Аппаратный кошелек: руководство по безопасности. Определение и предотвращение распространенных атак
В области криптовалют безопасность всегда является первоочередным фактором. Чтобы защитить цифровые активы, многие выбирают использование аппаратного кошелька (также известного как холодный кошелек) — физического устройства безопасности, которое может офлайн генерировать и хранить приватные ключи.
Основная функция аппаратного кошелька заключается в том, чтобы хранить приватные ключи, контролирующие токены, в оффлайне на безопасном чипе. Все подтверждения и подписи транзакций выполняются внутри устройства, и приватные ключи никогда не контактируют с подключенными к сети мобильными устройствами или компьютерами. Это значительно снижает риск кражи приватных ключей хакерами с помощью сетевых вирусов, троянов и других методов.
Однако предпосылкой этой безопасности является то, что аппаратный кошелек в руках пользователя является надежным и не подвергался атаке. Если злоумышленник уже изменил его до того, как пользователь получил аппаратный кошелек, то эта крепость, предназначенная для хранения приватных ключей, с самого начала теряет свою защиту и становится ловушкой, в которую мошенник может в любой момент поймать жертву.
В этой статье будут рассмотрены два распространенных типа мошенничества с аппаратными кошельками и предоставлены рекомендации по безопасности.
Типы атак на аппаратные кошельки
В настоящее время схемы атак на аппаратные кошельки в основном делятся на два типа: технические атаки и схемы с предустановленными мнемоническими фразами.
Техническая атака
Суть этой атаки заключается в физическом изменении структуры аппаратного кошелька. Злоумышленники используют технические средства, такие как замена внутренних чипов, внедрение вредоносных программ, которые могут скрытно записывать или отправлять мнемонические фразы и т. д. Эти атакованные устройства могут выглядеть так же, как и оригиналы, но их основные функции (то есть офлайн-генерация и офлайн-хранение приватных ключей) были перехвачены.
Атакующие обычно маскируются под известных разработчиков проектов, бренды аппаратных кошельков или лидеров мнений в социальных сетях, чтобы отправить атакованные аппаратные кошельки жертвам под предлогом бесплатной замены или розыгрыша.
В 2021 году пользователь сообщил, что получил "бесплатное замещение" устройство от официального представителя известного бренда аппаратного кошелька. Когда он восстановил свой кошелек с помощью своей мнемонической фразы на устройстве, токены на сумму 78 000 долларов были украдены. Последующий анализ показал, что это устройство было заражено вредоносной программой, которая могла украсть мнемоническую фразу, когда пользователь ее вводил.
Мошенничество с предварительно установленными мнемоническими фразами
Это текущая наиболее распространенная и легкая для обмана схема. Она не зависит от сложных технологий, а использует информационный разрыв и психологию пользователей. Ее суть заключается в том, что мошенники заранее "настраивают" набор сид-фраз для пользователей еще до того, как те получат аппаратный кошелек, и с помощью поддельной инструкции и мошеннической риторики побуждают пользователей сразу же использовать этот кошелек.
Мошенники обычно продают аппаратные кошельки по низким ценам через неофициальные каналы (такие как социальные сети, платформы прямых трансляций или вторичный рынок). Как только пользователи пренебрегают проверкой или стремятся сэкономить, они легко попадаются на удочку.
Мошенники заранее закупают оригинальные аппаратные кошельки из официальных каналов, после получения распаковывают устройства и выполняют злонамеренные действия — активируют устройство, генерируют и записывают мнемоническую фразу кошелька, подделывают инструкции и карточки продукта. Затем, используя профессиональное упаковочное оборудование и материалы, они повторно упаковывают его, маскируя как "совершенно новый, нераспакованный" аппаратный кошелек для продажи на платформе электронной коммерции.
В настоящее время наблюдаются два метода мошенничества с предустановленными мнемоническими фразами:
Предустановленные мнемонические фразы: в упаковке предоставляется напечатанная карта мнемонических фраз и предлагается пользователю использовать эту мнемоническую фразу для восстановления Кошелек.
Предустановленный PIN-код (код разблокировки аппаратного устройства): предоставляется карта для скретч-игры, утверждая, что, стерев покрытие, можно увидеть уникальный "PIN-код" или "код активации устройства", и ложно утверждая, что аппаратный кошелек не требует мнемонической фразы.
