Guide de sécurité des portefeuilles matériels : identifier et prévenir les attaques courantes
Dans le domaine des cryptomonnaies, la sécurité est toujours une préoccupation majeure. Pour protéger les actifs numériques, de nombreuses personnes choisissent d'utiliser un portefeuille matériel (également appelé portefeuille froid) - un dispositif de sécurité physique capable de générer et de stocker des clés privées hors ligne.
La fonction principale du portefeuille matériel est de stocker hors ligne les clés privées qui contrôlent les jetons dans une puce sécurisée. Toutes les confirmations et signatures des transactions sont effectuées à l'intérieur de l'appareil, et les clés privées ne touchent jamais aux appareils mobiles ou aux ordinateurs connectés. Cela réduit considérablement le risque pour les hackers de voler des clés privées via des virus Internet, des chevaux de Troie, etc.
Cependant, cette sécurité repose sur le fait que le portefeuille matériel entre les mains de l'utilisateur est fiable et non compromis. Si un attaquant a déjà manipulé le portefeuille matériel avant que l'utilisateur ne l'obtienne, alors cette forteresse de sécurité destinée au stockage des clés privées perd dès le départ son rôle de protection et devient au contraire un piège que les escrocs peuvent exploiter à tout moment.
Cet article présentera deux types courants d'escroqueries par attaque de portefeuille matériel et fournira un ensemble de conseils de sécurité.
Types d'escroqueries liées aux attaques de portefeuille matériel
Actuellement, les escroqueries liées aux attaques de portefeuilles matériels se divisent principalement en deux catégories : les attaques techniques et les escroqueries sur les phrases mnémotechniques prédéfinies.
attaque technique
Le cœur de cette attaque réside dans la modification de la structure physique du portefeuille matériel. L'attaquant utilise des moyens techniques, tels que le remplacement de la puce interne, l'injection de programmes malveillants capables d'enregistrer ou d'envoyer secrètement des phrases mnémoniques, etc. Ces appareils attaqués peuvent avoir une apparence identique à celle des véritables, mais leur fonction principale (c'est-à-dire la génération hors ligne et le stockage hors ligne des clés privées) a été détournée.
Les attaquants se déguisent souvent en projets connus, en marques de portefeuille matériel ou en influenceurs sur les réseaux sociaux, afin d'envoyer des portefeuilles matériels compromis en tant que "cadeaux" aux victimes sous prétexte de remplacements gratuits, de tirages au sort, etc.
En 2021, un utilisateur a rapporté avoir reçu un appareil "remplacement gratuit" prétendument envoyé par la marque officielle d'un portefeuille matériel bien connu. Lorsqu'il a utilisé ses propres mots de passe mnémotechniques pour restaurer son portefeuille sur l'appareil, des jetons d'une valeur de 78 000 dollars ont été entièrement volés. Une analyse ultérieure a révélé que cet appareil avait été infiltré par un logiciel malveillant capable de voler les mots de passe mnémotechniques de l'utilisateur lors de leur saisie.
Arnaque sur les mots de passe prédéfinis
C'est l'escroquerie actuellement la plus courante et la plus susceptible de piéger les gens. Elle ne repose pas sur une technologie complexe, mais utilise l'écart d'information et la psychologie des utilisateurs. Son noyau réside dans le fait que les escrocs ont déjà "préconfiguré" un ensemble de phrases de récupération pour l'utilisateur avant qu'il ne reçoive son portefeuille matériel, en induisant l'utilisateur à utiliser directement ce portefeuille grâce à de faux manuels et des discours trompeurs.
Les escrocs vendent souvent des portefeuilles matériels à bas prix par le biais de canaux non officiels (comme les réseaux sociaux, les plateformes de commerce en direct ou les marchés de seconde main). Une fois que les utilisateurs négligent la vérification ou cherchent à faire des économies, ils sont facilement dupés.
