Şifreleme varlık güvenliğinin anahtarı: Donanım cüzdanı kullanım kılavuzu
Dijital para alanında güvenlik her zaman en önemli faktördür. Dijital varlıkları korumak için birçok kişi donanım cüzdanı (soğuk cüzdan olarak da bilinir) kullanmayı tercih ediyor - özel anahtarları çevrimdışı olarak üretebilen ve saklayabilen fiziksel güvenlik cihazı.
Donanım cüzdanının temel işlevi, dijital varlıklarınızı kontrol eden özel anahtarınızı çevrimdışı olarak güvenli bir çipte depolamaktır. Tüm işlem onayları ve imzaları cihaz içinde tamamlanır, özel anahtar asla ağa bağlı mobil cihazlar veya bilgisayarlarla temas etmez. Bu, hackerların ağ virüsleri veya truva atları aracılığıyla özel anahtarınızı çalma riskini büyük ölçüde azaltır.
Ancak, bu güvenliğin ön koşulu şudur: Elinizdeki donanım cüzdanı güvenilir ve değiştirilmemiş olmalıdır. Eğer saldırgan, donanım cüzdanını almanızdan önce onu değiştirdiyse, o zaman özel anahtarları depolamak için kullanılan bu güvenlik kalesi baştan itibaren koruma işlevini yitirmiş olur ve dolandırıcıların her an ağlarını kurabileceği bir tuzağa dönüşür.
Bu makalede, iki yaygın donanım cüzdanı saldırı dolandırıcılığı türü tanıtılacak ve size bir güvenlik önleme kılavuzu sunulacaktır.
Donanım cüzdanı saldırı dolandırıcılığı türleri
Şu anda, donanım cüzdanı saldırı dolandırıcılıkları esasen iki türde sınıflandırılmaktadır: teknik saldırılar ve önceden belirlenmiş kelime grubu dolandırıcılıkları.
teknik saldırı
Bu saldırının özü, donanım cüzdanlarının fiziksel yapısının değiştirilmesine dayanır. Saldırganlar, iç çiplerin değiştirilmesi, yardımcı kelimeleri gizlice kaydedebilen veya gönderebilen kötü amaçlı yazılımların yerleştirilmesi gibi teknik yöntemler kullanır. Bu saldırıya uğramış cihazlar, dış görünüş olarak orijinal ürünlerle aynı olabilir, ancak temel işlevleri (yani çevrimdışı anahtar oluşturma, çevrimdışı özel anahtar saklama) ele geçirilmiştir.
Saldırganlar genellikle sosyal medyada tanınmış proje sahipleri, donanım cüzdanı markaları veya fikir önderleri gibi davranarak, ücretsiz değişim, paylaşım çekilişi gibi bahanelerle saldırıya uğramış donanım cüzdanlarını "hediye" olarak kurbanlara postalıyor.
2021 yılında, bir kullanıcının belirli bir markanın resmi olarak gönderdiği "ücretsiz değişim" donanım cüzdanını aldığına dair raporlar vardı. Kullanıcı, kendi kelime listesini kullanarak cihazda cüzdanını geri yüklediğinde, 7.8 milyon dolar değerindeki tokenlerin tamamı çalındı. Sonrasında yapılan analizde, bu cihazın kullanıcı kelime listesini girdiğinde çalmak için kötü amaçlı yazılımlar ile donatıldığı ortaya çıktı.
Önceden ayarlanmış kelime öbeği dolandırıcılığı
Bu, şu anda daha yaygın olan ve insanları en kolay tuzağa düşüren dolandırıcılıktır. Derin bir teknolojiye dayanmaz, bunun yerine bilgi farkı ve kullanıcı psikolojisini kullanır. Temelinde: Dolandırıcılar, donanım cüzdanınızı almadan önce sizin için bir "hatırlatma kelimeleri" seti "önceden ayarlamışlardır" ve sahte talimatlar ve dolandırıcılık konuşmaları ile kullanıcıları doğrudan bu cüzdanı kullanmaya yönlendirirler.