Как только пользователь столкнется с предустановленным мошенничеством с мнемоническими фразами, на первый взгляд пользователю кажется, что он владеет аппаратным кошельком, но на самом деле он не контролирует кошелек. Контроль над кошельком (множественная фраза) по-прежнему находится в руках мошенника. Затем пользователь осуществляет операции по переводу всех токенов на этот кошелек, что эквивалентно тому, чтобы положить токены в карман мошенника.
!
Пользовательские примеры
Некоторый пользователь приобрел устройство аппаратного кошелька на платформе коротких видео. Когда устройство пришло, упаковка была в целостности, а защитная наклейка также выглядела неповрежденной. Пользователь раскрыл упаковку и обнаружил, что инструкция направляет его использовать предустановленный PIN-код для разблокировки устройства. Он почувствовал некоторое недоумение: "Почему я не могу установить свой собственный PIN-код? И в процессе не было никаких подсказок о резервировании сид-фразы?"
Он сразу же связался с客服 магазина, чтобы задать вопрос.客服 объяснил: "Это наш новый поколение холодного кошелька без мнемонической фразы, который использует новейшие технологии безопасности. Для удобства пользователей мы установили уникальный PIN-код безопасности для каждого устройства, который можно использовать после разблокировки, что делает его более удобным и безопасным."
Эти слова развеяли сомнения пользователей. Он следовал указаниям инструкции, использовал предустановленный PIN-код для завершения сопряжения и постепенно перевел средства в новый Кошелек.
В первые дни все было нормально с получением/переводом. Однако почти в тот момент, когда он перевел крупную сумму токенов, все токены в кошельке были переведены на незнакомый адрес.
Пользователь был в недоумении, и только после обращения к официальному обслуживанию бренда, он наконец осознал: то, что он купил, было устройством, заранее активированным и с предустановленной мнемонической фразой. Таким образом, этот аппаратный кошелек с самого начала не принадлежал ему и всегда находился под контролем мошенников. Так называемый "новое поколение холодного кошелька без мнемонической фразы" всего лишь обман мошенников, чтобы ввести людей в заблуждение.
!
Руководство по мерам безопасности
Чтобы предотвратить риски на всех этапах от источника до использования, пожалуйста, ознакомьтесь со следующим списком проверок безопасности:
Первый шаг: покупка и проверка через официальные каналы
Придерживайтесь официальных источников для покупки аппаратных кошельков.
После получения устройства проверьте, целостность внешней упаковки, пломбы и содержимого.
Введите серийный номер продукта на официальном сайте, чтобы проверить статус активации устройства. Новое устройство должно показать сообщение "Устройство еще не активировано".
Второй шаг: самостоятельно сгенерировать и сохранить мнемоническую фразу
При первом использовании обязательно пользователю самостоятельно и независимо завершить активацию устройства, настройку и резервное копирование PIN-кода и кода привязки, создание и резервное копирование мнемонической фразы.
Физически (например, написав на бумаге) или с помощью специализированных инструментов создайте резервную копию мнемонической фразы и храните её в безопасном месте, отделённом от аппаратного кошелька. Никогда не фотографируйте, не делайте скриншоты и не сохраняйте её на любых электронных устройствах.
!
Шаг 3: Тестирование мелких токенов
Перед внесением крупных токенов рекомендуется сначала провести полный тест на получение и вывод с помощью небольшой суммы токенов.
При подписании перевода с помощью программного кошелька внимательно проверьте информацию на экране аппаратного устройства (например, валюту, количество перевода, адрес получателя), чтобы убедиться, что она совпадает с отображаемой в приложении. После подтверждения успешного вывода токенов выполните дальнейшие операции по крупному хранению.
!
Заключение
Безопасность аппаратного кошелька зависит не только от его основного технического дизайна, но и от безопасных каналов покупки и правильных привычек пользователей. Физическая безопасность является абсолютно необходимым элементом защиты цифровых токенов.
