Руководство по безопасности аппаратного кошелька: распознавание распространенных атак и меры предосторожности
В мире криптовалют безопасность всегда является приоритетом. Многие выбирают использование аппаратного кошелька (также известного как холодный кошелек) для защиты своих цифровых активов. Это физическое безопасное устройство, которое может офлайн генерировать и хранить приватные ключи.
Основная функция аппаратного кошелька заключается в том, чтобы хранить приватные ключи, контролирующие ваши токены, в оффлайн-режиме внутри безопасного чипа. Все подтверждения и подписи транзакций выполняются внутри устройства, и приватные ключи никогда не контактируют с подключенными к сети устройствами. Это значительно снижает риск того, что хакеры смогут украсть приватные ключи через сетевые вирусы или трояны.
Однако предпосылкой этой безопасности является то, что ваш аппаратный кошелек должен быть надежным и не подвергнутым изменению. Если злоумышленник внес злонамеренные изменения в аппаратный кошелек до того, как он попал к вам, то эта крепость, которая должна защищать приватные ключи, изначально теряет свою защиту и становится ловушкой, в которую мошенник может в любой момент поймать вас.
В этой статье будут рассмотрены два распространенных типа атак на аппаратные кошельки и предложены полные рекомендации по обеспечению безопасности.
Типы атак на аппаратные кошельки
В настоящее время схемы атак на аппаратные кошельки делятся на два типа: технические атаки и схемы с заранее заданными мнемоническими фразами.
Техническая атака
Суть этой атаки заключается в изменении физической структуры аппаратного кошелька.
Злоумышленники используют технические средства, такие как замена внутренних чипов, внедрение вредоносных программ, которые могут тайно записывать или отправлять мнемонические фразы и т. д. Эти устройства, подвергшиеся атаке, могут внешне не отличаться от оригинальных, но их основные функции (то есть оффлайн-генерация и оффлайн-хранение приватных ключей) были нарушены.
Как происходят мошенничества?
Злоумышленники обычно маскируются под известных проектировщиков, бренды аппаратных кошельков или лидеров мнений в социальных сетях, под предлогом бесплатной замены или розыгрыша, отправляя атакованные аппаратные кошельки жертвам в качестве "подарков".
В 2021 году пользователь сообщил, что получил "бесплатную замену" аппаратного кошелька, утверждая, что он был отправлен официальным представителем определенного бренда. Когда он использовал свои мнемонические фразы для восстановления кошелька на устройстве, токены на сумму 78 000 долларов были мгновенно переведены. В результате анализа было установлено, что это устройство было заражено вредоносной программой, способной украсть мнемонические фразы пользователя во время их ввода.
Безопасное уведомление
Обязательно покупайте аппаратный кошелек через официальные каналы и ни в коем случае не используйте "бесплатные кошельки" неизвестного происхождения.
Перед покупкой аппаратного кошелька любой марки обязательно проверьте правильность URL-адреса, чтобы избежать покупки кошелька с измененными или предустановленными мнемоническими фразами. Можно определить это следующими способами:
Метод трех шагов для оценки официальных каналов:
Перейдите из приложения бренда, это самый безопасный способ;
При использовании поисковых систем избегайте рекламных ссылок, тщательно проверяйте правильность написания домена на официальном сайте;
Мультиплатформенная перекрестная проверка: проверьте закрепленные ссылки на официальные аккаунты бренда в крупных социальных медиа.
Будьте осторожны с этими высокорисковыми источниками ссылок:
Бесплатные подарки или страницы со скидками
Ссылки на покупки, рекомендованные в коротких видео или социальных сетях
Ошибки в написании домена, подозрительные аббревиатуры, веб-страницы без безопасного замка
!
Мошенничество с предустановленными мнемоническими фразами
Это текущее, более распространенное и наиболее легкое для обмана мошенничество. Оно не зависит от сложных технологий, а использует информационное неравенство и психологию пользователей. Его суть заключается в том, что мошенник еще до того, как вы получите аппаратный кошелек, уже "предустановил" для вас набор мнемонических фраз, используя поддельные инструкции и мошеннические уловки, чтобы заставить пользователей напрямую использовать этот кошелек.