Sahtekarlar genellikle donanım cüzdanlarını resmi olmayan kanallar (örneğin sosyal medya, canlı yayın e-ticaret platformları veya ikinci el pazarları) üzerinden düşük fiyatlarla satmaktadır. Kullanıcılar doğrulama konusunda dikkatsiz olduklarında veya ucuzluk peşinde koştuklarında kolaylıkla dolandırılabilirler.
Sahtekârlar, resmi kanallardan orijinal donanım cüzdanı satın alacaklar, ellerine geçen cüzdanı açtıktan sonra kötü niyetli işlemler gerçekleştirecekler — cihazı etkinleştirecek, cüzdanın kurtarma kelimelerini oluşturacak ve kaydedecek, kılavuzu ve ürün kartını değiştirecekler. Ardından, profesyonel ambalaj ekipmanları ve malzemeleri kullanarak yeniden paketleyecekler ve "yeni açılmamış" donanım cüzdanı olarak e-ticaret platformlarında satışa sunacaklar.
Şu anda gözlemlenen, varsayılan kurtarma kelime dolandırıcılığı iki yöntemle gerçekleştirilmektedir:
Öntanımlı şifreleme kelimeleri: Paket içinde doğrudan basılı bir şifreleme kelimeleri kartı sağlanır ve kullanıcının bu şifreleme kelimelerini kullanarak cüzdanını geri yüklemesi teşvik edilir.
Önceden ayarlanmış PIN kodu (donanım cihazı kilidini açma kodu): Eşsiz "PIN kodu" veya "cihaz aktivasyon kodu" görmek için bir kazı-kazan kartı sunar ve donanım cüzdanının kurtarma kelimelerine ihtiyaç duymadığı yalanını söyler.
Kullanıcı "önceden ayarlanmış hafıza kelimeleri dolandırıcılığı" ile karşılaştığında, kullanıcı donanım cüzdanına sahipmiş gibi görünmektedir, ancak aslında cüzdanın kontrolünü gerçekten elinde tutmamaktadır; bu cüzdanın kontrolü (hafıza kelimeleri) dolandırıcının elindedir. Daha sonra kullanıcı, bu cüzdandaki tüm tokenleri aktardığında, tokenleri dolandırıcının cebine koymakla eşdeğerdir.
Kullanıcı Durumu
Bir kullanıcı kısa video platformunda bir donanım cüzdanı cihazı satın aldı. Cihaz eline ulaştığında, ambalajın plastik sargısı sağlamdı ve sahteciliğe karşı etiket de hasarsız görünüyordu. Kullanıcı ambalajı açtığında, kılavuzun ona cihazı kilidini açmak için önceden ayarlanmış bir PIN kodu kullanmasını önerdiğini fark etti. Biraz kafası karıştı: "Neden PIN kodunu kendim ayarlamıyorum? Ayrıca, tüm süreç boyunca bana kurtarma ifadesini yedeklememi hatırlatmadı?"
O hemen sipariş verdiği mağazanın müşteri hizmetleri ile iletişime geçti. Müşteri hizmetleri ise şöyle açıkladı: "Bu, yeni nesil hatıra kelimesiz donanım cüzdanımızdır ve en son güvenlik teknolojisini kullanmaktadır. Kullanıcıların işini kolaylaştırmak için her cihaz için benzersiz bir güvenlik PIN kodu ayarladık; bu kodu çözdükten sonra kullanıma hazır, daha pratik ve güvenli."
Bu sözler kullanıcının endişelerini giderdi. Kılavuzun talimatlarına göre, önceden ayarlanmış PIN kodunu kullanarak eşleştirmeyi tamamladı ve ardından fonları yeni Cüzdan'a aktarmaya başladı.
