Анализ рисков безопасности аппаратного кошелька для криптоактивов
Криптоактивы аппаратный кошелек как специализированное физическое устройство для хранения цифровых активов рассматривается как важный инструмент для защиты зашифрованных активов. Эти устройства используют встроенные безопасные чипы для оффлайн-хранения приватных ключей, что обеспечивает пользователям полный контроль над их криптоактивами. Аппаратные кошельки обычно работают в оффлайн-режиме, что дополнительно снижает риск сетевых атак.
Тем не менее, из-за того, что многие инвесторы не имеют глубокого понимания аппаратных кошельков, по-прежнему происходит множество мошеннических действий в отношении новых пользователей, что приводит к краже активов, хранящихся в аппаратных кошельках. В этой статье будут рассмотрены два распространенных метода кражи токенов с аппаратных кошельков: мошенничество с инструкциями и маскировка модификации устройств.
Методы мошенничества с инструкциями
Этот способ кражи токенов в основном использует слабость обычных инвесторов, не знакомых с методами использования аппаратного кошелька. Мошенники заменяют поддельные инструкции, вводя жертв в заблуждение, чтобы они переводили средства на фишинговые адреса. После того как жертвы покупают аппаратный кошелек из неофициальных источников, они активируют устройство, следуя "начальному PIN-коду" на поддельной инструкции, и создают резервную копию "мнемонической фразы", напечатанной на ней. Затем они вносят значительные суммы на адрес кошелька, что в конечном итоге приводит к краже средств.
В данной ситуации дело не в том, что аппаратный кошелек был взломан, а в том, что мошенники заранее активировали устройство и получили адресные мнемоники, затем подделали инструкцию и повторно упаковали. Эти заранее активированные устройства продаются жертвам через неофициальные каналы, и как только пользователь переводит криптоактивы на адрес, он попадает в стандартную ловушку для кражи токенов с поддельного кошелька.
Некоторые известные производители аппаратных кошельков предупреждали пользователей о том, что были обнаружены некоторые неофициальные магазины, продающие "активированные" аппаратные кошельки, одновременно подделывая инструкции по использованию и вводя пользователей в заблуждение, побуждая их переводить средства на адреса кошельков, преднамеренно созданные мошенниками. Это подчеркивает важность распознавания официальных каналов продаж.
Мошенничество с маскировкой аппаратного обеспечения
В другом инциденте один пользователь получил посылку без оформления заказа, в которой находился совершенно новый аппаратный кошелек и письмо. В письме утверждается, что из-за кибератаки на компанию произошла утечка данных пользователей, и новым устройством отправляют всем пострадавшим клиентам, прося пользователей заменить устройство для обеспечения безопасности.
Однако подлинность этого письма вызывает сомнения. Генеральный директор компании по производству аппаратных кошельков ясно заявил, что компания не будет предоставлять никаких компенсаций за случайное раскрытие личных данных. Изображения, которыми поделились пользователи, показывают, что на внутренней упаковке устройства имеются очевидные следы вмешательства.
Команда по безопасности также сообщила о случае подделки аппаратного кошелька. Жертва приобрела устройство через неофициальный канал, но внутреннее программное обеспечение устройства было заменено злоумышленником, что позволило ему получить доступ к криптоактивам пользователя и осуществить кражу токенов.
Рекомендации по безопасному использованию
Атаки на цепочку поставок аппаратных кошельков стали довольно распространенными, инвесторы и производители аппаратных кошельков должны повысить бдительность. Правильный способ использования может эффективно снизить риск кражи токенов:
Покупайте аппаратные устройства только через официальные каналы, устройства, купленные через неофициальные каналы, имеют риски безопасности.
Убедитесь, что купленный Кошелек находится в неактивированном состоянии. Официально продаваемые аппаратные устройства должны быть в неактивированном состоянии. Если после включения устройства выясняется, что оно уже активировано, или в инструкции указаны "начальный пароль" или "стандартный адрес", его следует немедленно отключить и сообщить об этом в официальную службу поддержки.
Убедитесь, что адрес сгенерирован самим пользователем. Кроме активации устройства, установка PIN-кода, генерация кода привязки, создание адреса и резервное копирование должны выполняться пользователем самостоятельно, любое вмешательство третьих лиц на любом этапе может привести к финансовым рискам.
В нормальных условиях, при первом использовании аппаратного кошелька, активацию устройства, создание кошелька, резервное копирование мнемонической фразы и настройку PIN-кода должны выполнять пользователи самостоятельно, это ключ к обеспечению безопасности активов.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
12 Лайков
Награда
12
4
Поделиться
комментарий
0/400
NftDeepBreather
· 8ч назад
Отправляй безопасно, обмануть меня с токенами не получится.
Посмотреть ОригиналОтветить0
RetailTherapist
· 17ч назад
Рыбная ловля мошенничества снова играет новыми приемами, Будда.
