Защита вашего аппаратного кошелька: Распространенные атаки и руководство по предотвращению
В области криптовалют безопасность всегда является первоочередной задачей. Чтобы защитить цифровые активы, многие выбирают использовать аппаратный кошелек (также известный как холодный кошелек) — физическое безопасное устройство, которое может генерировать и хранить приватные ключи в оффлайне.
Основная функция аппаратного кошелька заключается в том, чтобы хранить "приватный ключ", контролирующий ваши токены, в офлайн-режиме на безопасном чипе. Все подтверждения и подписи транзакций выполняются внутри устройства, приватный ключ никогда не контактирует с подключенными к сети мобильными устройствами или компьютерами. Это значительно снижает риск кражи приватного ключа хакерами с помощью сетевых вирусов, троянов и других методов.
Однако предпосылкой этой безопасности является то, что аппаратный кошелек в ваших руках надежен и не подвергался атакам. Если злоумышленник уже изменил его до того, как вы его получили, то эта безопасная крепость для хранения приватных ключей с самого начала утрачивает свою защиту и становится "ловушкой", которую мошенники готовы использовать в любой момент.
В этой статье будут представлены два распространенных типа атак на аппаратные кошельки и предоставлены рекомендации по обеспечению безопасности.
Типы атак на аппаратные кошельки
В настоящее время атаки на аппаратные кошельки делятся на два основных типа: технические атаки и мошенничество с предустановленными мнемоническими фразами.
Техническая атака
Суть этой атаки заключается в физическом изменении структуры аппаратного кошелька. Злоумышленники используют технические средства, такие как замена внутренних чипов, внедрение вредоносных программ, способных скрытно записывать или отправлять мнемонические фразы и т.д. Эти устройства, подвергшиеся атаке, внешне могут не отличаться от оригинала, но их основные функции (то есть офлайн-генерация и офлайн-хранение приватных ключей) уже были захвачены.
Атакующие обычно маскируются под известные проекты, бренды аппаратных кошельков или KOL в социальных сетях и под предлогом бесплатной замены, репостов и розыгрышей отправляют атакованные аппаратные кошельки как "подарки" жертвам.
В 2021 году пользователь сообщил, что получил "бесплатную замену" аппаратного кошелька, отправленную от имени официального представителя определенного бренда. Когда он восстановил свой кошелек на устройстве, используя свои мнемонические фразы, токены на сумму 78 000 долларов были полностью украдены. Последующий анализ показал, что на устройстве была установлена вредоносная программа, способная красть мнемонические фразы, когда пользователь их вводит.
промывание глаз по предустановленным мнемоническим фразам
Это самая распространенная и легкая для попадания в ловушку промывание глаз. Он не зависит от сложных технологий, а использует информационный разрыв и психологию пользователей. Его суть заключается в том, что мошенник уже "преднастраивает" для вас набор мнемонических фраз до того, как вы получите аппаратный кошелек, и с помощью поддельной инструкции и мошеннической риторики вводит пользователя в заблуждение, чтобы он сразу использовал этот кошелек.
Мошенники обычно продают аппаратные кошельки по низким ценам через неофициальные каналы (такие как социальные сети, платформы прямых продаж или вторичный рынок). Как только пользователи пренебрегают проверкой или стремятся сэкономить, они легко становятся жертвами обмана.
Мошенники заранее закупают оригинальные аппаратные кошельки через официальные каналы, после получения кошелька вскрывают его и выполняют злонамеренные действия — активируют устройство, генерируют и записывают мнемоническую фразу кошелька, изменяют инструкцию и карточку продукта. Затем с помощью профессионального упаковочного оборудования и материалов повторно упаковывают его, маскируя как "совершенно новый, не вскрытый" аппаратный кошелек для продажи на торговых площадках.
В настоящее время наблюдаются два способа мошенничества с предустановленными мнемоническими фразами:
Предустановленная мнемоническая фраза: в упаковке прямо предоставляется печатная карта с мнемонической фразой и предлагается пользователю использовать эту мнемоническую фразу для восстановления кошелька.
Предустановленный PIN-код (код разблокировки аппаратного устройства): предоставляется скретч-карта, утверждающая, что, потёрев покрытие, можно увидеть уникальный "PIN-код" или "код активации устройства", и лжёт, что аппаратный кошелек не требует мнемонической фразы.