İlk birkaç gün, ödeme/alma her şey normaldi. Ancak, neredeyse büyük bir token transfer ettiği anda, cüzdandaki tüm tokenlar bilinmeyen bir adrese transfer edildi.
Kullanıcı anlamakta zorlandı, gerçek marka resmi müşteri hizmetleri ile iletişime geçtikten sonra sonunda anladı: satın aldığı şey, önceden etkinleştirilmiş ve kurtarma cümlesi ayarlanmış bir cihazdı. Bu nedenle, bu donanım cüzdanı en başından beri ona ait değildi, her zaman dolandırıcıların kontrolü altındaydı. Sözde "yeni nesil kurtarma cümlesiz soğuk cüzdan", dolandırıcıların insanları kandırmak için kullandığı bir yalandan başka bir şey değil.
Donanım cüzdanınızı nasıl korursunuz
Riskleri kaynağından kullanımına kadar önlemek için lütfen aşağıdaki güvenlik kontrol listesini gözden geçirin.
İlk adım: Resmi kanallardan satın alma ve kutu açma kontrolü
Resmi kanallara bağlı kalın: Donanım cüzdanı markasının resmi web sitesinde listelenen resmi kanallar aracılığıyla satın alma işlemini gerçekleştirin.
Paket kontrolü: Cihazı aldıktan sonra, dış paketi, mühürü ve içeriği eksiksiz ve hasarsız olup olmadığını kontrol edin.
Cihazın etkinlik durumunu doğrulayın: Resmi web sitesine cihazın SN kodunu (ürün seri numarası) girerek cihazın etkinlik tarihini doğrulayın, yeni cihaz "Cihaz henüz etkinleştirilmedi" uyarısını göstermelidir.
İkinci adım: bağımsız olarak kurtarma ifadesi oluşturun ve yedekleyin.
Tüm süreci kendin tamamla: Donanım cüzdanını ilk kez kullanırken, cihazı etkinleştirme, PIN kodunu ve bağlama kodunu ayarlama ve yedekleme, kurtarma cümlesini oluşturma ve yedekleme işlemlerini mutlaka kendin, bağımsız olarak yapmalısın.
Cihaz ve kurtarma kelimelerini güvenli bir şekilde saklayın: Mutlaka fiziksel bir yöntemle (örneğin, kağıda yazmak) veya kurtarma kelimeleri için güvenli bir kutu ile yedekleyin ve bunları donanım cüzdanından ayrı, güvenli bir yerde saklayın. Asla fotoğraf çekmeyin, ekran görüntüsü almayın veya herhangi bir cihazda depolamayın.
Dikkat: Donanım cüzdanını yazılım cüzdanıyla ilk kez bağladığınızda, uygulama "Cihazınız ilk kez kullanılmıyor, daha önce eşleştirilmiş bir cihaz, donanım cüzdanı yedek kelimeleri yedeklenmiş" uyarısı verirse dikkatli olun! Eğer bu işlem sizin tarafınızdan yapılmadıysa, bu cihazın risk taşıdığı anlamına gelir! Lütfen hemen kullanmayı bırakın ve resmi müşteri hizmetleriyle iletişime geçin.
Üçüncü adım: Küçük token testi
Büyük miktarda token yatırmadan önce, önce küçük bir miktar token ile tam alım ve transfer testi yapmanız önerilir.
Yazılım cüzdanını bağlayarak transfer imzalarken, donanım cihazının ekranındaki bilgileri (örneğin, varlık, transfer miktarı, alıcı adresi) dikkatlice kontrol edin ve uygulamada gösterilenle eşleştiğinden emin olun. Token'ın başarıyla çıkarıldığını onayladıktan sonra, sonraki büyük miktar depolama işlemlerine geçin.
Sonuç
Donanım cüzdanının güvenliği, yalnızca çekirdek teknik tasarımına değil, aynı zamanda güvenli satın alma kanallarına ve kullanıcıların doğru kullanım alışkanlıklarına da bağlıdır. Fiziksel düzeydeki güvenlik, dijital token korumasında kesinlikle göz ardı edilemeyecek bir unsurdur.
