錢包是什麼?助記詞到底怎麼放(含台港讀者視角)· 肝

最重要的一句話:你的幣不在交易所就是「你的」,在交易所就不是。 Not your keys, not your coins——這是幣圈活了 15 年的金句,因為它每三年就被驗證一次。這篇拆開講:自託管錢包是什麼、MetaMask 怎麼用、助記詞到底怎麼放、Approve 釣魚怎麼防。下半段補一節台港在地脈絡——從 PChome 買 Ledger 到 PTT 數位貨幣板的 Approve 釣魚教訓。

先搞清楚:你的幣現在「在哪」

放在交易所——你只是有「欠條」

你在 Binance 買了 0.1 BTC,螢幕上顯示「餘額 0.1 BTC」—— 但這 0.1 BTC 實際不在你手裡。 2022.11 FTX 那週 #notyourkeysnotyourcoins 推特刷屏,有人 Ledger 第一次開機就忘了 PIN 重啟 6 次——自託管不是裝個 App 那麼簡單。它在 Binance 的某個冷錢包或熱錢包裡,資料庫裡有一條紀錄:這個用戶欠 0.1 BTC。你看到的餘額是 Binance 給你的「欠條」。

交易所跑路 = 欠條作廢。FTX 2022 年暴雷, 幾十萬用戶的「欠條」一夜變成廢紙—— 你帳戶裡顯示有錢,但你提不出來。那個事件後我再也不在交易所放超過 2 週交易用量的錢。

自託管錢包——你才是幣的主人

自託管錢包是你自己掌握私鑰的錢包。私鑰 = 一串數字,只有你知道 = 你對這些幣的唯一控制權。沒人能凍結、沒人能拒絕提現、沒人能跑路。

代價是你也沒有客服。私鑰丟了,幣就丟了——沒人能幫你找回。轉錯地址,錢也回不來——區塊鏈交易不可逆。自託管的本質是你把責任接到自己手裡。

錢包的幾種類型

類型	例子	安全	方便	適合什麼
交易所錢包	Binance / OKX / HashKey	低	極高	日常交易、小額(2 週內用)
軟體熱錢包	MetaMask / Rabby / Phantom	中	高	DeFi 互動、鏈上轉帳、中等金額
手機錢包	Trust / imToken / Bitget	中	高	行動端 DeFi、跟軟體錢包類似
硬體冷錢包	Ledger / Trezor	極高	中	主倉位長期存放、大額
紙錢包	手抄私鑰 / 助記詞	看你藏得好不好	低	極少數極端場景

新手建議組合:交易所 + MetaMask + Ledger。日常用交易所,DeFi 用 MetaMask(2024 年後我自己換到 Rabby,介面更友善、模擬交易結果可預覽),主倉位放 Ledger。

MetaMask 第一次配置——一步一步

步驟 1 · 從官網下載,只從官網

打開 metamask.io(注意拼寫,不是 metamesk / metamaks)。釣魚網站做得跟官方一模一樣,差一個字母,你下載完導入助記詞,全部資產清零。寧願手打域名也不要點搜尋引擎廣告—— Google 搜「MetaMask」第一條廣告位經常是釣魚。台灣 Yahoo 奇摩搜尋也有同樣狀況,我看過上面掛出 metamesk-tw.com 的字樣,點進去長得跟官網一模一樣。

步驟 2 · 創建新錢包

打開擴充功能,點「Create a new wallet」(不是 Import)。設密碼——這個密碼只用來在本機解鎖錢包,丟了不影響幣安全。用強密碼(15+ 字元,大小寫+數字+符號),瀏覽器密碼管理器存著。

步驟 3 · 看 12 個英文單字(關鍵!)

MetaMask 會讓你抄下 12 個英文單字——這是助記詞 (Seed Phrase / Mnemonic)。這 12 個詞的順序和拼寫都不能錯—— 它們直接對應你錢包的私鑰。任何拿到這 12 個詞的人,可以在任何地方導入,拿走你所有的幣。

步驟 4 · 抄下來,紙筆抄

用紙和筆抄下來。不要:

截圖保存——手機被駭、相簿同步雲端 = 全完
存在密碼管理器裡——管理器被駭就完蛋
用 email 發給自己——信箱被駭就完蛋
放在雲端硬碟 / Google Drive / iCloud——這三個被外洩的機率比你想像的高
用 LINE / WhatsApp / Telegram 發給信任的人代存——他變心了你就完了
記在腦子裡——你以為你記得,實際三個月就忘

抄兩份,放兩個物理不同的地方——比如家裡抽屜一份、銀行保險箱一份。台北富邦銀行、國泰世華都有小型保管箱,一年幾百到一千多元台幣,放助記詞綽綽有餘。

步驟 5 · 助記詞的進階保管

紙抄會受火、水、潮、蟲蛀。持倉上五位數美元以上的人,建議買金屬助記詞板(Cryptosteel / Billfodl 這種)—— 把單字刻在金屬上,防火防水。幾十美元的支出,換長久安全,值得。台灣 PChome 24h、momo 都能買到正規貨源;香港旺角電腦中心、太古城蘋果認證店一般也有現貨。