Как происходят мошенничества?
Мошенники обычно продают аппаратные кошельки по низким ценам через неофициальные каналы (такие как социальные сети, платформы прямых трансляций или вторичный рынок). Как только пользователи пренебрегают проверкой или жаждут сэкономить, они легко становятся жертвой обмана.
Мошенники заранее закупают оригинальные аппаратные кошельки через официальные каналы, после чего распечатывают полученные кошельки и выполняют злонамеренные действия — активируют устройство, генерируют и записывают мнемоническую фразу кошелька, подделывают инструкцию и карточку с продуктом. Затем с помощью профессионального упаковочного оборудования и материалов они повторно упаковывают его, маскируя под "совершенно новый, нераспечатанный" аппаратный кошелек для продажи на торговых площадках.
В настоящее время наблюдаются два метода мошенничества с предустановленными мнемоническими фразами:
Предустановленные мнемонические фразы: В упаковке предоставляется печатная карта с мнемоническими фразами, побуждая пользователей использовать эту мнемоническую фразу для восстановления Кошелек.
Предустановленный PIN-код: предлагается карта со стираемым слоем, на которой говорится, что, стерев покрытие, можно увидеть уникальный "PIN-код" или "код активации устройства", и ложно утверждается, что аппаратный кошелек не требует мнемонической фразы.
Если пользователь столкнется с "схемой с предустановленными мнемоническими фразами", на первый взгляд у пользователя есть аппаратный кошелек, но на самом деле он не контролирует кошелек. Контроль над кошельком (мнемоническая фраза) все еще находится в руках мошенника. После этого любые операции по переводу токенов в этот кошелек не отличаются от того, чтобы напрямую отправить токены в карман мошенника.
Безопасное уведомление
Регулярные аппаратные кошельки "никогда" не предустанавливают чувствительную информацию, включая, но не ограничиваясь, мнемоническими фразами, PIN-кодами, кодами привязки и т.д. Если в инструкции к кошельку предустановлены такие чувствительные данные, это создает риск мошенничества.
Пользователь должен самостоятельно "сгенерировать и записать" мнемоническую фразу на аппаратном кошельке.
!
Пользовательские примеры
Некоторый пользователь приобрел аппаратный кошелек на одной платформе коротких видео.
После получения устройства упаковка была в целости, а защитная наклейка также выглядела не поврежденной. Этот пользователь открыл упаковку и обнаружил, что инструкция предлагает использовать предустановленный PIN-код для разблокировки устройства. Он почувствовал некоторое недоумение: "Почему я не могу установить свой собственный PIN-код? И почему в процессе не было никаких подсказок о создании резервной фразы?"
Он сразу же связался с клиентской поддержкой магазина, чтобы проконсультироваться. Клиентская поддержка объяснила: "Это наш новый бездокументный аппаратный кошелек, который использует новейшие технологии безопасности. Чтобы упростить пользователям, мы настроили уникальный безопасный PIN-код для каждого устройства, который можно использовать после разблокировки, что делает его более удобным и безопасным."
Эти слова развеяли сомнения пользователей. Он следовал указаниям из инструкции, использовал предустановленный PIN-код для завершения сопряжения и постепенно перевел средства в новый Кошелек.
В первые дни все было в порядке с получением/переводом. Однако почти в тот момент, когда он перевел крупную сумму токенов, все токены в кошельке были переведены на незнакомый адрес.
Пользователь был в недоумении, и только после обращения к настоящей официальной службе поддержки бренда он наконец понял: то, что он купил, было устройством, которое было заранее активировано и предварительно настроено с мнемоническими фразами. Поэтому этот аппаратный кошелек с самого начала не принадлежал ему, а всегда находился под контролем мошенников. Так называемый "новый поколение холодного кошелька без мнемонических фраз" — это просто ложь мошенников, чтобы ввести людей в заблуждение.
!
Как защитить свой аппаратный кошелек
Чтобы предотвратить риски на всех этапах, от источника до использования, пожалуйста, ознакомьтесь со следующим списком проверок безопасности.
