Посібник з безпеки апаратного гаманця: виявлення та запобігання поширеним атакам
У сфері криптовалют безпека завжди є найважливішим фактором. Щоб захистити цифрові активи, багато людей обирають використовувати апаратний гаманець (також відомий як холодний гаманець) — фізичний безпечний пристрій, який може офлайн генерувати та зберігати приватні ключі.
Основна функція апаратного гаманця полягає в тому, щоб зберігати приватні ключі, що контролюють токени, в офлайн-режимі на безпечному чипі. Усі підтвердження та підписання транзакцій виконуються всередині пристрою, приватні ключі ніколи не контактують з підключеними до мережі мобільними пристроями або комп'ютерами. Це значно знижує ризик викрадення приватних ключів хакерами через мережеві віруси, трояни та інші способи.
Однак, ця безпека ґрунтується на тому, що апаратний гаманець, який є у користувача, є надійним і не був атакований. Якщо зловмисник вже змінив його до того, як користувач отримав апаратний гаманець, то ця безпечна фортеця, призначена для зберігання приватних ключів, з самого початку втрачає свою захисну функцію і стає пасткою, в яку шахраї можуть зловити в будь-який момент.
У цій статті буде представлено два поширені типи атак на апаратні гаманці та надано набір рекомендацій щодо безпеки.
Типи атак на апаратні гаманці
Наразі атаки на апаратні гаманці в основному поділяються на два типи: технічні атаки та шахрайства з попередньо заданими мнемонічними фразами.
технічні атаки
Ця атака полягає в фізичній модифікації апаратного гаманця. Зловмисники використовують технічні засоби, такі як заміна внутрішнього чіпа, впровадження шкідливих програм, які можуть приховано записувати або відправляти мнемонічні фрази тощо. Ці зламані пристрої можуть виглядати як оригінальні, але їх основна функція (тобто офлайн-генерація та офлайн-зберігання приватних ключів) уже була захоплена.
Зловмисники зазвичай маскуються під відомі проекти, апаратні гаманці або лідерів думок у соціальних мережах, щоб під приводом безкоштовної заміни, розсилки або лотереї надсилати заражені апаратні гаманці як "подарунки" жертвам.
У 2021 році користувачі повідомили, що отримали "безкоштовну заміну" пристрою від нібито офіційного бренду відомого апаратного гаманця. Коли він використав свої власні мнемонічні слова для відновлення гаманця на пристрої, токени на суму 78 000 доларів були вкрадені. Пізніший аналіз виявив, що цей пристрій був заражений шкідливим програмним забезпеченням, яке могло викрадати мнемонічні слова, коли користувач їх вводив.
шахрайство з заздалегідь заданими мнемонічними фразами
Це найбільш поширений і найпростіший спосіб обману, на який можуть потрапити люди. Він не залежить від складних технологій, а використовує інформаційний розрив і психологію користувачів. Його суть полягає в тому, що шахраї ще до того, як користувач отримає апаратний гаманець, вже "налаштували" для нього набір мнемонічних слів, підштовхуючи користувача до безпосереднього використання цього гаманця за допомогою фальшивих інструкцій і шахрайських фраз.
Шахраї зазвичай продають апаратні гаманці за низькою ціною через неофіційні канали (такі як соціальні мережі, платформи живого відео або вторинний ринок). Як тільки користувачі не перевіряють або цікавляться дешевизною, вони легко можуть стати жертвами шахрайства.
Шахраї заздалегідь закуповують оригінальні апаратні гаманці з офіційних каналів, після отримання гаманця відкривають його та виконують шкідливі дії — активують пристрій, генерують і записують мнемонічну фразу гаманця, підробляють інструкцію та картку продукту. Потім, використовуючи професійне упаковочне обладнання та матеріали, повторно упаковують його, маскуючи під "новий, не розпакований" апаратний гаманець для продажу на електронних торгових платформах.
Наразі спостерігається два види шахрайства з попередньо встановленими мнемонічними фразами:
Попередньо задана мнемонічна фраза: у упаковці безпосередньо надається надрукована картка з мнемонічною фразою, і користувачів спонукають використовувати цю мнемонічну фразу для відновлення гаманець.
Попередньо встановлений PIN-код (код розблокування апаратного пристрою): надається картка для стирання, на якій стверджується, що стерши покриття, можна побачити унікальний "PIN-код" або "код активації пристрою", і неправдиво стверджується, що апаратний гаманець не потребує мнемонічної фрази.
