单这么简单的⼀点，其实也不简单，原因：

1. 许多⼈（真是许多⼈）找不到正确的官⽹，正确的应⽤市场，于是安装了假钱包。

2. 许多许多⼈对下载了的应⽤不知道如何确认是否被篡改过。于是，出师未捷身先死。还没来得及进⼊这个世界，就已经钱包空空了。

针对上⾯的第 1 点，找到正确的官⽹是有技巧的，⽐如：

Google（注意搜索结果⾥的⼴告条⽬，⾮常不靠谱）

⾏业知名收录，如 CoinMarketCap 多问⼀些⽐较信任的⼈ 。

好，上⾯这⼏点得到的信息可以全部结合起来参考，互相佐证，最终真相只有⼀个:)恭喜你，找到了正确的官⽹。

接着，你要下载安装应⽤了，如果是 PC 钱包，根据官⽹提供的下载链接，下载后需要⾃⼰去安装。但在安装之前，建议做下是否篡改的校验⼯作，虽然这个做法并⽆法防⽌源头就被完全篡改的情况（⽐如官⽅⾃⼰内部作恶、内部被⿊、 官⽹被⼊侵替换了相关信息等等），但可以防⽌如：源头被部分篡改、被中间⼈劫持篡改等这些情况。

是否篡改的校验，实际上就是⽂件⼀致性校验。常⻅的⽅式有两种：

⼀种是哈希校验，⽐如 MD5、SHA256 等，MD5 绝⼤多数情况下够⽤，但存在被哈希碰撞的极⼩⻛险，所以业内⼀般选择 SHA256，够⽤且够安全。

另⼀种是 GPG 签名校验，这个其实也很流⾏，强烈建议掌握 GPG ⼯具、命令、⽅法，虽然对于新⼈来说有那么些费⼒，但上⼿后，相信我，你会很快乐的。

话虽⾄此，其实业内这样做的项⽬⽅并不多，所以⼀旦遇到，真是难能可贵，弥⾜珍惜，⽐如⼀款⽐特币钱包 Sparrow Wallet，下载⻚⾯的“Verifying the Release”简直良⼼了，提到的两种⽅式都有清晰指南，可以直接参考学 

习。
他提到的 GPG ⼯具有两个： 

GPG Suite，macOS 下运⾏的。

Gpg4win，Windows 下运⾏的。

如果你细⼼观察，你会发现这两个 GPG ⼯具的下载相关⻚⾯其实都有给出两种⽅法的⼀致性校验说明，但不好意思的是，并没⼿把⼿教你如何校验。估计吧，都是认为你会是聪明⼈，该补上的知识你已经补上了:) 

如果是浏览器扩展钱包，⽐如这世界家喻户晓的 MetaMask，你唯⼀有机会注意的就是⽬标扩展下载⻚⾯⾥的⽤户数多不多、评分情况如何，⽐如 MetaMask 在 Chrome ⽹上应⽤店⾥，⽤户数可是超过⼀千万的，同时有两千多⽤户评分的，虽然最终评分并不⾼。有⼈要说这不可以刷出来吗？这位朋友，是这样的，刷，我相信，不过刷的量如此之巨⼤，当各⽅是傻⼦呢。 

如果是移动端钱包，判断⽅式类似扩展钱包，不过需要注意的是，iPhone 的 App Store 是分区的，加密货币在中国⼤陆被驱赶得不⾏，所以如果你⽤ App Store 中国区账号下载到了钱包，建议只有⼀个：别⽤，换成如美区的 App Store账号下载吧。另外，通过正确的官⽹也能引导到正确的下载位置（⽐如全球知名的 imToken、OneKey、Trust Wallet等，官⽹安全⼀定要做好，官⽹都被⿊了，那这安全责任就真⼤了）。

如果是硬件钱包，简单来说，可以从官⽹源头的引导下购买，不要直接去在线商城，到⼿后也需要留意是否存在被异动⼿脚的情况，当然有些针对硬件包装的异动是很⾼明的，不⼀定都能看得出。此时建议：⽆论如何，使⽤时，先连续⾄少三次从头开始的创建，记录下⽣成的助记词、相关钱包地址，不会重复就⾏。

如果是⽹⻚钱包，⾮常不建议使⽤这种在线的钱包，除⾮你不得已，那么识别好是官⽅的后，速战速决吧，千万别有任何感情依赖。
#区块链个人安全黑手册 #比特币 #区块链安全