Les escrocs achètent à l'avance des portefeuilles matériels authentiques via des canaux officiels, puis, une fois en possession du portefeuille, ils l'ouvrent pour effectuer des opérations malveillantes : activer l'appareil, générer et enregistrer les mots de passe du portefeuille, modifier le manuel et la carte produit. Ensuite, ils utilisent des équipements et des matériaux d'emballage spécialisés pour le reconditionner, le déguisant en "portefeuille matériel tout neuf et non ouvert" à vendre sur des plateformes de commerce électronique.
Actuellement, deux méthodes de fraude avec des phrases mnémoniques prédéfinies ont été observées :
Mots de passe préconfigurés : Une carte de mots de passe imprimée est fournie directement dans l'emballage et incite l'utilisateur à utiliser ces mots de passe pour restaurer le portefeuille.
PIN prédéfini (code de déverrouillage de l'appareil) : Fournir une carte à gratter, prétendant que gratter la couche révèle le "code PIN" ou "code d'activation de l'appareil" unique, et mentir en disant que le portefeuille matériel ne nécessite pas de phrase mnémonique.
Une fois qu'un utilisateur est confronté à une arnaque de phrase mnémotechnique prédéfinie, il semble que l'utilisateur possède un portefeuille matériel, mais en réalité, il ne contrôle pas vraiment le portefeuille. Le contrôle de ce portefeuille (phrase mnémotechnique) est toujours entre les mains de l'escroc. Par la suite, les opérations de transfert de tous les tokens vers ce portefeuille ne sont rien d'autre que mettre les tokens dans la poche de l'escroc.
Cas d'utilisateurs
Un utilisateur a acheté un portefeuille matériel sur une plateforme de courtes vidéos. Une fois l'appareil reçu, l'emballage était en parfait état et l'étiquette de sécurité semblait également intacte. L'utilisateur a ouvert l'emballage et a découvert que le mode d'emploi lui indiquait d'utiliser un code PIN prédéfini pour déverrouiller l'appareil. Il était un peu perplexe : "Pourquoi n'est-ce pas moi qui définis le code PIN ? Et tout au long du processus, il n'y a eu aucun avertissement pour sauvegarder les mots de passe ?"
Il a immédiatement contacté le service client de la boutique pour poser des questions. Le service client a expliqué : "C'est notre portefeuille matériel de nouvelle génération sans phrase de récupération, utilisant les dernières technologies de sécurité. Pour faciliter l'utilisation, nous avons attribué un code PIN de sécurité unique à chaque appareil, qui peut être utilisé après déverrouillage, rendant l'utilisation plus pratique et sécurisée."
Ces paroles ont dissipé les doutes des utilisateurs. Il a suivi les instructions du manuel, utilisant le code PIN prédéfini pour terminer le couplage, et a progressivement transféré des fonds dans le nouveau portefeuille.
Les premiers jours, tout allait bien pour les paiements/transferts. Cependant, presque au moment où il a transféré un gros montant de jetons, tous les jetons dans le Portefeuille ont été transférés vers une adresse inconnue.
L'utilisateur était perplexe, et ce n'est qu'après avoir contacté le service client officiel de la véritable marque pour vérification qu'il a réalisé : ce qu'il avait acheté était en fait un appareil déjà activé à l'avance et préconfiguré avec des mots de passe mnémotechniques. Par conséquent, ce portefeuille matériel ne lui appartenait pas depuis le début, mais était toujours sous le contrôle des escrocs. Le prétendu "nouveau portefeuille froid sans mots de passe mnémotechniques" n'est rien d'autre qu'un mensonge utilisé par les escrocs pour tromper les gens.
Guide de prévention de la sécurité
Pour prévenir les risques de l'origine à l'utilisation, veuillez consulter la liste de contrôle de sécurité suivante :
Étape 1 : Achat et vérification de l'ouverture par des canaux officiels
Insistez pour acheter un portefeuille matériel par des canaux officiels.
À la réception de l'appareil, vérifiez que l'emballage extérieur, les scellés et le contenu sont intacts.
