅主要風險
手機錢包通常有較好嘅系統隔離,但亦有自己特有嘅風險:
- 裝置遺失或被偷。如果手機解鎖密碼唔夠強,攻擊者有機會嘗試存取錢包資料。
- 惡意 App 透過剪貼簿監控,偷取複製過嘅錢包地址,甚至助記詞。
- Chainalysis 嘅研究顯示,社交工程係針對流動端用戶嘅常見攻擊手法。攻擊者會偽裝成客服,引導用戶輸入助記詞。
喺兩種形式之下,助記詞保管都係第一道、亦係最重要嘅防線。MetaMask 嘅助記詞說明文件詳細解釋咗呢個機制嘅重要性,值得參考。
鏈上交易場景點樣揀?
如果你主要需求係鏈上合約交易,例如永續合約、現貨 DEX,兩種形式各有側重:
瀏覽器插件錢包喺電腦端操作會更方便,畫面較大,適合需要細緻調整參數嘅合約交易。dYdX 等協議喺 PC 端亦通常提供更完整嘅圖表同落單介面。
手機 App 錢包就更適合隨時監控倉位、快速平倉等流動操作場景。OneKey 錢包同時提供瀏覽器插件同手機 App,內置 OneKey Perps 功能,令用戶無論喺邊個端口,都可以進入鏈上合約市場;私鑰仍然由本地保管,唔需要交畀平台託管。
如果你對安全性要求更高,OneKey 硬件錢包可以作為「冷簽名」層:日常細額操作用軟件端處理,大額資金移動就透過硬件錢包確認,喺效率同安全之間取得平衡。
WalletConnect:連接手機錢包同 Web 端 DApp
WalletConnect 係目前最主流嘅手機錢包連接網頁 DApp 協議。用手機掃碼之後,錢包同 DApp 會建立加密通道,簽名請求會推送到手機端,由用戶喺手機上確認,唔需要將私鑰暴露畀瀏覽器環境。
呢個機制某程度上結合咗兩種形式嘅優點:網頁端有較方便嘅介面同圖表操作,手機端就保留簽名隔離。
常見問題
Q1:網頁版 OneKey 錢包需要 KYC 嗎?
答:唔需要。OneKey 錢包,包括瀏覽器插件同手機 App,都係非託管產品,私鑰由用戶自己保管,唔需要任何形式嘅身份驗證。
Q2:我同時安裝咗瀏覽器插件同手機 App,應該用邊組助記詞?
答:可以使用同一組助記詞,咁兩個端口就會控制同一批帳戶地址,管理上更方便。不過要留意,任何一端出現安全問題,都可能影響所有帳戶。重要資產建議配合硬件錢包保護。
Q3:透過 WalletConnect 連接 DApp,私鑰會唔會外洩?
答:唔會。WalletConnect 協議設計嘅核心原則係私鑰永遠唔會離開錢包。DApp 只會發送簽名請求,由錢包喺本地完成簽名,再回傳簽名結果;私鑰由始至終都留喺裝置入面。
Q4:瀏覽器插件錢包同手機錢包喺 ERC-20 代幣授權上有咩分別?
答:機制上冇分別,兩者都遵循 ERC-20 標準嘅 Approve 函數。分別主要在於介面提示:部分插件錢包,例如 OneKey、Rabby,會喺授權前模擬執行並高亮風險;手機端提示通常較簡潔,用戶需要更主動留意授權額度。
Q5:邊種形式更適合新手?
答:手機 App 通常對新手更友善,操作邏輯接近一般 App,配合生物識別解鎖亦較順手。瀏覽器插件錢包學習曲線稍高,但如果你經常喺電腦上使用 DApp,就會更有效率。建議可以先由 OneKey 手機 App 入手,熟習之後再按需要安裝插件版本。
結語:形式係手段,自主先係目的
Web 錢包(瀏覽器插件)同手機 App 錢包都可以做到免 KYC,核心原因係兩者都採用非託管架構。點樣選擇,主要取決於你嘅使用場景:係坐喺電腦前細緻操作 DeFi 協議,定係需要隨時隨地快速管理資產。
OneKey 嘅優勢在於兩端都有完整產品,並且代碼完全開源;內置 OneKey Perps 亦為有鏈上交易需要嘅用戶提供較直接嘅操作流程,毋須頻繁跳轉到不同平台。你可以由 OneKey 官方下載頁面開始,選擇適合自己嘅版本,並按需要使用 OneKey Perps 管理鏈上永續合約交易。
風險提示:本文只供資訊參考,唔構成任何財務、投資或法律建議。加密貨幣及鏈上衍生品交易風險極高,使用槓桿或交易永續合約可能因市場波動導致本金損失。使用任何鏈上服務前,請充分了解相關風險,並按自身情況獨立決策。