Якщо користувач стикається з шахрайством із попередньо встановленими мнемонічними фразами, то на перший погляд користувач має апаратний гаманець, але насправді він не контролює гаманець. Контроль над цим гаманецьом (мнемонічні фрази) залишається в руках шахрая. Після цього, коли користувач виконує операцію з переказу всіх токенів на цей гаманець, це не що інше, як покласти токени в кишеню шахрая.
!
Користувацький випадок
Користувач придбав апаратний гаманець на платформі короткометражних відео. Коли пристрій прибув, упаковка була в ідеальному стані, а захисна етикетка також виглядала неушкодженою. Користувач розпакував пристрій і виявив, що інструкція пропонує використовувати попередньо встановлений PIN-код для розблокування пристрою. Він почувався дещо заплутаним: "Чому я не можу самостійно встановити PIN-код? І чому під час усього процесу мені не запропонували зробити резервну копію мнемонічної фрази?"
Він одразу зв'язався з客服 магазину, щоб дізнатися.客服 пояснив: "Це наш новий безмеморійний холодний гаманець, що використовує найновіші технології безпеки. Для зручності користувачів ми налаштували унікальний код безпеки PIN для кожного пристрою, який можна використовувати після розблокування, що робить його більш зручним і безпечним."
Ця промова розвіяла сумніви користувача. Він, слідуючи інструкціям у посібнику, використав заздалегідь встановлений PIN-код для завершення сполучення і поступово перевів кошти до нового Гаманець.
Спочатку протягом кількох днів отримання/переклад було в порядку. Однак, майже в ту ж мить, коли він перевів велику кількість токенів, всі токени з гаманця були переведені на невідому адресу.
Користувач був вражений і, зв’язавшись із справжньою офіційною службою підтримки бренду для перевірки, він зрозумів: те, що він придбав, насправді є пристроєм, що був активований заздалегідь і вже мав попередньо налаштовану мнемонічну фразу. Тому цей апаратний гаманець з самого початку не належав йому, а завжди контролювався шахраєм. Так званий "новий покоління без мнемонічної фрази холодний гаманець" - це всього лише брехня шахраїв, що використовують для введення в оману.
!
Посібник з безпеки
Щоб запобігти ризикам на всіх етапах, від джерела до використання, будь ласка, ознайомтеся з наступним списком перевірки безпеки:
Перший крок: купівля та перевірка через офіційні канали
Наполягайте на купівлі апаратного гаманця через офіційні канали.
Після отримання пристрою перевірте, чи є зовнішня упаковка, пломби та вміст цілими та неушкодженими.
Введіть серійний номер продукту на офіційному сайті, щоб перевірити стан активації пристрою. Новий пристрій має показувати "Пристрій ще не активовано".
Другий крок: незалежно згенеруйте та зробіть резервну копію мнемонічної фрази
Під час першого використання користувач обов'язково повинен особисто, незалежно завершити активацію пристрою, налаштування та резервне копіювання PIN-коду і коду прив'язки, створити та резервно скопіювати мнемонічну фразу.
Фізично резервуйте мнемонічні фрази (наприклад, написавши їх на папері) або за допомогою спеціальних інструментів та зберігайте їх у безпечному місці, відокремленому від апаратного гаманця. Ніколи не фотографуйте, не робіть скріншоти і не зберігайте на жодному електронному пристрої.
!
Третій крок: тестування малих токенів
Перед внесенням великої суми токенів, рекомендується спочатку завершити повне тестування отримання та переказу за допомогою невеликої суми токенів.
Коли підключаєте програмний гаманець для підписання переказу, уважно перевірте інформацію на екрані апаратного пристрою (таку як валюта, кількість переказу, адреса отримувача), щоб переконатися, що вона збігається з відображенням у додатку. Після підтвердження успішного виведення токенів, переходьте до подальших операцій з великим обсягом зберігання.
!
Висновок
Безпека апаратного гаманця залежить не лише від його основного технологічного дизайну, а й від безпечних каналів придбання та правильних звичок користувачів. Фізичний рівень безпеки є абсолютно невід'ємною частиною захисту цифрових токенів.