В качестве примера процесса проверки безопасности при распаковке аппаратного кошелька определенного бренда:
Шаг 1: Купить и открыть через официальные каналы.
Следуйте официальным каналам: обязательно покупайте через официальные каналы, указанные на сайте бренда.
Проверьте упаковку: после получения устройства проверьте, целостны ли внешняя упаковка, пломбы и содержимое.
Проверьте статус активации устройства: введите SN-код (серийный номер продукта) устройства на официальном сайте бренда, чтобы проверить время активации устройства. Новое устройство должно показать "Устройство еще не активировано".
Второй шаг: независимо сгенерировать и сохранить мнемоническую фразу
Завершите весь процесс самостоятельно: при первом использовании аппаратного кошелька обязательно активируйте устройство, настройте и сохраните PIN-код и код привязки, создайте и сохраните мнемоническую фразу самостоятельно.
Надежно храните устройство и мнемоническую фразу: обязательно сделайте физическую резервную копию мнемонической фразы (например, запишите на бумаге) или используйте специальную коробку для мнемонических фраз и храните её в безопасном месте, отделенном от аппаратного кошелька. Никогда не фотографируйте, не делайте скриншоты и не храните на любых электронных устройствах.
Внимание: при первом подключении аппаратного кошелька к приложению, если приложение сообщает "Ваше устройство не используется впервые, устройство уже было спарено, аппаратный кошелек сохранен с помощью мнемонической фразы", будьте осторожны! Если это не ваша операция, это означает, что устройство подвержено риску! Пожалуйста, немедленно прекратите использовать его и свяжитесь со службой поддержки бренда.
Шаг 3: Тестирование мелких токенов
Перед внесением крупной суммы токенов рекомендуется сначала провести полный тест получения и вывода с использованием небольшой суммы токенов.
При подключении программного кошелька для подписи перевода внимательно проверьте информацию на экране аппаратного устройства (такие как валюта, количество перевода, адрес получения) и убедитесь, что она совпадает с отображаемой в приложении. После подтверждения успешного вывода токена переходите к последующим операциям по хранению крупных сумм.
Если у вас есть какие-либо вопросы, пожалуйста, свяжитесь с официальной службой поддержки бренда.
!
Заключение
Безопасность аппаратного кошелька зависит не только от его базового технологического дизайна, но и от безопасных каналов покупки и правильных привычек пользователей. Физическая безопасность является абсолютно неотъемлемой частью защиты цифровых токенов.
В мире криптовалют, где сосуществуют возможности и риски, обязательно следует установить концепцию безопасности «нулевого доверия» — не доверяйте никаким каналам, лицам или устройствам, не прошедшим официальную проверку. Будьте крайне осторожны с любыми «бесплатными обедами», это первая и самая важная линия защиты ваших токенов.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
10 Лайков
Награда
10
3
Репост
Поделиться
комментарий
0/400
CryptoPhoenix
· 08-11 15:14
Выдержать все буря, восстановление менталитета — вот что действительно важно.
Руководство по безопасному использованию аппаратного кошелька: разоблачение предустановленных мнемонических фраз промывания глаз
Руководство по безопасности аппаратного кошелька: распознавание распространенных атак и меры предосторожности
В мире криптовалют безопасность всегда является приоритетом. Многие выбирают использование аппаратного кошелька (также известного как холодный кошелек) для защиты своих цифровых активов. Это физическое безопасное устройство, которое может офлайн генерировать и хранить приватные ключи.
Основная функция аппаратного кошелька заключается в том, чтобы хранить приватные ключи, контролирующие ваши токены, в оффлайн-режиме внутри безопасного чипа. Все подтверждения и подписи транзакций выполняются внутри устройства, и приватные ключи никогда не контактируют с подключенными к сети устройствами. Это значительно снижает риск того, что хакеры смогут украсть приватные ключи через сетевые вирусы или трояны.
