Апаративний гаманець безпеки: поширені пастки та стратегії захисту
Нещодавно один користувач на певній платформі коротких відео придбав підроблений апаратний гаманець, внаслідок чого було вкрадено близько 50 мільйонів юанів криптоактивів. Незважаючи на те, що апаратні гаманці вважаються надійними інструментами захисту активів завдяки офлайн зберіганню приватних ключів, зростання вартості криптоактивів призводить до постійного вдосконалення методів атак на апаратні гаманці. Ця стаття розгляне три основні етапи: покупка, використання та зберігання апаратних гаманців, аналізуючи поширені ризики, пояснюючи типовий шахрайство та надаючи практичні поради для захисту.
Ризики на етапі покупки
У сфері купівлі існує два основних види шахрайств:
Фальшивий гаманець: виглядає нормально, але прошивка була змінена, що може призвести до витоку приватних ключів.
Справжній гаманець + зловмисне керівництво: зловмисники продають "ініціалізовані" пристрої через неофіційні канали або спонукають завантажити підроблені програми.
Типовий випадок: певний користувач придбав апаратний гаманець на платформі електронної комерції і виявив, що інструкція нагадує лотерейний квиток. Насправді, зловмисник заздалегідь активував пристрій, щоб отримати мнемонічну фразу, а потім повторно упакував його і продав з підробленою інструкцією. Користувач активував його згідно інструкції, перевів активи, і кошти відразу були переведені.
Іншим видом прихованої атаки є підміна на рівні прошивки. У прошивку пристрою вбудовують бекдор, який виглядає абсолютно нормально. Користувачеві важко помітити, і як тільки активи збережено, прихований бекдор може дистанційно витягувати приватний ключ або підписувати транзакції.
Точки атаки під час використання
Пастка для фішингу в авторизації підпису
"Сліпа підпис" є великою небезпекою, тобто користувач підтверджує запит на підпис, який важко розпізнати, не маючи чіткого уявлення про зміст транзакції. Навіть використовуючи апаратний гаманець, користувач все ще може випадково уповноважити переказ коштів на незнайомі адреси або виконати шкідливий смарт-контракт.
"офіційний" фішинг
Зловмисники часто видають себе за офіційних осіб для обману. Наприклад, у квітні 2022 року користувач відомого апаратного гаманця отримав фішинговий лист з подібного домену. Зловмисники також використовують реальні інциденти безпеки для підвищення ймовірності успіху обману, наприклад, після витоку даних певного бренду зловмисники використовують викрадену інформацію для відправки фішингових листів або надсилання підроблених пристроїв.
атака посередника
Апаратний гаманець хоч і може ізолювати приватний ключ, але під час транзакції все ще потрібно використовувати мобільні або комп'ютерні додатки та різні способи передачі. Якщо ланцюг передачі контролюється, зловмисник може змінити адресу отримання або підробити інформацію про підпис.
Зберігання та резервне копіювання
Не зберігайте та не передавайте мнемонічні фрази на будь-яких мережевих пристроях та платформах. Рекомендується написати мнемонічні фрази від руки на фізичному папері та зберігати їх у кількох безпечних місцях. Для активів високої вартості розгляньте можливість використання вогнестійких та водостійких металевих пластин. Регулярно перевіряйте умови зберігання мнемонічних фраз, щоб забезпечити їхню безпеку та доступність.
Рекомендації щодо безпеки
Придбати апаратний гаманець через офіційні канали.
Переконайтеся, що пристрій не активовано.
Ключові операції повинні виконуватися особисто, включаючи активацію пристрою, налаштування PIN-коду, генерацію коду прив'язки, створення адреси та резервне копіювання мнемонічної фрази.
Під час першого використання потрібно щонайменше тричі безперервно створити новий гаманець, записати згенеровані мнемонічні слова та відповідну адресу, забезпечивши, щоб результати кожного разу не повторювались.
Безпека апаратного гаманця залежить не лише від самого пристрою, але й від способу його використання користувачем. Багато шахрайств не пов'язані з безпосереднім зломом пристрою, а є спробами змусити користувача добровільно віддати контроль над активами. Залишайтеся пильними, дотримуйтесь рекомендацій щодо безпеки, щоб ефективно захистити безпеку криптоактивів.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
18 лайків
Нагородити
18
7
Репост
Поділіться
Прокоментувати
0/400
MetaverseLandlady
· 22год тому
Купити дорого чи недорого, не купили дорого
Переглянути оригіналвідповісти на0
PriceOracleFairy
· 22год тому
Обережно, щоб не потрапити в пастку, пам'ятаючи про попередні помилки.