再進階:把 12 個詞拆成 2-3 份, 分別藏在不同物理地點,任何一份都不夠導出—— 需要至少 2 份才能拼出完整助記詞。這叫 Shamir Secret Sharing,Trezor 自帶支援。

實操避坑:幾個真實事故

事故 1 · 截圖助記詞被雲端同步外洩

我有個朋友 2022 年開始接觸 DeFi, 裝了 MetaMask 之後覺得 12 個單字抄紙上麻煩, 就截圖保存在手機相簿。他的相簿自動同步到了 iCloud。某天他的 Apple ID 在國外被人撞庫登入(他用的是十幾年前的弱密碼, 在某個論壇外洩過)—— 第二天早上,他錢包裡幾千美元的 USDC 和 ETH 被一次性轉走。

鏈上能看到資產去哪了,但拿不回來。 Apple 那邊也沒法追——他們只負責帳號本身。他從此再也不碰 DeFi。

事故 2 · Approve 釣魚

我自己也踩過的一次—— 2021 年我玩了一個新出的 NFT mint, mint 完之後那個網站彈了個「領空投」的視窗,我點了同意。簽名內容是英文的 setApprovalForAll—— 意思是授權這個合約轉移我所有同類型的 token。

第二天我錢包裡那個系列的 NFT 全被轉走了。損失不大(那幾個 NFT 不值錢), 但教會我一件事:所有「請求 Approve」的彈窗,簽之前看清楚授權對象。不知道是什麼,直接 reject。

從那之後我每次簽名都仔細看右邊那個合約地址, 陌生地址不簽,模糊功能不簽,無限額度不簽。

Approve 是什麼?為什麼這麼危險

ERC-20 標準裡,任何人轉走你的 token 之前, 都需要你先授權這個合約。比如你在 Uniswap 上把 USDC 換 ETH, 第一次會要求你先 Approve—— 意思是「允許 Uniswap 合約動我的 USDC」。這是為了 DeFi 流暢運行的設計。

問題是:Approve 的額度可以是無限的。 Uniswap 預設要求 unlimited approve—— 一次授權,以後所有 USDC 都能被這個合約轉走。 Uniswap 不會亂轉(合約本身只能在你 swap 的時候動)—— 但如果你 Approve 的是某個釣魚合約,你 Approve 完那一瞬間, 它就把你所有 USDC 轉走了。

Approve 防禦實操

每次簽名看清——簽什麼、簽給誰、額度多少。看不懂直接 reject。
定期清理授權——用 revoke.cash 檢查所有授權過的合約,把不用的全 revoke。
設定 spending limit——MetaMask 現在支援把 unlimited 改成具體金額,養成這個習慣。
大額單獨地址——長期持有的幣放在一個從來不 Approve 任何合約的地址,完全隔離。

硬體錢包要不要買

資產超過一萬美元左右,建議買一個。我用的 Ledger Nano X(2020 年買的,現在還在用)。其他選擇:Trezor、Lattice、SafePal 這種帶螢幕的硬體設備。

硬體錢包的核心價值:私鑰永遠不離開設備。你交易時簽名也是在設備裡完成,你的電腦只看得到簽好的結果, 駭客就算控制了你的電腦也拿不到私鑰。

使用流程:Ledger 連接 MetaMask, 每次簽名都要你在 Ledger 上按按鈕確認—— 這強制讓你看一眼到底在簽什麼,而不是無腦點 confirm。這個小動作過濾掉了 99% 的釣魚攻擊。

⚠ 買硬體錢包只從官方管道

不要從蝦皮拍賣、露天拍賣、香港旺角先達廣場非認證店面買硬體錢包—— 被人改裝過的設備會預裝惡意助記詞,你買回來用之後所有資產被轉走。
Ledger 官網(ledger.com)、台灣 PChome 24h、momo 購物網認證旗艦店、香港旺角電腦中心的 Ledger 香港代理,其他地方都不行。硬體錢包是你最不該省錢的地方。

§ 給台港讀者:錢包選擇 + 在地事故 + 監管位置

上面講的都是全球視角。但你坐在台北、新北、高雄或者香港中環看這篇,有幾件事是其他地區讀者用不上的——本地買硬體錢包的管道、本地的詐騙案例、本地監管對自託管的態度。這一節專門講。

台灣散戶錢包選擇實話

台灣散戶錢包大概分兩條路。自託管多數人裝 MetaMask(90% 以上),2024 年後 Rabby 流行——它的「交易模擬」按確認前會在錢包裡演一遍會發生什麼,釣魚合約 80% 在這一步就被攔下。玩 SOL 的多裝一個 Phantom。

硬體錢包方面,Ledger Nano S Plus 和 Trezor Model One 最普及,台灣 2024 年售價 NT$ 2,500-4,500 之間。管道:Ledger 官網直送、PChome 24h、momo 購物網。蝦皮不要買——朋友 2023 年從蝦皮買「全新未拆 Ledger」,助記詞是賣家預先寫在卡片上的,他差點直接照抄。