Entrez le numéro de série du produit sur le site officiel pour vérifier l'état d'activation de l'appareil. Un nouvel appareil devrait indiquer "Appareil non activé".
Deuxième étape : générer et sauvegarder indépendamment les mots de passe mnémotechniques
Lors de la première utilisation, il est impératif que l'utilisateur active l'appareil, configure et sauvegarde le code PIN et le code de liaison, crée et sauvegarde la phrase mnémotechnique de manière personnelle et indépendante.
Sauvegardez votre phrase mnémonique de manière physique (par exemple, en l'écrivant sur du papier) ou à l'aide d'outils dédiés, et conservez-la dans un endroit sécurisé, séparé de votre portefeuille matériel. Ne prenez jamais de photos, d'captures d'écran ou ne la stockez sur aucun appareil électronique.
Étape 3 : Test des petits tokens
Avant de déposer de gros montants de jetons, il est conseillé de réaliser d'abord un test complet de réception et de transfert avec un petit montant de jetons.
Lors de la signature d'un transfert avec un portefeuille logiciel, vérifiez soigneusement les informations affichées sur l'écran de l'appareil matériel (comme la devise, le montant du transfert, l'adresse de réception) pour vous assurer qu'elles correspondent à celles affichées dans l'application. Confirmez que le jeton a été transféré avec succès avant de procéder aux opérations de stockage de gros montants.
Conclusion
La sécurité du portefeuille matériel dépend non seulement de la conception de sa technologie de base, mais également des canaux d'achat sécurisés et des bonnes habitudes d'utilisation des utilisateurs. La sécurité au niveau physique est un élément absolument incontournable dans la protection des tokens numériques.
Dans un monde cryptographique où les opportunités et les risques coexistent, il est impératif d'adopter une mentalité de "zéro confiance" en matière de sécurité - ne faites jamais confiance à des canaux, des personnes ou des appareils non vérifiés par des sources officielles. Restez extrêmement vigilant face à tout "déjeuner gratuit", c'est la première et la plus importante ligne de défense pour protéger vos jetons.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
7 J'aime
Récompense
7
4
Reposter
Partager
Commentaire
0/400
GhostAddressMiner
· 08-12 19:38
Les petits pigeons qui ont directement importé les mots de passe dès le début sont déjà dans le sol, n'est-ce pas ?
Voir l'originalRépondre0
OldLeekNewSickle
· 08-12 19:27
La sécurité avant tout ? Fait en sorte de gérer tes propres jetons.
Voir l'originalRépondre0
Ser_This_Is_A_Casino
· 08-12 19:24
Le Cold Wallet est bon à utiliser, mais c'est trop cher.
Portefeuille matériel sécurité attaque-défense : Reconnaître les types de pièges, maîtriser les points de protection
Guide de sécurité des portefeuilles matériels : identifier et prévenir les attaques courantes
Dans le domaine des cryptomonnaies, la sécurité est toujours une préoccupation majeure. Pour protéger les actifs numériques, de nombreuses personnes choisissent d'utiliser un portefeuille matériel (également appelé portefeuille froid) - un dispositif de sécurité physique capable de générer et de stocker des clés privées hors ligne.
La fonction principale du portefeuille matériel est de stocker hors ligne les clés privées qui contrôlent les jetons dans une puce sécurisée. Toutes les confirmations et signatures des transactions sont effectuées à l'intérieur de l'appareil, et les clés privées ne touchent jamais aux appareils mobiles ou aux ordinateurs connectés. Cela réduit considérablement le risque pour les hackers de voler des clés privées via des virus Internet, des chevaux de Troie, etc.
Cependant, cette sécurité repose sur le fait que le portefeuille matériel entre les mains de l'utilisateur est fiable et non compromis. Si un attaquant a déjà manipulé le portefeuille matériel avant que l'utilisateur ne l'obtienne, alors cette forteresse de sécurité destinée au stockage des clés privées perd dès le départ son rôle de protection et devient au contraire un piège que les escrocs peuvent exploiter à tout moment.
