Руководство по безопасности аппаратного кошелька: как предотвратить распространенные атаки промывания глаз
В области криптовалют безопасность всегда является первоочередной задачей. Многие люди выбирают использование аппаратного кошелька (также известного как холодный кошелек) для защиты своих цифровых активов. Основная функция этого физического устройства безопасности заключается в том, чтобы хранить приватные ключи, контролирующие токены, в оффлайн-режиме на безопасном чипе. Все подтверждения и подписи транзакций выполняются внутри устройства, приватные ключи никогда не касаются подключенных к сети устройств, что значительно снижает риск сетевых атак.
Однако предпосылкой этой безопасности является то, что используемый вами аппаратный кошелек должен быть надежным и не подверженным изменениям. Если злоумышленник вмешался в устройство до того, как вы его получили, то эта изначально предназначенная для защиты приватного ключа безопасная крепость с самого начала утратила свою защиту и стала ловушкой, в которую мошенник может в любой момент поймать вас.
В данной статье будут рассмотрены два распространенных типа атак на аппаратные кошельки и предоставлены полные рекомендации по безопасности.
Основные типы атак на аппаратный кошелек
В настоящее время атаки на аппаратные кошельки делятся на два типа: технические атаки и схемы с предустановленными мнемоническими фразами.
Техническая атака
Суть этой атаки заключается в модификации физической структуры аппаратного кошелька. Нападающий захватывает основные функции устройства с помощью таких технических средств, как замена внутреннего чипа или внедрение вредоносной программы, которая может тайно записывать или отправлять мнемонические фразы. Эти скомпрометированные устройства могут выглядеть так же, как и оригиналы, но их функции офлайн-генерации и хранения закрытых ключей были нарушены.
Атакующие часто маскируются в социальных сетях под известные проектные команды, аппаратные кошельки или влиятельных личностей, предлагая бесплатную замену, пересылку подарков и т.д., отправляя атакованные аппаратные кошельки как "подарки" жертвам.
В 2021 году были сообщения о том, что пользователь получил "бесплатную замену" аппаратного кошелька, якобы отправленного официальным представителем какого-то бренда. Когда он использовал свои мнемонические фразы для восстановления кошелька на устройстве, токены на сумму 78 000 долларов мгновенно были переведены. Позже было выяснено, что это устройство уже было заражено вредоносным ПО, которое могло украсть мнемонические фразы, вводимые пользователем.
Это наиболее распространенное и простое в понимании промывание глаз. Оно не зависит от сложных технологий, а использует информационное неравенство и психологические слабости пользователей. Его суть заключается в том, что мошенник уже "предустановил" для вас набор мнемонических слов до того, как вы получили аппаратный кошелек, и с помощью поддельной инструкции и обманчивых словесных уловок, он побуждает пользователя сразу использовать этот кошелек.
Мошенники обычно продают аппаратные кошельки по низкой цене через неофициальные каналы (такие как социальные платформы,直播电商 или вторичный рынок). Как только пользователи пренебрегают проверкой или стремятся сэкономить, они легко попадают в ловушку.
Мошенники покупают оригинальные аппаратные кошельки через официальные каналы, затем распаковывают, активируют устройство, генерируют и записывают мнемоническую фразу кошелька, подделывают инструкцию и карточку продукта. Затем с помощью профессионального упаковочного оборудования и материалов они повторно упаковывают его, маскируя как "совершенно новый, нераспакованный" аппаратный кошелек для продажи на торговых платформах.
В настоящее время наблюдаются два основных метода мошенничества с предустановленными мнемоническими фразами:
Непосредственно предоставить предустановленную мнемоническую фразу: в упаковке имеется напечатанная карта с мнемонической фразой, которая побуждает пользователя использовать эту мнемоническую фразу для восстановления Кошелек.
Предоставление предустановленного PIN-кода: предоставляется сcratch-карта, которая утверждает, что, стерев покрытие, можно увидеть уникальный "PIN-код" или "код активации устройства", и лживо утверждает, что аппаратный кошелек не требует мнемонической фразы.
Как только пользователь сталкивается с таким промыванием глаз, на поверхности кажется, что у него есть аппаратный кошелек, но на самом деле он не контролирует кошелек. Контроль над этим кошельком (мнемоническая фраза) остается в руках мошенника. Все токены, которые пользователь переводит в этот кошелек, фактически попадают прямо в карман мошенника.
!
Как защитить ваш аппаратный кошелек
Чтобы предотвратить риски на всех этапах, от источника до использования, пожалуйста, ознакомьтесь со следующим списком проверок безопасности:
Первый шаг: покупка через официальные каналы и проверка товара
Настойчиво покупайте аппаратный кошелек только через официальные каналы.
