Guide de sécurité du portefeuille matériel : éviter les pièges courants, protéger les actifs de chiffrement

Récemment, un utilisateur a acheté un portefeuille matériel falsifié sur une plateforme de vidéos courtes, ce qui a entraîné le vol d'environ 50 millions de yuans d'actifs en chiffrement. Cet article se concentrera sur le portefeuille matériel, un outil généralement fiable mais qui présente de nombreuses erreurs de compréhension dans son utilisation. Nous passerons en revue les risques courants, analyserons les arnaques typiques et fournirons des conseils pratiques de protection concernant les trois étapes principales : achat, utilisation et stockage.

Risques lors de l'achat

Il existe principalement deux types d'escroqueries en matière d'achat :

1. Faux portefeuille : apparence normale, mais le firmware a été altéré, ce qui pourrait entraîner une fuite de la clé privée.
2. Véritable portefeuille + guidage malveillant : les attaquants exploitent le manque de connaissances des utilisateurs en vendant des appareils "déjà initialisés" par des canaux non officiels, ou en incitant à télécharger des applications falsifiées.

Cas d'utilisation typique : un utilisateur achète un portefeuille matériel sur une plateforme de commerce électronique et découvre que le manuel est similaire à une carte à gratter. L'attaquant active le dispositif à l'avance pour obtenir les mots de passe de récupération, le reconditionne et vend avec un manuel falsifié. Après avoir activé selon les instructions, l'utilisateur transfère ses actifs, et les fonds sont immédiatement transférés.

Une attaque plus discrète est la manipulation au niveau du firmware. L'appareil a une apparence normale, mais un accès non autorisé est intégré dans le firmware. Il est difficile pour l'utilisateur de s'en rendre compte, et une fois que les actifs sont stockés, l'attaquant peut extraire la clé privée à distance et signer des transactions.

Conseil : Veuillez acheter uniquement via le site officiel de la marque ou des canaux autorisés, évitez de choisir des plateformes non officielles, et soyez particulièrement vigilant avec les appareils d'occasion ou les nouveaux produits d'origine inconnue.

Points d'attaque pendant l'utilisation

Piège de phishing dans l'autorisation de signature

"La signature aveugle" est un grand risque, les utilisateurs confirment des demandes de signature difficiles à identifier sans comprendre le contenu de la transaction. Même en utilisant un portefeuille matériel, il est toujours possible d'autoriser involontairement un transfert vers une adresse inconnue ou d'exécuter un contrat intelligent malveillant.

Méthode de réponse : choisissez un portefeuille matériel qui prend en charge "ce que vous voyez est ce que vous signez", assurez-vous que les informations de transaction s'affichent clairement sur l'écran de l'appareil et vérifiez-les item par item.

attaque de phishing déguisée en officielle

Les attaquants se font souvent passer pour des officiels pour tromper. En avril 2022, un utilisateur d'un portefeuille matériel renommé a reçu un e-mail de phishing prétendument officiel. Les attaquants ont utilisé des noms de domaine similaires et du Punycode pour se déguiser, augmentant ainsi la tromperie.

Un autre cas est celui d'une fuite de données d'une certaine marque en 2020, où les attaquants se sont fait passer pour le service de sécurité et ont envoyé des e-mails de phishing aux utilisateurs, prétendant qu'une mise à jour ou une vérification de sécurité était nécessaire. Certains utilisateurs ont même reçu de faux colis de "nouvel appareil", qui étaient en réalité des appareils altérés contenant des programmes malveillants.

attaque de l'homme du milieu

Bien que le portefeuille matériel puisse isoler les clés privées, les transactions doivent néanmoins être effectuées via une application mobile ou un ordinateur et un lien de transmission. Si une étape est contrôlée, un attaquant peut modifier l'adresse de réception ou falsifier les informations de signature.

Une équipe a signalé une vulnérabilité : lorsque certains logiciels de portefeuille se connectent à des dispositifs matériels, ils peuvent lire directement la clé publique interne et calculer l'adresse, sans confirmation matérielle, laissant ainsi une opportunité pour une attaque de l'homme du milieu.

Stockage et sauvegarde

Ne stockez ni ne transférez vos mots de passe mnémotechniques sur des appareils ou des plateformes connectés. Les sauvegardes papier sont relativement sûres, mais vous devez vous prémunir contre les accidents tels que les incendies ou les inondations.

Conseil :

• Écrivez les mots de passe sur du papier physique et rangez-les à plusieurs endroits sécurisés.
• Les actifs de haute valeur peuvent utiliser des plaques métalliques ignifuges et étanches.
• Vérifiez régulièrement l'environnement de stockage des mots de passe mnémotechniques pour garantir leur sécurité et leur disponibilité.

Conclusion

La sécurité du portefeuille matériel dépend en grande partie de la manière dont l'utilisateur l'utilise. De nombreuses arnaques ne consistent pas à compromettre directement l'appareil, mais à induire les utilisateurs à remettre le contrôle de leurs actifs. Les conseils clés sont les suivants :

1. Acheter un portefeuille matériel par des canaux officiels
2. Assurez-vous que l'appareil est dans un état non activé
3. Les opérations clés doivent être effectuées par soi-même, y compris l'activation de l'appareil, la configuration du code PIN, la création d'adresses et la sauvegarde des mots de passe.

Lors d'une utilisation normale, il est recommandé de créer un portefeuille entièrement neuf au moins trois fois de manière consécutive, en notant les phrases mnémoniques générées et les adresses correspondantes, afin de s'assurer que les résultats soient différents à chaque fois. En opérant avec prudence et en effectuant des vérifications régulières, il est possible de réduire efficacement le risque de vol d'actifs.