Fırsat ve risklerin bir arada bulunduğu şifreleme dünyasında, lütfen "sıfır güven" güvenlik anlayışını benimseyin - resmi olarak doğrulanmamış herhangi bir kanal, kişi ya da cihaza asla güvenmeyin. Herhangi bir "ücretsiz öğle yemeği" konusunda son derece dikkatli olun, bu kendi token'larınızı korumanın birinci ve en önemli savunma hattıdır.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
9 Likes
Reward
9
5
Repost
Share
Comment
0/400
DuckFluff
· 19h ago
Gerçekten çalındım, çok üzgünüm.
View OriginalReply0
PessimisticLayer
· 19h ago
Boşuna konuşma, güvenlik her şeyden önce, tamam mı?
View OriginalReply0
CrashHotline
· 19h ago
Kayıp coin, ölmekle eşdeğer değil mi?
View OriginalReply0
DegenApeSurfer
· 19h ago
Cüzdan güvenliği ihtiyatlı olmada değerli.
View OriginalReply0
ForkPrince
· 19h ago
Bakmaya üşendim, donanım cüzdanı atlayıp alırsın iş biter.
Donanım cüzdanı güvenli kullanım kılavuzu: Saldırı eyewash'larına karşı korunma, şifreleme varlıklarını koruma
Şifreleme varlık güvenliğinin anahtarı: Donanım cüzdanı kullanım kılavuzu
Dijital para alanında güvenlik her zaman en önemli faktördür. Dijital varlıkları korumak için birçok kişi donanım cüzdanı (soğuk cüzdan olarak da bilinir) kullanmayı tercih ediyor - özel anahtarları çevrimdışı olarak üretebilen ve saklayabilen fiziksel güvenlik cihazı.
Donanım cüzdanının temel işlevi, dijital varlıklarınızı kontrol eden özel anahtarınızı çevrimdışı olarak güvenli bir çipte depolamaktır. Tüm işlem onayları ve imzaları cihaz içinde tamamlanır, özel anahtar asla ağa bağlı mobil cihazlar veya bilgisayarlarla temas etmez. Bu, hackerların ağ virüsleri veya truva atları aracılığıyla özel anahtarınızı çalma riskini büyük ölçüde azaltır.
Ancak, bu güvenliğin ön koşulu şudur: Elinizdeki donanım cüzdanı güvenilir ve değiştirilmemiş olmalıdır. Eğer saldırgan, donanım cüzdanını almanızdan önce onu değiştirdiyse, o zaman özel anahtarları depolamak için kullanılan bu güvenlik kalesi baştan itibaren koruma işlevini yitirmiş olur ve dolandırıcıların her an ağlarını kurabileceği bir tuzağa dönüşür.
Bu makalede, iki yaygın donanım cüzdanı saldırı dolandırıcılığı türü tanıtılacak ve size bir güvenlik önleme kılavuzu sunulacaktır.
Donanım cüzdanı saldırı dolandırıcılığı türleri
Şu anda, donanım cüzdanı saldırı dolandırıcılıkları esasen iki türde sınıflandırılmaktadır: teknik saldırılar ve önceden belirlenmiş kelime grubu dolandırıcılıkları.
teknik saldırı
Bu saldırının özü, donanım cüzdanlarının fiziksel yapısının değiştirilmesine dayanır. Saldırganlar, iç çiplerin değiştirilmesi, yardımcı kelimeleri gizlice kaydedebilen veya gönderebilen kötü amaçlı yazılımların yerleştirilmesi gibi teknik yöntemler kullanır. Bu saldırıya uğramış cihazlar, dış görünüş olarak orijinal ürünlerle aynı olabilir, ancak temel işlevleri (yani çevrimdışı anahtar oluşturma, çevrimdışı özel anahtar saklama) ele geçirilmiştir.