У світі криптовалют, де переплітаються можливості та ризики, обов'язково слід дотримуватися концепції безпеки "нульової довіри" — не вірте жодним неофіційно підтвердженим каналам, особам або пристроям. Будьте надзвичайно обережні щодо будь-якої "безкоштовної обіди", це перша і найважливіша лінія захисту ваших токенів.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
7 лайків
Нагородити
7
4
Репост
Поділіться
Прокоментувати
0/400
GhostAddressMiner
· 08-12 19:38
Ранні невдахи, які безпосередньо імпортували слова насіння, вже в землі, чи не так?
Переглянути оригіналвідповісти на0
OldLeekNewSickle
· 08-12 19:27
Безпека на першому місці? Свою монету потрібно втрачати самому.
Переглянути оригіналвідповісти на0
Ser_This_Is_A_Casino
· 08-12 19:24
Холодний гаманець хороший у використанні, але занадто дорогий.
апаратний гаманець безпеки атак і захисту: розпізнати типи замилювання очей, оволодіти ключовими моментами захисту
Посібник з безпеки апаратного гаманця: виявлення та запобігання поширеним атакам
У сфері криптовалют безпека завжди є найважливішим фактором. Щоб захистити цифрові активи, багато людей обирають використовувати апаратний гаманець (також відомий як холодний гаманець) — фізичний безпечний пристрій, який може офлайн генерувати та зберігати приватні ключі.
Основна функція апаратного гаманця полягає в тому, щоб зберігати приватні ключі, що контролюють токени, в офлайн-режимі на безпечному чипі. Усі підтвердження та підписання транзакцій виконуються всередині пристрою, приватні ключі ніколи не контактують з підключеними до мережі мобільними пристроями або комп'ютерами. Це значно знижує ризик викрадення приватних ключів хакерами через мережеві віруси, трояни та інші способи.
Однак, ця безпека ґрунтується на тому, що апаратний гаманець, який є у користувача, є надійним і не був атакований. Якщо зловмисник вже змінив його до того, як користувач отримав апаратний гаманець, то ця безпечна фортеця, призначена для зберігання приватних ключів, з самого початку втрачає свою захисну функцію і стає пасткою, в яку шахраї можуть зловити в будь-який момент.
У цій статті буде представлено два поширені типи атак на апаратні гаманці та надано набір рекомендацій щодо безпеки.
Типи атак на апаратні гаманці
Наразі атаки на апаратні гаманці в основному поділяються на два типи: технічні атаки та шахрайства з попередньо заданими мнемонічними фразами.
технічні атаки
Ця атака полягає в фізичній модифікації апаратного гаманця. Зловмисники використовують технічні засоби, такі як заміна внутрішнього чіпа, впровадження шкідливих програм, які можуть приховано записувати або відправляти мнемонічні фрази тощо. Ці зламані пристрої можуть виглядати як оригінальні, але їх основна функція (тобто офлайн-генерація та офлайн-зберігання приватних ключів) уже була захоплена.
Зловмисники зазвичай маскуються під відомі проекти, апаратні гаманці або лідерів думок у соціальних мережах, щоб під приводом безкоштовної заміни, розсилки або лотереї надсилати заражені апаратні гаманці як "подарунки" жертвам.
У 2021 році користувачі повідомили, що отримали "безкоштовну заміну" пристрою від нібито офіційного бренду відомого апаратного гаманця. Коли він використав свої власні мнемонічні слова для відновлення гаманця на пристрої, токени на суму 78 000 доларів були вкрадені. Пізніший аналіз виявив, що цей пристрій був заражений шкідливим програмним забезпеченням, яке могло викрадати мнемонічні слова, коли користувач їх вводив.
шахрайство з заздалегідь заданими мнемонічними фразами
Це найбільш поширений і найпростіший спосіб обману, на який можуть потрапити люди. Він не залежить від складних технологій, а використовує інформаційний розрив і психологію користувачів. Його суть полягає в тому, що шахраї ще до того, як користувач отримає апаратний гаманець, вже "налаштували" для нього набір мнемонічних слів, підштовхуючи користувача до безпосереднього використання цього гаманця за допомогою фальшивих інструкцій і шахрайських фраз.
Шахраї зазвичай продають апаратні гаманці за низькою ціною через неофіційні канали (такі як соціальні мережі, платформи живого відео або вторинний ринок). Як тільки користувачі не перевіряють або цікавляться дешевизною, вони легко можуть стати жертвами шахрайства.
