Посібник з безпеки апаратного гаманця: виявлення поширених атак та заходи запобігання
У світі криптовалют безпека завжди є найголовнішим чинником. Багато людей обирають використовувати апаратний гаманець (також відомий як холодний гаманець), щоб захистити свої цифрові активи. Це фізичний безпечний пристрій, який може офлайн генерувати та зберігати приватні ключі.
Основна функція апаратного гаманця полягає в тому, щоб зберігати приватний ключ, який контролює ваші токени, в оффлайн-режимі на безпечному чіпі. Усі підтвердження та підписи транзакцій виконуються всередині пристрою, приватний ключ ніколи не контактує з підключеними до мережі пристроями. Це значно знижує ризик викрадення приватного ключа хакерами через мережеві віруси або трояни.
Однак передумовою такої безпеки є те, що апаратний гаманець у вас у руках має бути надійним і не підданим змінам. Якщо зловмисник встиг внести шкідливі зміни до апаратного гаманця до того, як ви його отримали, то ця фортеця, яка мала б захищати приватний ключ, з самого початку втратила свою захисну функцію і, навпаки, стала пасткою, в яку шахраї можуть з легкістю потрапити.
Ця стаття представить два поширені типи атак на апаратний гаманець та надасть комплексний посібник з безпеки.
Типи атак на апаратний гаманець
Наразі атаки на апаратні гаманці поділяються на два типи: технічні атаки та шахрайства з попередньо заданими мнемонічними фразами.
технічна атака
Ця атака полягає в зміні фізичної структури апаратного гаманця.
Зловмисники за допомогою технічних засобів, таких як заміна внутрішнього чіпа, впровадження шкідливих програм, що можуть приховано записувати або надсилати мнемонічні фрази тощо. Ці зламані пристрої зовні можуть не відрізнятися від оригіналу, але їх основна функція (тобто офлайн-генерація та офлайн-зберігання приватних ключів) була порушена.
Як відбуваються шахрайства?
Зловмисники зазвичай маскуються під відомі проекти, бренди апаратних гаманців або лідерів думок у соціальних мережах, щоб під виглядом безкоштовної заміни, розіграшів тощо надсилати зламані апаратні гаманці як "подарунки" жертвам.
У 2021 році користувачі повідомили про отримання "безкоштовної заміни" апаратного гаманця, який нібито надіслала офіційна компанія. Коли він використав свої власні мнемонічні фрази для відновлення гаманця на пристрої, токени вартістю 78 000 доларів миттєво були переведені. Після аналізу виявилося, що цей пристрій був заражений шкідливим програмним забезпеченням, яке могло викрадати мнемонічні фрази під час їх введення користувачем.
Безпекове нагадування
Обов'язково купуйте апаратний гаманець через офіційні канали, ніколи не використовуйте "безкоштовні гаманці" з невідомим походженням.
Перед покупкою апаратного гаманця будь-якого бренду, будь ласка, обов'язково перевірте, чи правильний веб-сайт, щоб уникнути придбання гаманця, що було змінено або має попередньо встановлені мнемонічні фрази. Ви можете визначити це наступними способами:
Офіційний канал три кроки для оцінки:
Перехід з брендового додатку — це найнадійніший спосіб;
Використовуючи пошукові системи, уникайте рекламних посилань, уважно перевіряйте, чи правильно написано домен офіційного сайту;
Крос-платформена перевірка: перегляньте закріплені посилання на офіційні акаунти бренду на основних соціальних медіа платформах.
Остерігайтеся цих джерел високого ризику:
Безкоштовні подарунки або веб-сторінки з низькими цінами
посилання на покупку, рекомендоване короткими відео або соціальними мережами
Помилка в написанні доменного імені, підозрілі скорочення, веб-сторінки без безпечного замка
!
шахрайство з попередньо заданими мнемонічними словами
Це наразі найбільш поширена та найпростіша для обману схема. Вона не залежить від складних технологій, а використовує інформаційний розрив і психологію користувачів. Її суть полягає в тому, що шахрай до того, як ви отримаєте апаратний гаманець, вже "попередньо налаштував" для вас набір мнемонічних слів, підштовхуючи користувачів до використання цього гаманця за допомогою підробленої інструкції та шахрайських фраз.
