Посібник з безпеки апаратного гаманця: уникайте поширених пасток, щоб захистити шифрування активів

Нещодавно один користувач придбав на певній платформі коротких відео підроблений апаратний гаманець, що призвело до крадіжки приблизно 50 мільйонів юанів шифрування активів. У цій статті ми зосередимося на апаратному гаманці, який загалом користується довірою, але має багато помилок у використанні, розглянемо три основні етапи: купівлю, використання та зберігання, проаналізуємо поширені ризики, розкриємо типові шахрайства та надамо практичні рекомендації щодо захисту.

Ризики на етапі покупки

Основні два типи шахрайства в купівлі:

1. Підроблений гаманець: зовнішній вигляд нормальний, але прошивка була змінена, що може призвести до витоку приватного ключа.
2. Справжній гаманець + зловмисне керівництво: зловмисники використовують недостатність знань користувачів, продаючи "ініціалізовані" пристрої через неофіційні канали або спокушаючи завантажити підроблені програми.

Типовий випадок: один користувач придбав апаратний гаманець на електронній торговій платформі і виявив, що інструкція нагадує лотерейний білет. Зловмисник заздалегідь активував пристрій, щоб отримати мнемонічну фразу, повторно запакував і підготував підроблену інструкцію для продажу. Користувач, слідуючи інструкції, активував його та перевів активи, після чого кошти були негайно переведені.

Більш прихованими атаками є зміна на рівні прошивки. Пристрій виглядає нормально, але внутрішня прошивка містить тилові двері. Користувачеві важко помітити, і як тільки активи зберігаються, зловмисник може віддалено витягувати приватні ключі, підписувати транзакції.

Рекомендація: обов'язково купуйте через офіційний веб-сайт бренду або через офіційно уповноважені канали, уникайте вибору неофіційних платформ, особливо будьте обережні з вживаними пристроями або новими товарами, походження яких викликає сумніви.

Точки атаки під час використання

Пастка фішингу в авторизації підпису

"Сліпа підпис" є великою небезпекою, коли користувач підтверджує запит на підпис, не знаючи точно змісту транзакції. Навіть використовуючи апаратний гаманець, можна ненавмисно надати дозвіл на переказ коштів на чужу адресу або виконати шкідливий смарт-контракт.

Спосіб реагування: оберіть апаратний гаманець, що підтримує "побачене – підписане", щоб забезпечити чітке відображення інформації про транзакцію на екрані пристрою та підтвердження кожного пункту.

маскування офіційної фішингової атаки

Зловмисники часто видають себе за офіційних представників для обману. Наприклад, у квітні 2022 року користувач відомого апаратного гаманця отримав фішинговий лист, що, ймовірно, був надісланий з офіційного домену. Зловмисники використовували схожі доменні імена та Punycode для маскування, підвищуючи рівень обману.

Іншим прикладом є випадок витоку даних певного бренду у 2020 році, коли зловмисники, видаючи себе за службу безпеки, надсилали користувачам фішингові електронні листи, стверджуючи, що потрібно оновити або пройти перевірку безпеки. Деякі користувачі навіть отримали підроблені посилки для заміни "нового пристрою", які насправді були модифікованими пристроями з вбудованими шкідливими програмами.

Атака посередника

Апаратний гаманець хоча й може ізолювати приватний ключ, але транзакцію все ще потрібно виконувати через мобільні або комп'ютерні додатки та канали передачі. Якщо будь-який етап буде контрольований, зловмисник може змінити адресу отримання або підробити інформацію про підпис.

Деяка команда раніше повідомляла про вразливість: певне програмне забезпечення для Гаманець підключається до апаратного пристрою, безпосередньо читає внутрішній публічний ключ і обчислює адресу, без підтвердження апарату, що залишає можливість для атаки посередника.

Зберігання та резервне копіювання

Не зберігайте або не передавайте мнемонічні фрази на будь-яких підключених пристроях і платформах. Паперові резервні копії відносно безпечні, але слід захищати їх від пожежі, затоплення та інших непередбачених обставин.

Рекомендації:

• Напишіть мнемонічну фразу від руки на папері та зберігайте в кількох безпечних місцях.
• Високоякісні активи можуть бути захищені металевою панеллю, стійкою до вогню та води.
• Регулярно перевіряйте середовище зберігання мнемонічних фраз, щоб забезпечити їхню безпеку та доступність.

Висновок

Безпека апаратного гаманця в значній мірі залежить від способу його використання користувачем. Багато шахрайств не є прямим зломом пристрою, а скоріше спонукають користувачів віддати контроль над своїми активами. Ключові рекомендації такі:

1. Придбати апаратний гаманець через офіційні канали
2. Переконайтеся, що пристрій знаходиться в неактивному стані
3. Ключові операції повинні виконуватися особисто, включаючи активацію пристрою, налаштування PIN-коду, створення адреси та резервне копіювання мнемонічної фрази.

При нормальному використанні, спочатку слід щонайменше тричі безперервно створити новий гаманець, записати згенеровані мнемоничні фрази та відповідні адреси, щоб забезпечити, що результати кожного разу не повторюються. Завдяки обережним діям і регулярним перевіркам можна ефективно знизити ризик викрадення активів.