Шахраї заздалегідь закуповують оригінальні апаратні гаманці з офіційних каналів, після отримання гаманця відкривають його та виконують шкідливі дії — активують пристрій, генерують і записують мнемонічну фразу гаманця, підробляють інструкцію та картку продукту. Потім, використовуючи професійне упаковочне обладнання та матеріали, повторно упаковують його, маскуючи під "новий, не розпакований" апаратний гаманець для продажу на електронних торгових платформах.
Наразі спостерігається два види шахрайства з попередньо встановленими мнемонічними фразами:
Попередньо задана мнемонічна фраза: у упаковці безпосередньо надається надрукована картка з мнемонічною фразою, і користувачів спонукають використовувати цю мнемонічну фразу для відновлення гаманець.
Попередньо встановлений PIN-код (код розблокування апаратного пристрою): надається картка для стирання, на якій стверджується, що стерши покриття, можна побачити унікальний "PIN-код" або "код активації пристрою", і неправдиво стверджується, що апаратний гаманець не потребує мнемонічної фрази.
Якщо користувач стикається з шахрайством із попередньо встановленими мнемонічними фразами, то на перший погляд користувач має апаратний гаманець, але насправді він не контролює гаманець. Контроль над цим гаманецьом (мнемонічні фрази) залишається в руках шахрая. Після цього, коли користувач виконує операцію з переказу всіх токенів на цей гаманець, це не що інше, як покласти токени в кишеню шахрая.
!
Користувацький випадок
Користувач придбав апаратний гаманець на платформі короткометражних відео. Коли пристрій прибув, упаковка була в ідеальному стані, а захисна етикетка також виглядала неушкодженою. Користувач розпакував пристрій і виявив, що інструкція пропонує використовувати попередньо встановлений PIN-код для розблокування пристрою. Він почувався дещо заплутаним: "Чому я не можу самостійно встановити PIN-код? І чому під час усього процесу мені не запропонували зробити резервну копію мнемонічної фрази?"
Він одразу зв'язався з客服 магазину, щоб дізнатися.客服 пояснив: "Це наш новий безмеморійний холодний гаманець, що використовує найновіші технології безпеки. Для зручності користувачів ми налаштували унікальний код безпеки PIN для кожного пристрою, який можна використовувати після розблокування, що робить його більш зручним і безпечним."
Ця промова розвіяла сумніви користувача. Він, слідуючи інструкціям у посібнику, використав заздалегідь встановлений PIN-код для завершення сполучення і поступово перевів кошти до нового Гаманець.
Спочатку протягом кількох днів отримання/переклад було в порядку. Однак, майже в ту ж мить, коли він перевів велику кількість токенів, всі токени з гаманця були переведені на невідому адресу.
Користувач був вражений і, зв’язавшись із справжньою офіційною службою підтримки бренду для перевірки, він зрозумів: те, що він придбав, насправді є пристроєм, що був активований заздалегідь і вже мав попередньо налаштовану мнемонічну фразу. Тому цей апаратний гаманець з самого початку не належав йому, а завжди контролювався шахраєм. Так званий "новий покоління без мнемонічної фрази холодний гаманець" - це всього лише брехня шахраїв, що використовують для введення в оману.
!
Посібник з безпеки
Щоб запобігти ризикам на всіх етапах, від джерела до використання, будь ласка, ознайомтеся з наступним списком перевірки безпеки:
Перший крок: купівля та перевірка через офіційні канали
Другий крок: незалежно згенеруйте та зробіть резервну копію мнемонічної фрази
!
Третій крок: тестування малих токенів
Перед внесенням великої суми токенів, рекомендується спочатку завершити повне тестування отримання та переказу за допомогою невеликої суми токенів.
Коли підключаєте програмний гаманець для підписання переказу, уважно перевірте інформацію на екрані апаратного пристрою (таку як валюта, кількість переказу, адреса отримувача), щоб переконатися, що вона збігається з відображенням у додатку. Після підтвердження успішного виведення токенів, переходьте до подальших операцій з великим обсягом зберігання.
!
Висновок
Безпека апаратного гаманця залежить не лише від його основного технологічного дизайну, а й від безпечних каналів придбання та правильних звичок користувачів. Фізичний рівень безпеки є абсолютно невід'ємною частиною захисту цифрових токенів.
У світі криптовалют, де переплітаються можливості та ризики, обов'язково слід дотримуватися концепції безпеки "нульової довіри" — не вірте жодним неофіційно підтвердженим каналам, особам або пристроям. Будьте надзвичайно обережні щодо будь-якої "безкоштовної обіди", це перша і найважливіша лінія захисту ваших токенів.