После получения устройства внимательно осмотрите внешнюю упаковку, пломбы и содержимое на предмет целостности.
Проверьте статус активации устройства на официальном сайте, чтобы убедиться, что новое устройство еще не было активировано.
!
Второй шаг: независимо сгенерировать и сохранить мнемоническую фразу
При первом использовании обязательно выполните весь процесс активации устройства, настройки PIN-кода и кода привязки, создания и резервного копирования мнемонической фразы лично.
Физически (например, написав от руки на бумаге) или с помощью специализированного инструмента создайте резервную копию мнемонической фразы и храните её в безопасном месте, отделенном от аппаратного кошелька. Никогда не фотографируйте, не делайте скриншоты и не сохраняйте на любых электронных устройствах.
Шаг 3: Тестирование мелких токенов
Перед внесением крупной суммы токенов сначала выполните полный тест на получение и вывод с помощью небольшой суммы токенов. При подписании перевода внимательно проверьте информацию на экране аппаратного устройства (такие как валюта, сумма перевода, адрес получения), чтобы убедиться, что она совпадает с отображаемой в программном кошельке. После подтверждения успешного вывода токенов выполните последующие операции по крупному хранению.
!
Заключение
Безопасность аппаратного кошелька зависит не только от его основного технического дизайна, но и от безопасных каналов покупки и правильных привычек пользователей. Физическая безопасность является абсолютно необходимым элементом защиты цифровых токенов.
В мире криптовалют, где сосуществуют возможности и риски, обязательно следует установить концепцию безопасности «нулевого доверия» — не доверяйте никаким каналам, лицам или устройствам, которые не прошли официальную проверку. Будьте крайне осторожны с любыми «бесплатными обедами», это первая и самая важная линия защиты ваших цифровых активов.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
19 Лайков
Награда
19
7
Репост
Поделиться
комментарий
0/400
SchroedingerAirdrop
· 08-09 04:03
Самый безопасный Кошелек — это тот, который никогда не покупал токены.
Посмотреть ОригиналОтветить0
GasFeeLover
· 08-09 03:31
Рект 5 этх длинная память Теперь покупайте только оригинальный Кошелек
Посмотреть ОригиналОтветить0
BrokeBeans
· 08-06 04:38
Покупка холодного кошелька с использованием технологии "碰瓷儿"
Посмотреть ОригиналОтветить0
MetaMuskRat
· 08-06 04:35
Следующее падение убьёт меня, ладно.
Посмотреть ОригиналОтветить0
PositionPhobia
· 08-06 04:34
Зачем новичок покупает такой дорогой холодный кошелек? Испугался от потерь.
Посмотреть ОригиналОтветить0
OnChain_Detective
· 08-06 04:29
хм... эти шаблоны атак на аппаратные кошельки начинают выглядеть подозрительно. видел 3 случая только на этой неделе с похожим методом *нервный тик*
Посмотреть ОригиналОтветить0
CodeAuditQueen
· 08-06 04:27
Цзэ Проблемы доверия на аппаратном уровне более сложны, чем уязвимости смарт-контрактов...
Руководство по безопасности аппаратного кошелька: ключевые шаги для предотвращения атак и промывания глаз.
Руководство по безопасности аппаратного кошелька: как предотвратить распространенные атаки промывания глаз
В области криптовалют безопасность всегда является первоочередной задачей. Многие люди выбирают использование аппаратного кошелька (также известного как холодный кошелек) для защиты своих цифровых активов. Основная функция этого физического устройства безопасности заключается в том, чтобы хранить приватные ключи, контролирующие токены, в оффлайн-режиме на безопасном чипе. Все подтверждения и подписи транзакций выполняются внутри устройства, приватные ключи никогда не касаются подключенных к сети устройств, что значительно снижает риск сетевых атак.
Однако предпосылкой этой безопасности является то, что используемый вами аппаратный кошелек должен быть надежным и не подверженным изменениям. Если злоумышленник вмешался в устройство до того, как вы его получили, то эта изначально предназначенная для защиты приватного ключа безопасная крепость с самого начала утратила свою защиту и стала ловушкой, в которую мошенник может в любой момент поймать вас.
В данной статье будут рассмотрены два распространенных типа атак на аппаратные кошельки и предоставлены полные рекомендации по безопасности.
Основные типы атак на аппаратный кошелек
В настоящее время атаки на аппаратные кошельки делятся на два типа: технические атаки и схемы с предустановленными мнемоническими фразами.