Переглянути оригіналвідповісти на0
0xOverleveraged
· 08-05 21:52
Не намагайтеся зекономити і втратити гаманець.
Переглянути оригіналвідповісти на0
DiamondHands
· 08-05 21:50
Гаманець тільки купуйте на офіційному сайті
Переглянути оригіналвідповісти на0
DeFiDoctor
· 08-05 21:44
Скористайтеся офіційними каналами для безпечності.
Посібник з безпеки апаратного гаманця: захист ризиків на всіх етапах покупки та використання
Апаративний гаманець безпеки: поширені пастки та стратегії захисту
Нещодавно один користувач на певній платформі коротких відео придбав підроблений апаратний гаманець, внаслідок чого було вкрадено близько 50 мільйонів юанів криптоактивів. Незважаючи на те, що апаратні гаманці вважаються надійними інструментами захисту активів завдяки офлайн зберіганню приватних ключів, зростання вартості криптоактивів призводить до постійного вдосконалення методів атак на апаратні гаманці. Ця стаття розгляне три основні етапи: покупка, використання та зберігання апаратних гаманців, аналізуючи поширені ризики, пояснюючи типовий шахрайство та надаючи практичні поради для захисту.
Ризики на етапі покупки
У сфері купівлі існує два основних види шахрайств:
Типовий випадок: певний користувач придбав апаратний гаманець на платформі електронної комерції і виявив, що інструкція нагадує лотерейний квиток. Насправді, зловмисник заздалегідь активував пристрій, щоб отримати мнемонічну фразу, а потім повторно упакував його і продав з підробленою інструкцією. Користувач активував його згідно інструкції, перевів активи, і кошти відразу були переведені.
Іншим видом прихованої атаки є підміна на рівні прошивки. У прошивку пристрою вбудовують бекдор, який виглядає абсолютно нормально. Користувачеві важко помітити, і як тільки активи збережено, прихований бекдор може дистанційно витягувати приватний ключ або підписувати транзакції.
Точки атаки під час використання
Пастка для фішингу в авторизації підпису
"Сліпа підпис" є великою небезпекою, тобто користувач підтверджує запит на підпис, який важко розпізнати, не маючи чіткого уявлення про зміст транзакції. Навіть використовуючи апаратний гаманець, користувач все ще може випадково уповноважити переказ коштів на незнайомі адреси або виконати шкідливий смарт-контракт.
"офіційний" фішинг
Зловмисники часто видають себе за офіційних осіб для обману. Наприклад, у квітні 2022 року користувач відомого апаратного гаманця отримав фішинговий лист з подібного домену. Зловмисники також використовують реальні інциденти безпеки для підвищення ймовірності успіху обману, наприклад, після витоку даних певного бренду зловмисники використовують викрадену інформацію для відправки фішингових листів або надсилання підроблених пристроїв.
атака посередника
Апаратний гаманець хоч і може ізолювати приватний ключ, але під час транзакції все ще потрібно використовувати мобільні або комп'ютерні додатки та різні способи передачі. Якщо ланцюг передачі контролюється, зловмисник може змінити адресу отримання або підробити інформацію про підпис.
Зберігання та резервне копіювання
Не зберігайте та не передавайте мнемонічні фрази на будь-яких мережевих пристроях та платформах. Рекомендується написати мнемонічні фрази від руки на фізичному папері та зберігати їх у кількох безпечних місцях. Для активів високої вартості розгляньте можливість використання вогнестійких та водостійких металевих пластин. Регулярно перевіряйте умови зберігання мнемонічних фраз, щоб забезпечити їхню безпеку та доступність.
Рекомендації щодо безпеки
Безпека апаратного гаманця залежить не лише від самого пристрою, але й від способу його використання користувачем. Багато шахрайств не пов'язані з безпосереднім зломом пристрою, а є спробами змусити користувача добровільно віддати контроль над активами. Залишайтеся пильними, дотримуйтесь рекомендацій щодо безпеки, щоб ефективно захистити безпеку криптоактивів.