Руководство по безопасности аппаратного кошелька: избегайте распространенных ловушек, защищая свои шифрование активы

Недавно один пользователь приобрел на одной из платформ коротких видео измененный аппаратный кошелек, что привело к краже криптоактивов на сумму около 50 миллионов юаней. В данной статье мы сосредоточимся на аппаратных кошельках, которые широко доверяются, но при использовании имеют множество заблуждений. Мы рассмотрим три основных этапа: покупка, использование и хранение, проанализируем распространенные риски, разберем типичные мошенничества и дадим практические советы по защите.

! Руководство по безопасности Web3: распространенные подводные камни аппаратных кошельков инвентаризации

Риски на этапе покупки

В области покупок существует два основных типа мошенничества:

1. Ложный кошелек: внешний вид нормальный, но прошивка была изменена, что может привести к утечке приватного ключа.
2. Настоящий кошелек + злонамеренное руководство: злоумышленники используют недостаток знаний пользователей, продавая "инициализированные" устройства через неофициальные каналы или под诱кая загрузку поддельных приложений.

Типичный случай: пользователь купил аппаратный кошелек на электронной торговой платформе и обнаружил, что инструкция похожа на скретч-карту. Злоумышленник заранее активировал устройство, получив мнемоническую фразу, затем перепаковал его и продал с поддельной инструкцией. После активации пользователем, средства были немедленно переведены.

Более скрытные атаки происходят на уровне прошивки. Устройство выглядит нормально, но во внутренней прошивке внедрены закладки. Пользователю трудно это заметить, и как только активы хранятся, злоумышленник может удаленно извлечь приватный ключ и подписать транзакцию.

Рекомендуется: обязательно покупайте через официальный сайт бренда или официальные авторизованные каналы, избегайте выбора неофициальных платформ, особенно остерегайтесь подержанных устройств или новинок с непонятным происхождением.

Точки атаки в процессе использования

Фишинговая ловушка в авторизации подписи

"Слепая подпись" представляет собой большую риск, когда пользователи подтверждают труднопонимаемый запрос на подпись без ясного понимания содержания транзакции. Даже при использовании аппаратного кошелька, можно случайно разрешить перевод средств на незнакомый адрес или выполнить вредоносный смарт-контракт.

Способы решения: выберите аппаратный кошелек, поддерживающий "что видишь, то и подписываешь", чтобы обеспечить четкое отображение информации о транзакции на экране устройства и поэтапное подтверждение.

Маскирующаяся официальная фишинговая атака

Злоумышленники часто выдают себя за официальные лица для обмана. В апреле 2022 года один из известных пользователей аппаратного кошелька получил подозрительное фишинговое письмо с домена, похожего на официальный. Злоумышленники использовали схожие доменные имена и Punycode для маскировки, повышая степень обмана.

Другой случай связан с утечкой данных одного бренда в 2020 году, когда злоумышленники выдали себя за службу безопасности и отправили пользователям фишинговые письма, утверждая, что необходимо провести обновление или проверку безопасности. Некоторые пользователи даже получили поддельные посылки с "новым устройством", которые на самом деле были модифицированными устройствами с установленным вредоносным ПО.

! Руководство по безопасности Web3: Список распространенных ловушек аппаратных кошельков

Атака посредника

Хотя аппаратный кошелек может изолировать приватные ключи, транзакции все равно должны выполняться через мобильные или компьютерные приложения и каналы передачи. Если любой из этапов будет контролироваться, злоумышленник может подменить адрес получателя или подделать подпись.

Некоторые команды сообщили о уязвимости: определенное программное обеспечение кошелька при подключении к аппаратным устройствам напрямую считывает внутренний открытый ключ и вычисляет адрес, что создает возможность для атак посредников из-за недостатка аппаратного подтверждения.

Хранение и резервное копирование

Не храните и не передавайте мнемоническую фразу на любых устройствах и платформах, подключенных к сети. Бумажное резервное копирование относительно безопасно, но необходимо защищать от таких непредвиденных обстоятельств, как пожар или затопление.

Совет:

• Напишите мнемоническую фразу от руки на физической бумаге и храните в нескольких безопасных местах
• Высококачественные активы могут быть защищены металлическими панелями, устойчивыми к огню и воде.
• Регулярно проверяйте условия хранения мнемонической фразы, чтобы обеспечить их безопасность и доступность.

Заключение

Безопасность аппаратного кошелька в значительной степени зависит от способа его использования пользователем. Многие мошенничества не связаны с прямым взломом устройства, а заключаются в том, чтобы склонить пользователя к передаче контроля над активами. Ключевые рекомендации таковы:

1. Купить аппаратный кошелек через официальные каналы
2. Убедитесь, что устройство находится в неактивном состоянии
3. Ключевые операции должны выполняться лично, включая активацию устройства, настройку PIN-кода, создание адреса и резервное копирование мнемонической фразы.

При обычном использовании, в первый раз следует как минимум трижды подряд создать новый кошелек, записать сгенерированные мнемонические фразы и соответствующие адреса, чтобы убедиться, что результаты не повторяются. Внимательные действия и регулярные проверки могут эффективно снизить риск кражи активов.