Однако предпосылкой этой безопасности является то, что ваш аппаратный кошелек должен быть надежным и не подвергнутым изменению. Если злоумышленник внес злонамеренные изменения в аппаратный кошелек до того, как он попал к вам, то эта крепость, которая должна защищать приватные ключи, изначально теряет свою защиту и становится ловушкой, в которую мошенник может в любой момент поймать вас.
В этой статье будут рассмотрены два распространенных типа атак на аппаратные кошельки и предложены полные рекомендации по обеспечению безопасности.
Типы атак на аппаратные кошельки
В настоящее время схемы атак на аппаратные кошельки делятся на два типа: технические атаки и схемы с заранее заданными мнемоническими фразами.
Техническая атака
Суть этой атаки заключается в изменении физической структуры аппаратного кошелька.
Злоумышленники используют технические средства, такие как замена внутренних чипов, внедрение вредоносных программ, которые могут тайно записывать или отправлять мнемонические фразы и т. д. Эти устройства, подвергшиеся атаке, могут внешне не отличаться от оригинальных, но их основные функции (то есть оффлайн-генерация и оффлайн-хранение приватных ключей) были нарушены.
Как происходят мошенничества?
Злоумышленники обычно маскируются под известных проектировщиков, бренды аппаратных кошельков или лидеров мнений в социальных сетях, под предлогом бесплатной замены или розыгрыша, отправляя атакованные аппаратные кошельки жертвам в качестве "подарков".
В 2021 году пользователь сообщил, что получил "бесплатную замену" аппаратного кошелька, утверждая, что он был отправлен официальным представителем определенного бренда. Когда он использовал свои мнемонические фразы для восстановления кошелька на устройстве, токены на сумму 78 000 долларов были мгновенно переведены. В результате анализа было установлено, что это устройство было заражено вредоносной программой, способной украсть мнемонические фразы пользователя во время их ввода.
Безопасное уведомление
Обязательно покупайте аппаратный кошелек через официальные каналы и ни в коем случае не используйте "бесплатные кошельки" неизвестного происхождения.
Перед покупкой аппаратного кошелька любой марки обязательно проверьте правильность URL-адреса, чтобы избежать покупки кошелька с измененными или предустановленными мнемоническими фразами. Можно определить это следующими способами:
Метод трех шагов для оценки официальных каналов:
Будьте осторожны с этими высокорисковыми источниками ссылок:
!
Мошенничество с предустановленными мнемоническими фразами
Это текущее, более распространенное и наиболее легкое для обмана мошенничество. Оно не зависит от сложных технологий, а использует информационное неравенство и психологию пользователей. Его суть заключается в том, что мошенник еще до того, как вы получите аппаратный кошелек, уже "предустановил" для вас набор мнемонических фраз, используя поддельные инструкции и мошеннические уловки, чтобы заставить пользователей напрямую использовать этот кошелек.
Как происходят мошенничества?
Мошенники обычно продают аппаратные кошельки по низким ценам через неофициальные каналы (такие как социальные сети, платформы прямых трансляций или вторичный рынок). Как только пользователи пренебрегают проверкой или жаждут сэкономить, они легко становятся жертвой обмана.
Мошенники заранее закупают оригинальные аппаратные кошельки через официальные каналы, после чего распечатывают полученные кошельки и выполняют злонамеренные действия — активируют устройство, генерируют и записывают мнемоническую фразу кошелька, подделывают инструкцию и карточку с продуктом. Затем с помощью профессионального упаковочного оборудования и материалов они повторно упаковывают его, маскируя под "совершенно новый, нераспечатанный" аппаратный кошелек для продажи на торговых площадках.
В настоящее время наблюдаются два метода мошенничества с предустановленными мнемоническими фразами:
Если пользователь столкнется с "схемой с предустановленными мнемоническими фразами", на первый взгляд у пользователя есть аппаратный кошелек, но на самом деле он не контролирует кошелек. Контроль над кошельком (мнемоническая фраза) все еще находится в руках мошенника. После этого любые операции по переводу токенов в этот кошелек не отличаются от того, чтобы напрямую отправить токены в карман мошенника.
