Руководство по безопасности аппаратного кошелька: распространенные ловушки и стратегии защиты
Недавно один пользователь приобрел модифицированный холодный кошелек на одной из платформ коротких видео, в результате чего было украдено около 50 миллионов юаней криптоактивов. Несмотря на то что аппаратный кошелек считается надежным инструментом защиты активов благодаря оффлайн-хранению приватных ключей, с ростом стоимости криптоактивов и методы атак на аппаратные кошельки также продолжают эволюционировать. В данной статье будут рассмотрены три основных этапа: покупка, использование и хранение аппаратных кошельков, описаны распространенные риски, проанализированы типичные мошенничества и даны практические рекомендации по защите.
В сфере покупок существует два основных типа мошенничества:
Ложный кошелек: внешний вид нормален, но прошивка была изменена, что может привести к утечке приватного ключа.
Настоящий кошелек + злонамеренное руководство: злоумышленники продают "инициализированные" устройства через неофициальные каналы или вводят в заблуждение, заставляя загружать поддельные приложения.
Типичный случай: один пользователь купил аппаратный кошелек на электронной коммерческой платформе и обнаружил, что инструкция похожа на скретч-карту. На самом деле, злоумышленники заранее активировали устройство, чтобы получить мнемоническую фразу, затем повторно упаковали его и продали с поддельной инструкцией. После активации пользователем, переведенные активы немедленно были украдены.
Другим скрытым видом атаки является модификация на уровне прошивки. В прошивку устройства внедряется задняя дверь, при этом внешний вид полностью нормален. Пользователь едва ли заметит это, и как только активы будут внесены, скрытая задняя дверь может удаленно извлекать приватные ключи или подписывать транзакции.
Точки атаки в процессе использования
Фишинг-ловушка в подписании полномочий
"Слепая подпись" является большой риском, так как пользователь подтверждает труднопонимаемый запрос на подпись, не понимая содержания сделки. Даже при использовании аппаратного кошелька пользователь все равно может случайно разрешить перевод на незнакомый адрес или выполнить злонамеренный смарт-контракт.
"официальный" фишинг
Атакующие часто выдают себя за официальные лица для обмана. Например, в апреле 2022 года один из пользователей известного аппаратного кошелька получил фишинговое письмо с похожего домена. Атакующие также используют реальные инциденты безопасности для повышения вероятности успеха обмана, например, после утечки данных одного бренда, атакующие используют утечку информации для отправки фишинговых писем или отправки поддельных устройств.
атака посредника
Аппаратный кошелек может изолировать приватный ключ, но для транзакций все равно необходимо использовать мобильное или компьютерное приложение и различные способы передачи. Если канал передачи будет контролироваться, злоумышленник сможет изменить адрес получателя или подделать информацию о подписи.
Хранение и резервное копирование
Не храните и не передавайте мнемонические фразы на любых подключенных к сети устройствах и платформах. Рекомендуется записывать мнемонические фразы от руки на физическом носителе и хранить их в нескольких безопасных местах. Для высокоценных активов рассмотрите возможность использования металлических пластин, защищенных от огня и воды. Регулярно проверяйте условия хранения мнемонических фраз, чтобы обеспечить их безопасность и доступность.
Рекомендации по безопасности
Купите аппаратный кошелек через официальные каналы.
Убедитесь, что устройство находится в неактивном состоянии.
Ключевые операции должны выполняться лично, включая активацию устройства, настройку PIN-кода, генерацию кода привязки, создание адреса и резервное копирование мнемонической фразы.
При первом использовании необходимо создать кошелек не менее трех раз подряд, записывая сгенерированные мнемонические фразы и соответствующие адреса, чтобы гарантировать, что результаты каждый раз не повторяются.