Saldırganlar genellikle sosyal medyada tanınmış proje sahipleri, donanım cüzdanı markaları veya fikir önderleri gibi davranarak, ücretsiz değişim, paylaşım çekilişi gibi bahanelerle saldırıya uğramış donanım cüzdanlarını "hediye" olarak kurbanlara postalıyor.
2021 yılında, bir kullanıcının belirli bir markanın resmi olarak gönderdiği "ücretsiz değişim" donanım cüzdanını aldığına dair raporlar vardı. Kullanıcı, kendi kelime listesini kullanarak cihazda cüzdanını geri yüklediğinde, 7.8 milyon dolar değerindeki tokenlerin tamamı çalındı. Sonrasında yapılan analizde, bu cihazın kullanıcı kelime listesini girdiğinde çalmak için kötü amaçlı yazılımlar ile donatıldığı ortaya çıktı.
Önceden ayarlanmış kelime öbeği dolandırıcılığı
Bu, şu anda daha yaygın olan ve insanları en kolay tuzağa düşüren dolandırıcılıktır. Derin bir teknolojiye dayanmaz, bunun yerine bilgi farkı ve kullanıcı psikolojisini kullanır. Temelinde: Dolandırıcılar, donanım cüzdanınızı almadan önce sizin için bir "hatırlatma kelimeleri" seti "önceden ayarlamışlardır" ve sahte talimatlar ve dolandırıcılık konuşmaları ile kullanıcıları doğrudan bu cüzdanı kullanmaya yönlendirirler.
Sahtekarlar genellikle donanım cüzdanlarını resmi olmayan kanallar (örneğin sosyal medya, canlı yayın e-ticaret platformları veya ikinci el pazarları) üzerinden düşük fiyatlarla satmaktadır. Kullanıcılar doğrulama konusunda dikkatsiz olduklarında veya ucuzluk peşinde koştuklarında kolaylıkla dolandırılabilirler.
Sahtekârlar, resmi kanallardan orijinal donanım cüzdanı satın alacaklar, ellerine geçen cüzdanı açtıktan sonra kötü niyetli işlemler gerçekleştirecekler — cihazı etkinleştirecek, cüzdanın kurtarma kelimelerini oluşturacak ve kaydedecek, kılavuzu ve ürün kartını değiştirecekler. Ardından, profesyonel ambalaj ekipmanları ve malzemeleri kullanarak yeniden paketleyecekler ve "yeni açılmamış" donanım cüzdanı olarak e-ticaret platformlarında satışa sunacaklar.
Şu anda gözlemlenen, varsayılan kurtarma kelime dolandırıcılığı iki yöntemle gerçekleştirilmektedir:
Kullanıcı "önceden ayarlanmış hafıza kelimeleri dolandırıcılığı" ile karşılaştığında, kullanıcı donanım cüzdanına sahipmiş gibi görünmektedir, ancak aslında cüzdanın kontrolünü gerçekten elinde tutmamaktadır; bu cüzdanın kontrolü (hafıza kelimeleri) dolandırıcının elindedir. Daha sonra kullanıcı, bu cüzdandaki tüm tokenleri aktardığında, tokenleri dolandırıcının cebine koymakla eşdeğerdir.
Kullanıcı Durumu
Bir kullanıcı kısa video platformunda bir donanım cüzdanı cihazı satın aldı. Cihaz eline ulaştığında, ambalajın plastik sargısı sağlamdı ve sahteciliğe karşı etiket de hasarsız görünüyordu. Kullanıcı ambalajı açtığında, kılavuzun ona cihazı kilidini açmak için önceden ayarlanmış bir PIN kodu kullanmasını önerdiğini fark etti. Biraz kafası karıştı: "Neden PIN kodunu kendim ayarlamıyorum? Ayrıca, tüm süreç boyunca bana kurtarma ifadesini yedeklememi hatırlatmadı?"