Техническая атака
Суть этой атаки заключается в модификации физической структуры аппаратного кошелька. Нападающий захватывает основные функции устройства с помощью таких технических средств, как замена внутреннего чипа или внедрение вредоносной программы, которая может тайно записывать или отправлять мнемонические фразы. Эти скомпрометированные устройства могут выглядеть так же, как и оригиналы, но их функции офлайн-генерации и хранения закрытых ключей были нарушены.
Атакующие часто маскируются в социальных сетях под известные проектные команды, аппаратные кошельки или влиятельных личностей, предлагая бесплатную замену, пересылку подарков и т.д., отправляя атакованные аппаратные кошельки как "подарки" жертвам.
В 2021 году были сообщения о том, что пользователь получил "бесплатную замену" аппаратного кошелька, якобы отправленного официальным представителем какого-то бренда. Когда он использовал свои мнемонические фразы для восстановления кошелька на устройстве, токены на сумму 78 000 долларов мгновенно были переведены. Позже было выяснено, что это устройство уже было заражено вредоносным ПО, которое могло украсть мнемонические фразы, вводимые пользователем.
!
промывание глаз предустановленных мнемонических фраз
Это наиболее распространенное и простое в понимании промывание глаз. Оно не зависит от сложных технологий, а использует информационное неравенство и психологические слабости пользователей. Его суть заключается в том, что мошенник уже "предустановил" для вас набор мнемонических слов до того, как вы получили аппаратный кошелек, и с помощью поддельной инструкции и обманчивых словесных уловок, он побуждает пользователя сразу использовать этот кошелек.
Мошенники обычно продают аппаратные кошельки по низкой цене через неофициальные каналы (такие как социальные платформы,直播电商 или вторичный рынок). Как только пользователи пренебрегают проверкой или стремятся сэкономить, они легко попадают в ловушку.
Мошенники покупают оригинальные аппаратные кошельки через официальные каналы, затем распаковывают, активируют устройство, генерируют и записывают мнемоническую фразу кошелька, подделывают инструкцию и карточку продукта. Затем с помощью профессионального упаковочного оборудования и материалов они повторно упаковывают его, маскируя как "совершенно новый, нераспакованный" аппаратный кошелек для продажи на торговых платформах.
В настоящее время наблюдаются два основных метода мошенничества с предустановленными мнемоническими фразами:
Непосредственно предоставить предустановленную мнемоническую фразу: в упаковке имеется напечатанная карта с мнемонической фразой, которая побуждает пользователя использовать эту мнемоническую фразу для восстановления Кошелек.
Предоставление предустановленного PIN-кода: предоставляется сcratch-карта, которая утверждает, что, стерев покрытие, можно увидеть уникальный "PIN-код" или "код активации устройства", и лживо утверждает, что аппаратный кошелек не требует мнемонической фразы.
Как только пользователь сталкивается с таким промыванием глаз, на поверхности кажется, что у него есть аппаратный кошелек, но на самом деле он не контролирует кошелек. Контроль над этим кошельком (мнемоническая фраза) остается в руках мошенника. Все токены, которые пользователь переводит в этот кошелек, фактически попадают прямо в карман мошенника.
!
Как защитить ваш аппаратный кошелек
Чтобы предотвратить риски на всех этапах, от источника до использования, пожалуйста, ознакомьтесь со следующим списком проверок безопасности:
Первый шаг: покупка через официальные каналы и проверка товара
!
Второй шаг: независимо сгенерировать и сохранить мнемоническую фразу
Шаг 3: Тестирование мелких токенов
Перед внесением крупной суммы токенов сначала выполните полный тест на получение и вывод с помощью небольшой суммы токенов. При подписании перевода внимательно проверьте информацию на экране аппаратного устройства (такие как валюта, сумма перевода, адрес получения), чтобы убедиться, что она совпадает с отображаемой в программном кошельке. После подтверждения успешного вывода токенов выполните последующие операции по крупному хранению.
!
Заключение
Безопасность аппаратного кошелька зависит не только от его основного технического дизайна, но и от безопасных каналов покупки и правильных привычек пользователей. Физическая безопасность является абсолютно необходимым элементом защиты цифровых токенов.
В мире криптовалют, где сосуществуют возможности и риски, обязательно следует установить концепцию безопасности «нулевого доверия» — не доверяйте никаким каналам, лицам или устройствам, которые не прошли официальную проверку. Будьте крайне осторожны с любыми «бесплатными обедами», это первая и самая важная линия защиты ваших цифровых активов.