Як відбуваються шахрайства?
Шахраї зазвичай продають апаратні гаманці за низькими цінами через неофіційні канали (такі як соціальні мережі, платформи прямих продажів або ринки вторинних товарів). Як тільки користувачі нехтують перевіркою або намагаються заощадити, вони легко можуть потрапити в пастку.
Шахраї заздалегідь купують оригінальні апаратні гаманці з офіційних каналів, після отримання гаманця відкривають його та виконують злочинні дії — активують пристрій, генерують та записують мнемонічну фразу гаманця, підробляють інструкцію та картку продукту. Потім, використовуючи професійне пакувальне обладнання та матеріали, повторно упаковують його, маскуючи як "абсолютно новий, не розпакований" апаратний гаманець для продажу на електронних торгових платформах.
Наразі спостерігаються два види шахрайства з попередніми мнемонічними фразами:
Заздалегідь встановлені мнемоники: Упаковка безпосередньо надає надруковану картку з мнемоніками та спонукає користувачів використовувати ці мнемоніки для відновлення Гаманець.
Попередньо встановлений PIN-код: надається картка зі скретч-кодом, яка стверджує, що після зняття покриття можна побачити унікальний "PIN-код" або "активаційний код пристрою", і хибно стверджує, що апаратний гаманець не потребує мнемонічної фрази.
Якщо користувач потрапляє в "схему з попередньо заданими мнемонічними фразами", на перший погляд у користувача є апаратний гаманець, але насправді він не має справжнього контролю над гаманець. Контроль над цим гаманцем (мнемонічна фраза) завжди залишається в руках шахрая. Після цього операції з переказу всіх токенів на цей гаманець не є чимось іншим, як відправкою токенів прямо в кишеню шахрая.
Попередження про безпеку
Регулярні апаратні гаманці "ніколи" не передбачають чутливу інформацію, включаючи, але не обмежуючись, мнемонічні фрази, PIN-коди, коди прив’язки тощо. Якщо в інструкції до гаманця передбачена така чутлива інформація, існує ризик шахрайства.
Користувач повинен самостійно на апаратному гаманці "згенерувати та переписати" мнемонічну фразу.
!
Користувацький випадок
Користувач придбав апаратний гаманець на платформі короткометражних відео.
Коли пристрій потрапив до рук, упаковка була в хорошому стані, а захисна етикетка виглядала неушкодженою. Цей користувач розпакував упаковку і виявив, що інструкція направляє його використовувати попередньо встановлений PIN-код для розблокування пристрою. Він відчув деяку нерішучість: "Чому це не я сам встановлюю PIN-код? І під час усього процесу не було жодних вказівок щодо резервного копіювання мнемонічної фрази?"
Він відразу ж зв'язався зі службою підтримки магазину, щоб дізнатися. Служба підтримки пояснила: "Це наш новий покоління холодного гаманця без мнемонічного коду, який використовує останні технології безпеки. Для зручності користувачів ми налаштували унікальний PIN-код безпеки для кожного пристрою, який можна використовувати після розблокування, що робить його більш зручним і безпечним."
Ці слова розвіяли сумніви користувача. Він, слідуючи інструкціям у посібнику, використав заздалегідь встановлений PIN-код для завершення спарювання та поступово перевів кошти до нового Гаманець.
Спочатку кілька днів все було нормально з отриманням/переведенням коштів. Але майже в момент, коли він перевів велику суму токенів, всі токени в гаманці були переведені на невідому адресу.
Користувач був в розпачі, і лише після зв'язку з офіційним представником бренду він зрозумів: те, що він придбав, насправді є пристроєм, який був активований заздалегідь і має попередньо налаштовану мнемонічну фразу. Отже, цей апаратний гаманець з самого початку не належав йому, а завжди контролювався шахраями. Так званий "новий покоління без мнемонічної фрази холодний гаманець" - це всього лише брехня, яку шахраї використовують, щоб ввести в оману.
!
Як захистити свій апаратний гаманець
Щоб запобігти ризикам на всіх етапах, від джерела до використання, будь ласка, ознайомтеся з наведеним нижче списком перевірки безпеки.