Посмотреть ОригиналОтветить0
GasFeeCryer
· 18ч назад
Полное использование холодного кошелька гарантирует безопасность?
Посмотреть ОригиналОтветить0
wagmi_eventually
· 18ч назад
Оффлайн тоже небезопасно, одно название вызывает тревогу.
Аппаратный кошелек: раскрытие рисков безопасности – мошенничество с инструкциями и маскировка модификаций оборудования
Анализ рисков безопасности аппаратного кошелька для криптоактивов
Криптоактивы аппаратный кошелек как специализированное физическое устройство для хранения цифровых активов рассматривается как важный инструмент для защиты зашифрованных активов. Эти устройства используют встроенные безопасные чипы для оффлайн-хранения приватных ключей, что обеспечивает пользователям полный контроль над их криптоактивами. Аппаратные кошельки обычно работают в оффлайн-режиме, что дополнительно снижает риск сетевых атак.
Тем не менее, из-за того, что многие инвесторы не имеют глубокого понимания аппаратных кошельков, по-прежнему происходит множество мошеннических действий в отношении новых пользователей, что приводит к краже активов, хранящихся в аппаратных кошельках. В этой статье будут рассмотрены два распространенных метода кражи токенов с аппаратных кошельков: мошенничество с инструкциями и маскировка модификации устройств.
Методы мошенничества с инструкциями
Этот способ кражи токенов в основном использует слабость обычных инвесторов, не знакомых с методами использования аппаратного кошелька. Мошенники заменяют поддельные инструкции, вводя жертв в заблуждение, чтобы они переводили средства на фишинговые адреса. После того как жертвы покупают аппаратный кошелек из неофициальных источников, они активируют устройство, следуя "начальному PIN-коду" на поддельной инструкции, и создают резервную копию "мнемонической фразы", напечатанной на ней. Затем они вносят значительные суммы на адрес кошелька, что в конечном итоге приводит к краже средств.
В данной ситуации дело не в том, что аппаратный кошелек был взломан, а в том, что мошенники заранее активировали устройство и получили адресные мнемоники, затем подделали инструкцию и повторно упаковали. Эти заранее активированные устройства продаются жертвам через неофициальные каналы, и как только пользователь переводит криптоактивы на адрес, он попадает в стандартную ловушку для кражи токенов с поддельного кошелька.
Некоторые известные производители аппаратных кошельков предупреждали пользователей о том, что были обнаружены некоторые неофициальные магазины, продающие "активированные" аппаратные кошельки, одновременно подделывая инструкции по использованию и вводя пользователей в заблуждение, побуждая их переводить средства на адреса кошельков, преднамеренно созданные мошенниками. Это подчеркивает важность распознавания официальных каналов продаж.
Мошенничество с маскировкой аппаратного обеспечения
В другом инциденте один пользователь получил посылку без оформления заказа, в которой находился совершенно новый аппаратный кошелек и письмо. В письме утверждается, что из-за кибератаки на компанию произошла утечка данных пользователей, и новым устройством отправляют всем пострадавшим клиентам, прося пользователей заменить устройство для обеспечения безопасности.
Однако подлинность этого письма вызывает сомнения. Генеральный директор компании по производству аппаратных кошельков ясно заявил, что компания не будет предоставлять никаких компенсаций за случайное раскрытие личных данных. Изображения, которыми поделились пользователи, показывают, что на внутренней упаковке устройства имеются очевидные следы вмешательства.
Команда по безопасности также сообщила о случае подделки аппаратного кошелька. Жертва приобрела устройство через неофициальный канал, но внутреннее программное обеспечение устройства было заменено злоумышленником, что позволило ему получить доступ к криптоактивам пользователя и осуществить кражу токенов.
Рекомендации по безопасному использованию
Атаки на цепочку поставок аппаратных кошельков стали довольно распространенными, инвесторы и производители аппаратных кошельков должны повысить бдительность. Правильный способ использования может эффективно снизить риск кражи токенов:
Покупайте аппаратные устройства только через официальные каналы, устройства, купленные через неофициальные каналы, имеют риски безопасности.
Убедитесь, что купленный Кошелек находится в неактивированном состоянии. Официально продаваемые аппаратные устройства должны быть в неактивированном состоянии. Если после включения устройства выясняется, что оно уже активировано, или в инструкции указаны "начальный пароль" или "стандартный адрес", его следует немедленно отключить и сообщить об этом в официальную службу поддержки.
Убедитесь, что адрес сгенерирован самим пользователем. Кроме активации устройства, установка PIN-кода, генерация кода привязки, создание адреса и резервное копирование должны выполняться пользователем самостоятельно, любое вмешательство третьих лиц на любом этапе может привести к финансовым рискам.
В нормальных условиях, при первом использовании аппаратного кошелька, активацию устройства, создание кошелька, резервное копирование мнемонической фразы и настройку PIN-кода должны выполнять пользователи самостоятельно, это ключ к обеспечению безопасности активов.