Cet article présentera deux types courants d'escroqueries par attaque de portefeuille matériel et fournira un ensemble de conseils de sécurité.
Types d'escroqueries liées aux attaques de portefeuille matériel
Actuellement, les escroqueries liées aux attaques de portefeuilles matériels se divisent principalement en deux catégories : les attaques techniques et les escroqueries sur les phrases mnémotechniques prédéfinies.
attaque technique
Le cœur de cette attaque réside dans la modification de la structure physique du portefeuille matériel. L'attaquant utilise des moyens techniques, tels que le remplacement de la puce interne, l'injection de programmes malveillants capables d'enregistrer ou d'envoyer secrètement des phrases mnémoniques, etc. Ces appareils attaqués peuvent avoir une apparence identique à celle des véritables, mais leur fonction principale (c'est-à-dire la génération hors ligne et le stockage hors ligne des clés privées) a été détournée.
Les attaquants se déguisent souvent en projets connus, en marques de portefeuille matériel ou en influenceurs sur les réseaux sociaux, afin d'envoyer des portefeuilles matériels compromis en tant que "cadeaux" aux victimes sous prétexte de remplacements gratuits, de tirages au sort, etc.
En 2021, un utilisateur a rapporté avoir reçu un appareil "remplacement gratuit" prétendument envoyé par la marque officielle d'un portefeuille matériel bien connu. Lorsqu'il a utilisé ses propres mots de passe mnémotechniques pour restaurer son portefeuille sur l'appareil, des jetons d'une valeur de 78 000 dollars ont été entièrement volés. Une analyse ultérieure a révélé que cet appareil avait été infiltré par un logiciel malveillant capable de voler les mots de passe mnémotechniques de l'utilisateur lors de leur saisie.
Arnaque sur les mots de passe prédéfinis
C'est l'escroquerie actuellement la plus courante et la plus susceptible de piéger les gens. Elle ne repose pas sur une technologie complexe, mais utilise l'écart d'information et la psychologie des utilisateurs. Son noyau réside dans le fait que les escrocs ont déjà "préconfiguré" un ensemble de phrases de récupération pour l'utilisateur avant qu'il ne reçoive son portefeuille matériel, en induisant l'utilisateur à utiliser directement ce portefeuille grâce à de faux manuels et des discours trompeurs.
Les escrocs vendent souvent des portefeuilles matériels à bas prix par le biais de canaux non officiels (comme les réseaux sociaux, les plateformes de commerce en direct ou les marchés de seconde main). Une fois que les utilisateurs négligent la vérification ou cherchent à faire des économies, ils sont facilement dupés.
Les escrocs achètent à l'avance des portefeuilles matériels authentiques via des canaux officiels, puis, une fois en possession du portefeuille, ils l'ouvrent pour effectuer des opérations malveillantes : activer l'appareil, générer et enregistrer les mots de passe du portefeuille, modifier le manuel et la carte produit. Ensuite, ils utilisent des équipements et des matériaux d'emballage spécialisés pour le reconditionner, le déguisant en "portefeuille matériel tout neuf et non ouvert" à vendre sur des plateformes de commerce électronique.
Actuellement, deux méthodes de fraude avec des phrases mnémoniques prédéfinies ont été observées :
Mots de passe préconfigurés : Une carte de mots de passe imprimée est fournie directement dans l'emballage et incite l'utilisateur à utiliser ces mots de passe pour restaurer le portefeuille.
PIN prédéfini (code de déverrouillage de l'appareil) : Fournir une carte à gratter, prétendant que gratter la couche révèle le "code PIN" ou "code d'activation de l'appareil" unique, et mentir en disant que le portefeuille matériel ne nécessite pas de phrase mnémonique.