Наприклад, процес безпечної перевірки розпакування апаратного гаманця певного бренду:
Перший крок: купівля та перевірка на офіційних каналах
Дотримуйтесь офіційних каналів: обов'язково купуйте через офіційні канали, зазначені на веб-сайті бренду.
Перевірка упаковки: після отримання пристрою перевірте, чи цілісні зовнішня упаковка, пломби та вміст.
Перевірте стан активації пристрою: введіть SN-код (серійний номер продукту) на офіційному сайті бренду, щоб перевірити дату активації пристрою. Новий пристрій повинен вказувати "Пристрій ще не активований".
Другий крок: незалежно згенерувати та зробити резервну копію мнемонічної фрази
Автономно завершити весь процес: під час першого використання апаратного гаманця обов'язково особисто та самостійно активуйте пристрій, налаштуйте та зробіть резервну копію PIN-коду і коду зв'язку, створіть та зробіть резервну копію мнемонічної фрази.
Належно зберігайте пристрій та мнемонічну фразу: обов'язково фізично (наприклад, написавши на папері) або за допомогою спеціального контейнера для мнемонічних фраз зробіть резервну копію мнемонічної фрази та зберігайте її в безпечному місці, відокремленому від апаратного гаманця. Ніколи не робіть фотографій, скріншотів або не зберігайте на жодному електронному пристрої.
Увага: при першому підключенні апаратного гаманця до додатку, якщо програма повідомляє "ваш пристрій не вперше використовується, вже спарений пристрій, резервна копія мнEMONIC-фрази апаратного гаманця", будьте обережні! Якщо це не ви, це свідчить про ризик для цього пристрою! Будь ласка, негайно припиніть використання та зв'яжіться з службою підтримки бренду.
Третій крок: тестування малих токенів
Перед внесенням великих сум токенів рекомендується спочатку провести повне тестування отримання та виведення за допомогою невеликої суми токенів.
Коли ви підписуєте переказ, підключивши програмний гаманець, уважно перевірте інформацію на екрані апаратного пристрою (таку як валюта, кількість переказу, адреса отримувача), щоб впевнитися, що вона збігається з тією, що відображається в додатку. Після підтвердження успішного виведення токенів, продовжуйте з подальшими операціями з великими сумами.
Якщо у вас є будь-які питання, будь ласка, своєчасно зв'яжіться з офіційною службою підтримки бренду.
!
Висновок
Безпека апаратного гаманця залежить не лише від його основного технологічного дизайну, а й від безпечних каналів покупки та правильних звичок користувачів. Фізичний рівень безпеки є абсолютно невід'ємною частиною захисту цифрових токенів.
У світі криптовалют, де існують можливості та ризики, обов'язково дотримуйтесь концепції безпеки "нульової довіри" — не вірте жодним каналам, особам чи обладнанню, які не пройшли офіційної перевірки. Будьте надзвичайно обережними з будь-якими "безкоштовними обідами", це перша та найважливіша лінія захисту ваших токенів.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
9 лайків
Нагородити
9
3
Репост
Поділіться
Прокоментувати
0/400
CryptoPhoenix
· 08-11 15:14
Стійкість до всіх бурь, відновлення психічного стану - ось що насправді важливо.
апаратний гаманець безпечне використання посібник: розпізнати підготовлене замилювання очей мнемонічна фраза
Посібник з безпеки апаратного гаманця: виявлення поширених атак та заходи запобігання
У світі криптовалют безпека завжди є найголовнішим чинником. Багато людей обирають використовувати апаратний гаманець (також відомий як холодний гаманець), щоб захистити свої цифрові активи. Це фізичний безпечний пристрій, який може офлайн генерувати та зберігати приватні ключі.
Основна функція апаратного гаманця полягає в тому, щоб зберігати приватний ключ, який контролює ваші токени, в оффлайн-режимі на безпечному чіпі. Усі підтвердження та підписи транзакцій виконуються всередині пристрою, приватний ключ ніколи не контактує з підключеними до мережі пристроями. Це значно знижує ризик викрадення приватного ключа хакерами через мережеві віруси або трояни.