O hemen sipariş verdiği mağazanın müşteri hizmetleri ile iletişime geçti. Müşteri hizmetleri ise şöyle açıkladı: "Bu, yeni nesil hatıra kelimesiz donanım cüzdanımızdır ve en son güvenlik teknolojisini kullanmaktadır. Kullanıcıların işini kolaylaştırmak için her cihaz için benzersiz bir güvenlik PIN kodu ayarladık; bu kodu çözdükten sonra kullanıma hazır, daha pratik ve güvenli."
Bu sözler kullanıcının endişelerini giderdi. Kılavuzun talimatlarına göre, önceden ayarlanmış PIN kodunu kullanarak eşleştirmeyi tamamladı ve ardından fonları yeni Cüzdan'a aktarmaya başladı.
İlk birkaç gün, ödeme/alma her şey normaldi. Ancak, neredeyse büyük bir token transfer ettiği anda, cüzdandaki tüm tokenlar bilinmeyen bir adrese transfer edildi.
Kullanıcı anlamakta zorlandı, gerçek marka resmi müşteri hizmetleri ile iletişime geçtikten sonra sonunda anladı: satın aldığı şey, önceden etkinleştirilmiş ve kurtarma cümlesi ayarlanmış bir cihazdı. Bu nedenle, bu donanım cüzdanı en başından beri ona ait değildi, her zaman dolandırıcıların kontrolü altındaydı. Sözde "yeni nesil kurtarma cümlesiz soğuk cüzdan", dolandırıcıların insanları kandırmak için kullandığı bir yalandan başka bir şey değil.
Donanım cüzdanınızı nasıl korursunuz
Riskleri kaynağından kullanımına kadar önlemek için lütfen aşağıdaki güvenlik kontrol listesini gözden geçirin.
İlk adım: Resmi kanallardan satın alma ve kutu açma kontrolü
İkinci adım: bağımsız olarak kurtarma ifadesi oluşturun ve yedekleyin.
Dikkat: Donanım cüzdanını yazılım cüzdanıyla ilk kez bağladığınızda, uygulama "Cihazınız ilk kez kullanılmıyor, daha önce eşleştirilmiş bir cihaz, donanım cüzdanı yedek kelimeleri yedeklenmiş" uyarısı verirse dikkatli olun! Eğer bu işlem sizin tarafınızdan yapılmadıysa, bu cihazın risk taşıdığı anlamına gelir! Lütfen hemen kullanmayı bırakın ve resmi müşteri hizmetleriyle iletişime geçin.
Üçüncü adım: Küçük token testi
Büyük miktarda token yatırmadan önce, önce küçük bir miktar token ile tam alım ve transfer testi yapmanız önerilir.
Yazılım cüzdanını bağlayarak transfer imzalarken, donanım cihazının ekranındaki bilgileri (örneğin, varlık, transfer miktarı, alıcı adresi) dikkatlice kontrol edin ve uygulamada gösterilenle eşleştiğinden emin olun. Token'ın başarıyla çıkarıldığını onayladıktan sonra, sonraki büyük miktar depolama işlemlerine geçin.
Sonuç
Donanım cüzdanının güvenliği, yalnızca çekirdek teknik tasarımına değil, aynı zamanda güvenli satın alma kanallarına ve kullanıcıların doğru kullanım alışkanlıklarına da bağlıdır. Fiziksel düzeydeki güvenlik, dijital token korumasında kesinlikle göz ardı edilemeyecek bir unsurdur.
Fırsat ve risklerin bir arada bulunduğu şifreleme dünyasında, lütfen "sıfır güven" güvenlik anlayışını benimseyin - resmi olarak doğrulanmamış herhangi bir kanal, kişi ya da cihaza asla güvenmeyin. Herhangi bir "ücretsiz öğle yemeği" konusunda son derece dikkatli olun, bu kendi token'larınızı korumanın birinci ve en önemli savunma hattıdır.