В мире криптовалют, где сосуществуют возможности и риски, обязательно следует установить концепцию безопасности "нулевого доверия" — не доверяйте никаким каналам, лицам или устройствам, не прошедшим официальную проверку. Будьте крайне осторожны с любыми "бесплатными обедами"; это первая и самая важная линия защиты ваших токенов.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
7 Лайков
Награда
7
4
Репост
Поделиться
комментарий
0/400
GhostAddressMiner
· 08-12 19:38
Ранние неудачники, которые напрямую импортировали семенные слова, уже в земле, да?
Посмотреть ОригиналОтветить0
OldLeekNewSickle
· 08-12 19:27
Безопасность на первом месте? Свой токен лучше потерять самому.
Аппаратный кошелек: понимание типов промывания глаз и освоение ключевых моментов защиты
Аппаратный кошелек: руководство по безопасности. Определение и предотвращение распространенных атак
В области криптовалют безопасность всегда является первоочередным фактором. Чтобы защитить цифровые активы, многие выбирают использование аппаратного кошелька (также известного как холодный кошелек) — физического устройства безопасности, которое может офлайн генерировать и хранить приватные ключи.
Основная функция аппаратного кошелька заключается в том, чтобы хранить приватные ключи, контролирующие токены, в оффлайне на безопасном чипе. Все подтверждения и подписи транзакций выполняются внутри устройства, и приватные ключи никогда не контактируют с подключенными к сети мобильными устройствами или компьютерами. Это значительно снижает риск кражи приватных ключей хакерами с помощью сетевых вирусов, троянов и других методов.
Однако предпосылкой этой безопасности является то, что аппаратный кошелек в руках пользователя является надежным и не подвергался атаке. Если злоумышленник уже изменил его до того, как пользователь получил аппаратный кошелек, то эта крепость, предназначенная для хранения приватных ключей, с самого начала теряет свою защиту и становится ловушкой, в которую мошенник может в любой момент поймать жертву.
В этой статье будут рассмотрены два распространенных типа мошенничества с аппаратными кошельками и предоставлены рекомендации по безопасности.
Типы атак на аппаратные кошельки
В настоящее время схемы атак на аппаратные кошельки в основном делятся на два типа: технические атаки и схемы с предустановленными мнемоническими фразами.
Техническая атака
Суть этой атаки заключается в физическом изменении структуры аппаратного кошелька. Злоумышленники используют технические средства, такие как замена внутренних чипов, внедрение вредоносных программ, которые могут скрытно записывать или отправлять мнемонические фразы и т. д. Эти атакованные устройства могут выглядеть так же, как и оригиналы, но их основные функции (то есть офлайн-генерация и офлайн-хранение приватных ключей) были перехвачены.
Атакующие обычно маскируются под известных разработчиков проектов, бренды аппаратных кошельков или лидеров мнений в социальных сетях, чтобы отправить атакованные аппаратные кошельки жертвам под предлогом бесплатной замены или розыгрыша.
В 2021 году пользователь сообщил, что получил "бесплатное замещение" устройство от официального представителя известного бренда аппаратного кошелька. Когда он восстановил свой кошелек с помощью своей мнемонической фразы на устройстве, токены на сумму 78 000 долларов были украдены. Последующий анализ показал, что это устройство было заражено вредоносной программой, которая могла украсть мнемоническую фразу, когда пользователь ее вводил.
Мошенничество с предварительно установленными мнемоническими фразами
Это текущая наиболее распространенная и легкая для обмана схема. Она не зависит от сложных технологий, а использует информационный разрыв и психологию пользователей. Ее суть заключается в том, что мошенники заранее "настраивают" набор сид-фраз для пользователей еще до того, как те получат аппаратный кошелек, и с помощью поддельной инструкции и мошеннической риторики побуждают пользователей сразу же использовать этот кошелек.
Мошенники обычно продают аппаратные кошельки по низким ценам через неофициальные каналы (такие как социальные сети, платформы прямых трансляций или вторичный рынок). Как только пользователи пренебрегают проверкой или стремятся сэкономить, они легко попадаются на удочку.
Мошенники заранее закупают оригинальные аппаратные кошельки из официальных каналов, после получения распаковывают устройства и выполняют злонамеренные действия — активируют устройство, генерируют и записывают мнемоническую фразу кошелька, подделывают инструкции и карточки продукта. Затем, используя профессиональное упаковочное оборудование и материалы, они повторно упаковывают его, маскируя как "совершенно новый, нераспакованный" аппаратный кошелек для продажи на платформе электронной коммерции.