Une fois qu'un utilisateur est confronté à une arnaque de phrase mnémotechnique prédéfinie, il semble que l'utilisateur possède un portefeuille matériel, mais en réalité, il ne contrôle pas vraiment le portefeuille. Le contrôle de ce portefeuille (phrase mnémotechnique) est toujours entre les mains de l'escroc. Par la suite, les opérations de transfert de tous les tokens vers ce portefeuille ne sont rien d'autre que mettre les tokens dans la poche de l'escroc.
Cas d'utilisateurs
Un utilisateur a acheté un portefeuille matériel sur une plateforme de courtes vidéos. Une fois l'appareil reçu, l'emballage était en parfait état et l'étiquette de sécurité semblait également intacte. L'utilisateur a ouvert l'emballage et a découvert que le mode d'emploi lui indiquait d'utiliser un code PIN prédéfini pour déverrouiller l'appareil. Il était un peu perplexe : "Pourquoi n'est-ce pas moi qui définis le code PIN ? Et tout au long du processus, il n'y a eu aucun avertissement pour sauvegarder les mots de passe ?"
Il a immédiatement contacté le service client de la boutique pour poser des questions. Le service client a expliqué : "C'est notre portefeuille matériel de nouvelle génération sans phrase de récupération, utilisant les dernières technologies de sécurité. Pour faciliter l'utilisation, nous avons attribué un code PIN de sécurité unique à chaque appareil, qui peut être utilisé après déverrouillage, rendant l'utilisation plus pratique et sécurisée."
Ces paroles ont dissipé les doutes des utilisateurs. Il a suivi les instructions du manuel, utilisant le code PIN prédéfini pour terminer le couplage, et a progressivement transféré des fonds dans le nouveau portefeuille.
Les premiers jours, tout allait bien pour les paiements/transferts. Cependant, presque au moment où il a transféré un gros montant de jetons, tous les jetons dans le Portefeuille ont été transférés vers une adresse inconnue.
L'utilisateur était perplexe, et ce n'est qu'après avoir contacté le service client officiel de la véritable marque pour vérification qu'il a réalisé : ce qu'il avait acheté était en fait un appareil déjà activé à l'avance et préconfiguré avec des mots de passe mnémotechniques. Par conséquent, ce portefeuille matériel ne lui appartenait pas depuis le début, mais était toujours sous le contrôle des escrocs. Le prétendu "nouveau portefeuille froid sans mots de passe mnémotechniques" n'est rien d'autre qu'un mensonge utilisé par les escrocs pour tromper les gens.
Guide de prévention de la sécurité
Pour prévenir les risques de l'origine à l'utilisation, veuillez consulter la liste de contrôle de sécurité suivante :
Étape 1 : Achat et vérification de l'ouverture par des canaux officiels
Deuxième étape : générer et sauvegarder indépendamment les mots de passe mnémotechniques
Étape 3 : Test des petits tokens
Avant de déposer de gros montants de jetons, il est conseillé de réaliser d'abord un test complet de réception et de transfert avec un petit montant de jetons.
Lors de la signature d'un transfert avec un portefeuille logiciel, vérifiez soigneusement les informations affichées sur l'écran de l'appareil matériel (comme la devise, le montant du transfert, l'adresse de réception) pour vous assurer qu'elles correspondent à celles affichées dans l'application. Confirmez que le jeton a été transféré avec succès avant de procéder aux opérations de stockage de gros montants.
Conclusion
La sécurité du portefeuille matériel dépend non seulement de la conception de sa technologie de base, mais également des canaux d'achat sécurisés et des bonnes habitudes d'utilisation des utilisateurs. La sécurité au niveau physique est un élément absolument incontournable dans la protection des tokens numériques.
Dans un monde cryptographique où les opportunités et les risques coexistent, il est impératif d'adopter une mentalité de "zéro confiance" en matière de sécurité - ne faites jamais confiance à des canaux, des personnes ou des appareils non vérifiés par des sources officielles. Restez extrêmement vigilant face à tout "déjeuner gratuit", c'est la première et la plus importante ligne de défense pour protéger vos jetons.