Как только пользователь столкнется с "промыванием глаз предустановленными мнемоническими фразами", на поверхности кажется, что пользователь владеет аппаратным кошельком, но на самом деле он не имеет реального контроля над кошельком, контроль над которым (мнемоническая фраза) по-прежнему находится в руках мошенника. После этого операции по переводу всех токенов на этот кошелек не отличаются от того, как если бы токены были помещены в карман мошенника.
!
Примеры пользователей
Господин Ван приобрел аппаратный кошелек на одной из платформ коротких видео. Когда устройство пришло, упаковка была цела, а защитные метки также выглядели неповрежденными. Господин Ван открыл упаковку и обнаружил, что инструкция предлагает ему использовать предустановленный PIN-код для разблокировки устройства. Он почувствовал некоторое недоумение: "Почему я не могу сам установить PIN-код? И в процессе не было никаких подсказок о резервном копировании мнемонической фразы?"
Он сразу же связался с клиентской службой магазина, чтобы проконсультироваться. Служба поддержки объяснила: "Это наш новый безсловный аппаратный кошелек, использующий новейшие технологии безопасности. Чтобы упростить пользователям, мы установили уникальный безопасный PIN-код для каждого устройства, который можно использовать после разблокировки, что делает его более удобным и безопасным."
Эти слова развеяли сомнения господина Ваня. Следуя указаниям в инструкции, он использовал предустановленный ПИН-код для завершения сопряжения и постепенно перевел средства в новый Кошелек.
В первые дни все было нормально с получением/переводом средств. Однако, практически в тот момент, когда он перевел крупную сумму токенов, все токены в кошельке были переведены на незнакомый адрес.
Господин Ван долго не мог понять, а после обращения в настоящий официальный сервис бренда он наконец осознал: устройство, которое он купил, оказалось заранее активированным и с предустановленной мнемонической фразой. Таким образом, этот аппаратный кошелек изначально не принадлежал ему, а всегда находился под контролем мошенников. Так называемый "новое поколение холодного кошелька без мнемонической фразы" — это всего лишь ложь, которую мошенники используют для введения в заблуждение.
!
Как защитить ваш аппаратный кошелек
Чтобы предотвратить риски на всех этапах, от источника до использования, пожалуйста, ознакомьтесь со следующим списком проверок безопасности:
Первый шаг: покупка и распаковка через официальные каналы
Пожалуйста, продолжайте покупать аппаратный кошелек только через официальные каналы.
После получения устройства проверьте, целостность внешней упаковки, пломбы и содержимого.
Введите серийный номер устройства на официальном сайте, чтобы проверить статус активации устройства. Новое устройство должно показать "Устройство еще не активировано".
Второй шаг: независимо создайте и сохраните мнемоническую фразу
При первом использовании обязательно самостоятельно завершите активацию устройства, настройку и резервное копирование PIN-кода и кода привязки, создание и резервное копирование мнемонической фразы.
Физически (например, записав на бумаге) или с помощью запоминающего устройства сделайте резервную копию мнемонической фразы и храните ее в безопасном месте, отделенном от аппаратного кошелька. Никогда не делайте фотографий, скриншотов или не сохраняйте на любых электронных устройствах.
Третий шаг: тестирование небольших токенов
Перед внесением крупных токенов рекомендуется сначала провести полный тест получения и перевода с небольшой суммой токенов. При подключении программного кошелька для подписания перевода внимательно проверьте информацию на экране аппаратного устройства (например, тип валюты, количество перевода, адрес получателя), чтобы она совпадала с отображаемой в приложении. После подтверждения успешного перевода токенов можно приступать к дальнейшим операциям по внесению крупных сумм.
!
Заключение
Безопасность аппаратного кошелька зависит не только от его основного технического дизайна, но и от безопасных каналов покупки и правильных привычек пользователей. Физическая безопасность является абсолютно незаменимым элементом в защите цифровых токенов.
В мире криптовалют, где возможности и риски идут рука об руку, обязательно необходимо установить концепцию безопасности "нулевого доверия" — не доверяйте никаким каналам, людям или устройствам, которые не были официально проверены. Будьте крайне осторожны с любыми "бесплатными обедами", это первая и самая важная линия защиты ваших токенов.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
18 Лайков
Награда
18
7
Репост
Поделиться
комментарий
0/400
WalletManager
· 08-12 18:20
Как можно играть в токены, не имея даже такого уровня безопасности?