В настоящее время наблюдаются два метода мошенничества с предустановленными мнемоническими фразами:
Предустановленные мнемонические фразы: в упаковке предоставляется напечатанная карта мнемонических фраз и предлагается пользователю использовать эту мнемоническую фразу для восстановления Кошелек.
Предустановленный PIN-код (код разблокировки аппаратного устройства): предоставляется карта для скретч-игры, утверждая, что, стерев покрытие, можно увидеть уникальный "PIN-код" или "код активации устройства", и ложно утверждая, что аппаратный кошелек не требует мнемонической фразы.
Как только пользователь столкнется с предустановленным мошенничеством с мнемоническими фразами, на первый взгляд пользователю кажется, что он владеет аппаратным кошельком, но на самом деле он не контролирует кошелек. Контроль над кошельком (множественная фраза) по-прежнему находится в руках мошенника. Затем пользователь осуществляет операции по переводу всех токенов на этот кошелек, что эквивалентно тому, чтобы положить токены в карман мошенника.
!
Пользовательские примеры
Некоторый пользователь приобрел устройство аппаратного кошелька на платформе коротких видео. Когда устройство пришло, упаковка была в целостности, а защитная наклейка также выглядела неповрежденной. Пользователь раскрыл упаковку и обнаружил, что инструкция направляет его использовать предустановленный PIN-код для разблокировки устройства. Он почувствовал некоторое недоумение: "Почему я не могу установить свой собственный PIN-код? И в процессе не было никаких подсказок о резервировании сид-фразы?"
Он сразу же связался с客服 магазина, чтобы задать вопрос.客服 объяснил: "Это наш новый поколение холодного кошелька без мнемонической фразы, который использует новейшие технологии безопасности. Для удобства пользователей мы установили уникальный PIN-код безопасности для каждого устройства, который можно использовать после разблокировки, что делает его более удобным и безопасным."
Эти слова развеяли сомнения пользователей. Он следовал указаниям инструкции, использовал предустановленный PIN-код для завершения сопряжения и постепенно перевел средства в новый Кошелек.
В первые дни все было нормально с получением/переводом. Однако почти в тот момент, когда он перевел крупную сумму токенов, все токены в кошельке были переведены на незнакомый адрес.
Пользователь был в недоумении, и только после обращения к официальному обслуживанию бренда, он наконец осознал: то, что он купил, было устройством, заранее активированным и с предустановленной мнемонической фразой. Таким образом, этот аппаратный кошелек с самого начала не принадлежал ему и всегда находился под контролем мошенников. Так называемый "новое поколение холодного кошелька без мнемонической фразы" всего лишь обман мошенников, чтобы ввести людей в заблуждение.
!
Руководство по мерам безопасности
Чтобы предотвратить риски на всех этапах от источника до использования, пожалуйста, ознакомьтесь со следующим списком проверок безопасности:
Первый шаг: покупка и проверка через официальные каналы
Второй шаг: самостоятельно сгенерировать и сохранить мнемоническую фразу
!
Шаг 3: Тестирование мелких токенов
Перед внесением крупных токенов рекомендуется сначала провести полный тест на получение и вывод с помощью небольшой суммы токенов.
При подписании перевода с помощью программного кошелька внимательно проверьте информацию на экране аппаратного устройства (например, валюту, количество перевода, адрес получателя), чтобы убедиться, что она совпадает с отображаемой в приложении. После подтверждения успешного вывода токенов выполните дальнейшие операции по крупному хранению.
!
Заключение
Безопасность аппаратного кошелька зависит не только от его основного технического дизайна, но и от безопасных каналов покупки и правильных привычек пользователей. Физическая безопасность является абсолютно необходимым элементом защиты цифровых токенов.
В мире криптовалют, где сосуществуют возможности и риски, обязательно следует установить концепцию безопасности "нулевого доверия" — не доверяйте никаким каналам, лицам или устройствам, не прошедшим официальную проверку. Будьте крайне осторожны с любыми "бесплатными обедами"; это первая и самая важная линия защиты ваших токенов.