Безопасное уведомление
Регулярные аппаратные кошельки "никогда" не предустанавливают чувствительную информацию, включая, но не ограничиваясь, мнемоническими фразами, PIN-кодами, кодами привязки и т.д. Если в инструкции к кошельку предустановлены такие чувствительные данные, это создает риск мошенничества.
Пользователь должен самостоятельно "сгенерировать и записать" мнемоническую фразу на аппаратном кошельке.
!
Пользовательские примеры
Некоторый пользователь приобрел аппаратный кошелек на одной платформе коротких видео.
После получения устройства упаковка была в целости, а защитная наклейка также выглядела не поврежденной. Этот пользователь открыл упаковку и обнаружил, что инструкция предлагает использовать предустановленный PIN-код для разблокировки устройства. Он почувствовал некоторое недоумение: "Почему я не могу установить свой собственный PIN-код? И почему в процессе не было никаких подсказок о создании резервной фразы?"
Он сразу же связался с клиентской поддержкой магазина, чтобы проконсультироваться. Клиентская поддержка объяснила: "Это наш новый бездокументный аппаратный кошелек, который использует новейшие технологии безопасности. Чтобы упростить пользователям, мы настроили уникальный безопасный PIN-код для каждого устройства, который можно использовать после разблокировки, что делает его более удобным и безопасным."
Эти слова развеяли сомнения пользователей. Он следовал указаниям из инструкции, использовал предустановленный PIN-код для завершения сопряжения и постепенно перевел средства в новый Кошелек.
В первые дни все было в порядке с получением/переводом. Однако почти в тот момент, когда он перевел крупную сумму токенов, все токены в кошельке были переведены на незнакомый адрес.
Пользователь был в недоумении, и только после обращения к настоящей официальной службе поддержки бренда он наконец понял: то, что он купил, было устройством, которое было заранее активировано и предварительно настроено с мнемоническими фразами. Поэтому этот аппаратный кошелек с самого начала не принадлежал ему, а всегда находился под контролем мошенников. Так называемый "новый поколение холодного кошелька без мнемонических фраз" — это просто ложь мошенников, чтобы ввести людей в заблуждение.
!
Как защитить свой аппаратный кошелек
Чтобы предотвратить риски на всех этапах, от источника до использования, пожалуйста, ознакомьтесь со следующим списком проверок безопасности.
В качестве примера процесса проверки безопасности при распаковке аппаратного кошелька определенного бренда:
Шаг 1: Купить и открыть через официальные каналы.
Второй шаг: независимо сгенерировать и сохранить мнемоническую фразу
Внимание: при первом подключении аппаратного кошелька к приложению, если приложение сообщает "Ваше устройство не используется впервые, устройство уже было спарено, аппаратный кошелек сохранен с помощью мнемонической фразы", будьте осторожны! Если это не ваша операция, это означает, что устройство подвержено риску! Пожалуйста, немедленно прекратите использовать его и свяжитесь со службой поддержки бренда.
Шаг 3: Тестирование мелких токенов
Перед внесением крупной суммы токенов рекомендуется сначала провести полный тест получения и вывода с использованием небольшой суммы токенов.
При подключении программного кошелька для подписи перевода внимательно проверьте информацию на экране аппаратного устройства (такие как валюта, количество перевода, адрес получения) и убедитесь, что она совпадает с отображаемой в приложении. После подтверждения успешного вывода токена переходите к последующим операциям по хранению крупных сумм.
Если у вас есть какие-либо вопросы, пожалуйста, свяжитесь с официальной службой поддержки бренда.
!
Заключение
Безопасность аппаратного кошелька зависит не только от его базового технологического дизайна, но и от безопасных каналов покупки и правильных привычек пользователей. Физическая безопасность является абсолютно неотъемлемой частью защиты цифровых токенов.
В мире криптовалют, где сосуществуют возможности и риски, обязательно следует установить концепцию безопасности «нулевого доверия» — не доверяйте никаким каналам, лицам или устройствам, не прошедшим официальную проверку. Будьте крайне осторожны с любыми «бесплатными обедами», это первая и самая важная линия защиты ваших токенов.