Посмотреть ОригиналОтветить0
LightningLady
· 08-12 04:52
Так это еще и холодный кошелек. Кто за это отвечает?
Посмотреть ОригиналОтветить0
ZKProofEnthusiast
· 08-10 10:13
Все равно hodl самый безопасный!
Посмотреть ОригиналОтветить0
UnluckyMiner
· 08-09 19:34
Кошелек не надежен, сейчас слишком плохо.
Посмотреть ОригиналОтветить0
NeverVoteOnDAO
· 08-09 19:30
Холодный кошелек тоже не достаточно холодный, лучше спрятать записку.
Посмотреть ОригиналОтветить0
NFTFreezer
· 08-09 19:26
Кошелек слишком сложный, лучше хранить на централизованной бирже.
Посмотреть ОригиналОтветить0
GasBandit
· 08-09 19:23
Ццц, снова вторичный Кошелек будут играть для лохов
Руководство по безопасности аппаратного кошелька: предотвращение технических атак и мошенничества с предустановленными мнемоническими фразами
Защита вашего аппаратного кошелька: Распространенные атаки и руководство по предотвращению
В области криптовалют безопасность всегда является первоочередной задачей. Чтобы защитить цифровые активы, многие выбирают использовать аппаратный кошелек (также известный как холодный кошелек) — физическое безопасное устройство, которое может генерировать и хранить приватные ключи в оффлайне.
Основная функция аппаратного кошелька заключается в том, чтобы хранить "приватный ключ", контролирующий ваши токены, в офлайн-режиме на безопасном чипе. Все подтверждения и подписи транзакций выполняются внутри устройства, приватный ключ никогда не контактирует с подключенными к сети мобильными устройствами или компьютерами. Это значительно снижает риск кражи приватного ключа хакерами с помощью сетевых вирусов, троянов и других методов.
Однако предпосылкой этой безопасности является то, что аппаратный кошелек в ваших руках надежен и не подвергался атакам. Если злоумышленник уже изменил его до того, как вы его получили, то эта безопасная крепость для хранения приватных ключей с самого начала утрачивает свою защиту и становится "ловушкой", которую мошенники готовы использовать в любой момент.
В этой статье будут представлены два распространенных типа атак на аппаратные кошельки и предоставлены рекомендации по обеспечению безопасности.
Типы атак на аппаратные кошельки
В настоящее время атаки на аппаратные кошельки делятся на два основных типа: технические атаки и мошенничество с предустановленными мнемоническими фразами.
Техническая атака
Суть этой атаки заключается в физическом изменении структуры аппаратного кошелька. Злоумышленники используют технические средства, такие как замена внутренних чипов, внедрение вредоносных программ, способных скрытно записывать или отправлять мнемонические фразы и т.д. Эти устройства, подвергшиеся атаке, внешне могут не отличаться от оригинала, но их основные функции (то есть офлайн-генерация и офлайн-хранение приватных ключей) уже были захвачены.
Атакующие обычно маскируются под известные проекты, бренды аппаратных кошельков или KOL в социальных сетях и под предлогом бесплатной замены, репостов и розыгрышей отправляют атакованные аппаратные кошельки как "подарки" жертвам.
В 2021 году пользователь сообщил, что получил "бесплатную замену" аппаратного кошелька, отправленную от имени официального представителя определенного бренда. Когда он восстановил свой кошелек на устройстве, используя свои мнемонические фразы, токены на сумму 78 000 долларов были полностью украдены. Последующий анализ показал, что на устройстве была установлена вредоносная программа, способная красть мнемонические фразы, когда пользователь их вводит.
промывание глаз по предустановленным мнемоническим фразам
Это самая распространенная и легкая для попадания в ловушку промывание глаз. Он не зависит от сложных технологий, а использует информационный разрыв и психологию пользователей. Его суть заключается в том, что мошенник уже "преднастраивает" для вас набор мнемонических фраз до того, как вы получите аппаратный кошелек, и с помощью поддельной инструкции и мошеннической риторики вводит пользователя в заблуждение, чтобы он сразу использовал этот кошелек.
Мошенники обычно продают аппаратные кошельки по низким ценам через неофициальные каналы (такие как социальные сети, платформы прямых продаж или вторичный рынок). Как только пользователи пренебрегают проверкой или стремятся сэкономить, они легко становятся жертвами обмана.