香港散戶錢包選擇

香港的散戶結構跟台灣略不一樣。自託管那條路線跟台灣一致(MetaMask / Rabby / Phantom 那套),硬體錢包 Ledger 官網直送香港比直送台灣快一點(大概 14-18 天)。

但香港有個台灣沒有的選項:HashKey 持牌零售。SFC 2023 年 8 月發出第一張 VATP 零售牌,對散戶最大意義是客戶資產分離——98% 冷錢包 + 2% 熱錢包有保險。香港不少散戶選擇放 HashKey 而非自託管,理由是「我助記詞紀律的風險比 HashKey 跑路風險大」。這是 trade-off 沒有絕對答案——信助記詞紀律就自託管,信持牌制就 HashKey,兩者都比放境外所安全。

真實事故案例(台港版)

2022 PTT 數位貨幣板 Approve 釣魚事件——一個 ID「ALLINETH」的網友熊市抄底,點了某個假「BUSD 空投」連結,沒看清直接 Approve setApprovalForAll,他的整個 ETH 錢包當天被 drain 走 USDT、USDC 加幾隻治理代幣,事後他在板上發文整理過程,後來被釘為精華文。
2024 香港 LIHKG「我被假幣安客服騙走助記詞」——受害者收到 WhatsApp 訊息聲稱是 Binance 客服,說「您帳戶異常需要驗證」,引導他到一個介面跟幣安一模一樣的網站輸入助記詞「同步」,結果整個自託管錢包資產 100% 被轉走。事後他在 LIHKG 投資台寫了一篇千字心得,結尾那句「以為我絕對不會中招,結果我中了」我印象很深。
165 反詐統計——根據 2024 年內政部警政署 165 反詐騙專線資料,加密貨幣詐騙占整體財損約三分之一,其中「錢包被盜 / 助記詞外洩」這類自託管事故約佔加密詐騙的 20% 以上,平均單筆損失 NT$ 80 萬左右,而且幾乎追不回來(鏈上資產一旦轉走,警方能凍結銀行帳戶,但凍結不了區塊鏈)。

2024-2025 台港監管對自託管的態度

這個對你要不要長期自託管很重要。簡單講:

台灣:2024 年 VASP 草案(虛擬資產服務法)主要管的是公司化的交易所,要求登記、洗錢防制、客戶資產分離。對個人自託管錢包沒有限制——你裝 MetaMask、買 Ledger、保管助記詞,完全合法。要注意的是境外所(Binance、OKX、Bybit)的入金路徑,銀行端會有反洗錢申報,但自託管本身不違法。
香港:VATP 持牌制下,SFC 主要關注的是中介(交易所)。個人自託管錢包香港沒有任何限制——你買硬體錢包、用 MetaMask、保管助記詞,跟自己保管現金一樣合法。實務上香港居民同時用 HashKey 持牌零售 + 自託管錢包做組合,是 2024 年之後最常見的玩法。

3 條台港讀者特別要記的紀律

不要在 LINE / WhatsApp 上接「客服」——所有主流交易所從來不會用 LINE / WhatsApp / Telegram 私訊主動聯絡你,看到就是 100% 詐騙,直接 block。
165 反詐專線記下來——台灣 165 / 香港 18222(警務處反詐騙協調中心)——如果懷疑助記詞外洩,第一時間不是換錢包,是立刻把鏈上剩餘資產轉到全新地址,然後撥反詐線備案(雖然多半追不回,但備案紀錄將來有用)。
硬體錢包只走「官網直送」或「認證旗艦店」——蝦皮、露天、淘寶、旺角先達非認證店、香港論壇個人交易,一概不要。預算多花 500 台幣免運費,救你一輩子的本金。

錢包安全綜合 checklist

助記詞手抄兩份,紙或金屬,物理隔離兩個地點。
不截圖、不存雲端、不發 email、不告訴任何人(包括客服)。
所謂「客服要你提供助記詞驗證」——100% 是騙子,無一例外。
下載錢包只從官網,看清楚域名拼寫。
大額資產用硬體錢包,日常互動的「熱」錢包不放大額。
每次簽名都看清——不簽陌生合約,不簽無限授權。
定期用 revoke.cash 清理舊授權。
分帳戶管理——長期持有的「冷」地址和日常 DeFi 的「熱」地址完全分開。
大額提幣前,先小額測試一筆再確認地址正確。
關於「找回服務」——所有聲稱能幫你找回助記詞 / 找回被盜資產的,100% 是騙子。

寫到這裡

錢包這事不複雜,但容錯率很低。一次截圖、一次錯點、一次蝦皮買二手設備——可能讓你血本無歸。

新手第一週建議:裝個 MetaMask,創建錢包, 抄助記詞,然後把這個助記詞在另一台電腦上導入測試一次—— 確認你抄對了。沒問題之後,小額轉 50 美元等價的 ETH 過去,跑一次鏈上轉帳,熟悉一下。

十年下來我最大的體會:所有幣圈的錢虧都是自己手賤—— 要麼貪心買了垃圾幣,要麼簽了不該簽的授權,要麼把錢長期放交易所。錢包安全做好,你就避開了一半的坑。

錢包是什麼?
助記詞到底怎麼放