Однак передумовою такої безпеки є те, що апаратний гаманець у вас у руках має бути надійним і не підданим змінам. Якщо зловмисник встиг внести шкідливі зміни до апаратного гаманця до того, як ви його отримали, то ця фортеця, яка мала б захищати приватний ключ, з самого початку втратила свою захисну функцію і, навпаки, стала пасткою, в яку шахраї можуть з легкістю потрапити.
Ця стаття представить два поширені типи атак на апаратний гаманець та надасть комплексний посібник з безпеки.
Типи атак на апаратний гаманець
Наразі атаки на апаратні гаманці поділяються на два типи: технічні атаки та шахрайства з попередньо заданими мнемонічними фразами.
технічна атака
Ця атака полягає в зміні фізичної структури апаратного гаманця.
Зловмисники за допомогою технічних засобів, таких як заміна внутрішнього чіпа, впровадження шкідливих програм, що можуть приховано записувати або надсилати мнемонічні фрази тощо. Ці зламані пристрої зовні можуть не відрізнятися від оригіналу, але їх основна функція (тобто офлайн-генерація та офлайн-зберігання приватних ключів) була порушена.
Як відбуваються шахрайства?
Зловмисники зазвичай маскуються під відомі проекти, бренди апаратних гаманців або лідерів думок у соціальних мережах, щоб під виглядом безкоштовної заміни, розіграшів тощо надсилати зламані апаратні гаманці як "подарунки" жертвам.
У 2021 році користувачі повідомили про отримання "безкоштовної заміни" апаратного гаманця, який нібито надіслала офіційна компанія. Коли він використав свої власні мнемонічні фрази для відновлення гаманця на пристрої, токени вартістю 78 000 доларів миттєво були переведені. Після аналізу виявилося, що цей пристрій був заражений шкідливим програмним забезпеченням, яке могло викрадати мнемонічні фрази під час їх введення користувачем.
Безпекове нагадування
Обов'язково купуйте апаратний гаманець через офіційні канали, ніколи не використовуйте "безкоштовні гаманці" з невідомим походженням.
Перед покупкою апаратного гаманця будь-якого бренду, будь ласка, обов'язково перевірте, чи правильний веб-сайт, щоб уникнути придбання гаманця, що було змінено або має попередньо встановлені мнемонічні фрази. Ви можете визначити це наступними способами:
Офіційний канал три кроки для оцінки:
Остерігайтеся цих джерел високого ризику:
!
шахрайство з попередньо заданими мнемонічними словами
Це наразі найбільш поширена та найпростіша для обману схема. Вона не залежить від складних технологій, а використовує інформаційний розрив і психологію користувачів. Її суть полягає в тому, що шахрай до того, як ви отримаєте апаратний гаманець, вже "попередньо налаштував" для вас набір мнемонічних слів, підштовхуючи користувачів до використання цього гаманця за допомогою підробленої інструкції та шахрайських фраз.
Як відбуваються шахрайства?
Шахраї зазвичай продають апаратні гаманці за низькими цінами через неофіційні канали (такі як соціальні мережі, платформи прямих продажів або ринки вторинних товарів). Як тільки користувачі нехтують перевіркою або намагаються заощадити, вони легко можуть потрапити в пастку.
Шахраї заздалегідь купують оригінальні апаратні гаманці з офіційних каналів, після отримання гаманця відкривають його та виконують злочинні дії — активують пристрій, генерують та записують мнемонічну фразу гаманця, підробляють інструкцію та картку продукту. Потім, використовуючи професійне пакувальне обладнання та матеріали, повторно упаковують його, маскуючи як "абсолютно новий, не розпакований" апаратний гаманець для продажу на електронних торгових платформах.
Наразі спостерігаються два види шахрайства з попередніми мнемонічними фразами:
Якщо користувач потрапляє в "схему з попередньо заданими мнемонічними фразами", на перший погляд у користувача є апаратний гаманець, але насправді він не має справжнього контролю над гаманець. Контроль над цим гаманцем (мнемонічна фраза) завжди залишається в руках шахрая. Після цього операції з переказу всіх токенів на цей гаманець не є чимось іншим, як відправкою токенів прямо в кишеню шахрая.