Мошенники заранее закупают оригинальные аппаратные кошельки через официальные каналы, после получения кошелька вскрывают его и выполняют злонамеренные действия — активируют устройство, генерируют и записывают мнемоническую фразу кошелька, изменяют инструкцию и карточку продукта. Затем с помощью профессионального упаковочного оборудования и материалов повторно упаковывают его, маскируя как "совершенно новый, не вскрытый" аппаратный кошелек для продажи на торговых площадках.
В настоящее время наблюдаются два способа мошенничества с предустановленными мнемоническими фразами:
Предустановленная мнемоническая фраза: в упаковке прямо предоставляется печатная карта с мнемонической фразой и предлагается пользователю использовать эту мнемоническую фразу для восстановления кошелька.
Предустановленный PIN-код (код разблокировки аппаратного устройства): предоставляется скретч-карта, утверждающая, что, потёрев покрытие, можно увидеть уникальный "PIN-код" или "код активации устройства", и лжёт, что аппаратный кошелек не требует мнемонической фразы.
Как только пользователь столкнется с "промыванием глаз предустановленными мнемоническими фразами", на поверхности кажется, что пользователь владеет аппаратным кошельком, но на самом деле он не имеет реального контроля над кошельком, контроль над которым (мнемоническая фраза) по-прежнему находится в руках мошенника. После этого операции по переводу всех токенов на этот кошелек не отличаются от того, как если бы токены были помещены в карман мошенника.
!
Примеры пользователей
Господин Ван приобрел аппаратный кошелек на одной из платформ коротких видео. Когда устройство пришло, упаковка была цела, а защитные метки также выглядели неповрежденными. Господин Ван открыл упаковку и обнаружил, что инструкция предлагает ему использовать предустановленный PIN-код для разблокировки устройства. Он почувствовал некоторое недоумение: "Почему я не могу сам установить PIN-код? И в процессе не было никаких подсказок о резервном копировании мнемонической фразы?"
Он сразу же связался с клиентской службой магазина, чтобы проконсультироваться. Служба поддержки объяснила: "Это наш новый безсловный аппаратный кошелек, использующий новейшие технологии безопасности. Чтобы упростить пользователям, мы установили уникальный безопасный PIN-код для каждого устройства, который можно использовать после разблокировки, что делает его более удобным и безопасным."
Эти слова развеяли сомнения господина Ваня. Следуя указаниям в инструкции, он использовал предустановленный ПИН-код для завершения сопряжения и постепенно перевел средства в новый Кошелек.
В первые дни все было нормально с получением/переводом средств. Однако, практически в тот момент, когда он перевел крупную сумму токенов, все токены в кошельке были переведены на незнакомый адрес.
Господин Ван долго не мог понять, а после обращения в настоящий официальный сервис бренда он наконец осознал: устройство, которое он купил, оказалось заранее активированным и с предустановленной мнемонической фразой. Таким образом, этот аппаратный кошелек изначально не принадлежал ему, а всегда находился под контролем мошенников. Так называемый "новое поколение холодного кошелька без мнемонической фразы" — это всего лишь ложь, которую мошенники используют для введения в заблуждение.
!
Как защитить ваш аппаратный кошелек
Чтобы предотвратить риски на всех этапах, от источника до использования, пожалуйста, ознакомьтесь со следующим списком проверок безопасности:
Первый шаг: покупка и распаковка через официальные каналы
Второй шаг: независимо создайте и сохраните мнемоническую фразу
Третий шаг: тестирование небольших токенов
Перед внесением крупных токенов рекомендуется сначала провести полный тест получения и перевода с небольшой суммой токенов. При подключении программного кошелька для подписания перевода внимательно проверьте информацию на экране аппаратного устройства (например, тип валюты, количество перевода, адрес получателя), чтобы она совпадала с отображаемой в приложении. После подтверждения успешного перевода токенов можно приступать к дальнейшим операциям по внесению крупных сумм.
!
Заключение
Безопасность аппаратного кошелька зависит не только от его основного технического дизайна, но и от безопасных каналов покупки и правильных привычек пользователей. Физическая безопасность является абсолютно незаменимым элементом в защите цифровых токенов.
В мире криптовалют, где возможности и риски идут рука об руку, обязательно необходимо установить концепцию безопасности "нулевого доверия" — не доверяйте никаким каналам, людям или устройствам, которые не были официально проверены. Будьте крайне осторожны с любыми "бесплатными обедами", это первая и самая важная линия защиты ваших токенов.
!