Безопасность аппаратного кошелька зависит не только от самого устройства, но и от способа его использования пользователем. Многие мошенничества не направлены на прямое взлом устройства, а побуждают пользователя самостоятельно отдать контроль над активами. Будьте настороже и следуйте рекомендациям по безопасности, чтобы эффективно защитить безопасность криптоактивов.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
Руководство по безопасности аппаратного кошелька: защита рисков на всем этапе покупки и использования хранения
Руководство по безопасности аппаратного кошелька: распространенные ловушки и стратегии защиты
Недавно один пользователь приобрел модифицированный холодный кошелек на одной из платформ коротких видео, в результате чего было украдено около 50 миллионов юаней криптоактивов. Несмотря на то что аппаратный кошелек считается надежным инструментом защиты активов благодаря оффлайн-хранению приватных ключей, с ростом стоимости криптоактивов и методы атак на аппаратные кошельки также продолжают эволюционировать. В данной статье будут рассмотрены три основных этапа: покупка, использование и хранение аппаратных кошельков, описаны распространенные риски, проанализированы типичные мошенничества и даны практические рекомендации по защите.
! Руководство по безопасности Web3: распространенные подводные камни аппаратных кошельков инвентаризации
Риски на этапе покупки
В сфере покупок существует два основных типа мошенничества:
Типичный случай: один пользователь купил аппаратный кошелек на электронной коммерческой платформе и обнаружил, что инструкция похожа на скретч-карту. На самом деле, злоумышленники заранее активировали устройство, чтобы получить мнемоническую фразу, затем повторно упаковали его и продали с поддельной инструкцией. После активации пользователем, переведенные активы немедленно были украдены.
Другим скрытым видом атаки является модификация на уровне прошивки. В прошивку устройства внедряется задняя дверь, при этом внешний вид полностью нормален. Пользователь едва ли заметит это, и как только активы будут внесены, скрытая задняя дверь может удаленно извлекать приватные ключи или подписывать транзакции.
Точки атаки в процессе использования
Фишинг-ловушка в подписании полномочий
"Слепая подпись" является большой риском, так как пользователь подтверждает труднопонимаемый запрос на подпись, не понимая содержания сделки. Даже при использовании аппаратного кошелька пользователь все равно может случайно разрешить перевод на незнакомый адрес или выполнить злонамеренный смарт-контракт.
"официальный" фишинг
Атакующие часто выдают себя за официальные лица для обмана. Например, в апреле 2022 года один из пользователей известного аппаратного кошелька получил фишинговое письмо с похожего домена. Атакующие также используют реальные инциденты безопасности для повышения вероятности успеха обмана, например, после утечки данных одного бренда, атакующие используют утечку информации для отправки фишинговых писем или отправки поддельных устройств.
атака посредника
Аппаратный кошелек может изолировать приватный ключ, но для транзакций все равно необходимо использовать мобильное или компьютерное приложение и различные способы передачи. Если канал передачи будет контролироваться, злоумышленник сможет изменить адрес получателя или подделать информацию о подписи.
Хранение и резервное копирование
Не храните и не передавайте мнемонические фразы на любых подключенных к сети устройствах и платформах. Рекомендуется записывать мнемонические фразы от руки на физическом носителе и хранить их в нескольких безопасных местах. Для высокоценных активов рассмотрите возможность использования металлических пластин, защищенных от огня и воды. Регулярно проверяйте условия хранения мнемонических фраз, чтобы обеспечить их безопасность и доступность.
Рекомендации по безопасности
Безопасность аппаратного кошелька зависит не только от самого устройства, но и от способа его использования пользователем. Многие мошенничества не направлены на прямое взлом устройства, а побуждают пользователя самостоятельно отдать контроль над активами. Будьте настороже и следуйте рекомендациям по безопасности, чтобы эффективно защитить безопасность криптоактивов.
! Руководство по безопасности Web3: распространенные подводные камни аппаратных кошельков инвентаризации
! Руководство по безопасности Web3: распространенные подводные камни аппаратных кошельков Inventory
! Руководство по безопасности Web3: распространенные подводные камни аппаратных кошельков инвентаризации