Попередження про безпеку
Регулярні апаратні гаманці "ніколи" не передбачають чутливу інформацію, включаючи, але не обмежуючись, мнемонічні фрази, PIN-коди, коди прив’язки тощо. Якщо в інструкції до гаманця передбачена така чутлива інформація, існує ризик шахрайства.
Користувач повинен самостійно на апаратному гаманці "згенерувати та переписати" мнемонічну фразу.
!
Користувацький випадок
Користувач придбав апаратний гаманець на платформі короткометражних відео.
Коли пристрій потрапив до рук, упаковка була в хорошому стані, а захисна етикетка виглядала неушкодженою. Цей користувач розпакував упаковку і виявив, що інструкція направляє його використовувати попередньо встановлений PIN-код для розблокування пристрою. Він відчув деяку нерішучість: "Чому це не я сам встановлюю PIN-код? І під час усього процесу не було жодних вказівок щодо резервного копіювання мнемонічної фрази?"
Він відразу ж зв'язався зі службою підтримки магазину, щоб дізнатися. Служба підтримки пояснила: "Це наш новий покоління холодного гаманця без мнемонічного коду, який використовує останні технології безпеки. Для зручності користувачів ми налаштували унікальний PIN-код безпеки для кожного пристрою, який можна використовувати після розблокування, що робить його більш зручним і безпечним."
Ці слова розвіяли сумніви користувача. Він, слідуючи інструкціям у посібнику, використав заздалегідь встановлений PIN-код для завершення спарювання та поступово перевів кошти до нового Гаманець.
Спочатку кілька днів все було нормально з отриманням/переведенням коштів. Але майже в момент, коли він перевів велику суму токенів, всі токени в гаманці були переведені на невідому адресу.
Користувач був в розпачі, і лише після зв'язку з офіційним представником бренду він зрозумів: те, що він придбав, насправді є пристроєм, який був активований заздалегідь і має попередньо налаштовану мнемонічну фразу. Отже, цей апаратний гаманець з самого початку не належав йому, а завжди контролювався шахраями. Так званий "новий покоління без мнемонічної фрази холодний гаманець" - це всього лише брехня, яку шахраї використовують, щоб ввести в оману.
!
Як захистити свій апаратний гаманець
Щоб запобігти ризикам на всіх етапах, від джерела до використання, будь ласка, ознайомтеся з наведеним нижче списком перевірки безпеки.
Наприклад, процес безпечної перевірки розпакування апаратного гаманця певного бренду:
Перший крок: купівля та перевірка на офіційних каналах
Другий крок: незалежно згенерувати та зробити резервну копію мнемонічної фрази
Увага: при першому підключенні апаратного гаманця до додатку, якщо програма повідомляє "ваш пристрій не вперше використовується, вже спарений пристрій, резервна копія мнEMONIC-фрази апаратного гаманця", будьте обережні! Якщо це не ви, це свідчить про ризик для цього пристрою! Будь ласка, негайно припиніть використання та зв'яжіться з службою підтримки бренду.
Третій крок: тестування малих токенів
Перед внесенням великих сум токенів рекомендується спочатку провести повне тестування отримання та виведення за допомогою невеликої суми токенів.
Коли ви підписуєте переказ, підключивши програмний гаманець, уважно перевірте інформацію на екрані апаратного пристрою (таку як валюта, кількість переказу, адреса отримувача), щоб впевнитися, що вона збігається з тією, що відображається в додатку. Після підтвердження успішного виведення токенів, продовжуйте з подальшими операціями з великими сумами.
Якщо у вас є будь-які питання, будь ласка, своєчасно зв'яжіться з офіційною службою підтримки бренду.
!
Висновок
Безпека апаратного гаманця залежить не лише від його основного технологічного дизайну, а й від безпечних каналів покупки та правильних звичок користувачів. Фізичний рівень безпеки є абсолютно невід'ємною частиною захисту цифрових токенів.
У світі криптовалют, де існують можливості та ризики, обов'язково дотримуйтесь концепції безпеки "нульової довіри" — не вірте жодним каналам, особам чи обладнанню, які не пройшли офіційної перевірки. Будьте надзвичайно обережними з будь-якими "безкоштовними обідами", це перша та найважливіша лінія захисту ваших токенів.