Захистіть свій апаратний гаманець: поширені атаки замилювання очей та керівництво з запобігання
У сфері криптовалют безпека завжди є головним питанням. Щоб захистити цифрові активи, багато людей обирають використовувати апаратний гаманець (також відомий як холодний гаманець) — фізичний безпечний пристрій, який може офлайн генерувати та зберігати приватні ключі.
Основна функція апаратного гаманця полягає в тому, щоб зберігати "приватний ключ", що контролює ваші токени, в офлайн-режимі на безпечному чіпі. Усі підтвердження та підписи транзакцій виконуються всередині пристрою, приватний ключ ніколи не контактує з підключеними до мережі мобільними пристроями або комп'ютерами. Це значно знижує ризик крадіжки приватного ключа зловмисниками через мережеві віруси, трояни та інші способи.
Однак, передумовою цієї безпеки є те, що ваш апаратний гаманець є надійним і не був атакований. Якщо зловмисник вже встиг змінити його до того, як ви отримали апаратний гаманець, тоді ця безпечна фортеця для зберігання приватних ключів з самого початку втратила свою захисну функцію і стала "пасткою", готовою до збору улову шахраєм.
Ця стаття представить два поширені типи атак на апаратні гаманці, а також надасть вам набір рекомендацій щодо безпеки.
Типи атак на апаратні гаманці
В даний час атаки на апаратні гаманці в основному поділяються на два типи: технічні атаки та схеми з попередньо заданими мнемонічними фразами.
технічна атака
Центр цього нападу полягає у фізичній модифікації апарата гаманця. Зловмисники використовують технічні засоби, такі як заміна внутрішнього чіпа, встановлення шкідливих програм, які можуть таємно записувати або надсилати мнемонічні фрази тощо. Ці зламані пристрої зовні можуть не відрізнятися від оригінальних, але їхні основні функції (тобто офлайн-генерація, офлайн-зберігання приватних ключів) були захоплені.
Зловмисники зазвичай маскуються під відомі проекти, бренди апаратних гаманців або KOL в соціальних мережах, під виглядом безкоштовної заміни, пересилання призів тощо, надсилаючи атаковані апаратні гаманці як "подарунки" жертвам.
У 2021 році користувачі повідомили, що отримали "безкоштовну заміну" апаратного гаманця, що нібито надіслали офіційні представники певного бренду. Коли він використав свої мнемонічні фрази для відновлення гаманця на пристрої, токени вартістю 78 000 доларів були вкрадені. Після аналізу було виявлено, що цей пристрій був заражений шкідливим ПЗ, яке могло красти мнемонічні фрази під час введення користувачем.
замилювання очей
Це нині найбільш поширене та найпростіше для людей, щоб потрапити в замилювання очей. Воно не залежить від складних технологій, а використовує інформаційну різницю та психологію користувачів. Його суть полягає в тому, що шахраї ще до того, як ви отримаєте апаратний гаманець, вже «попередньо» налаштували для вас набір мнемонічних фраз, через підроблені інструкції та шахрайські промови спонукаючи користувачів безпосередньо використовувати цей гаманець.
Шахраї зазвичай продають апаратні гаманці за низькими цінами через неофіційні канали (такі як соціальні мережі, платформи прямих трансляцій або вторинні ринки). Як тільки користувачі не перевіряють інформацію або прагнуть заощадити, вони легко стають жертвами замилювання очей.
Шахраї заздалегідь закуповують оригінальні апаратні гаманці з офіційних каналів, після отримання гаманця розпаковують його та виконують зловмисні дії — активують пристрій, генерують та записують мнемонічну фразу гаманця, підробляють інструкцію та картку продукту. Потім, використовуючи професійне пакувальне обладнання та матеріали, повторно упаковують його, підробляючи як "новий, не розпакований" апаратний гаманець для продажу на електронних платформах.
Наразі спостерігаються два види замилювання очей з використанням попередньо встановлених мнемонічних фраз:
За замовчуванням мнемонічна фраза: у упаковці безпосередньо надається друкована картка з мнемонічною фразою та спонукає користувача використовувати цю мнемонічну фразу для відновлення гаманця.
Попередньо встановлений PIN-код (код розблокування апаратного пристрою): надається картка для стирання, яка стверджує, що, зішкрябавши покриття, можна побачити унікальний "PIN-код" або "код активації пристрою", і неправдиво стверджує, що апаратний гаманець не потребує мнемонічної фрази.
Якщо користувач стикається з "схемою з попередньо встановленими мнемонічними словами", на перший погляд користувач має апаратний гаманець, але насправді не контролює гаманець. Контроль над цим гаманцем (мнемонічні слова) завжди залишається в руках шахрая. Після цього операція з переказу всіх токенів на цей гаманець не що інше, як покласти токени в кишеню шахрая.
!
Кейс користувача
Пан Ван придбав апаратний гаманець на одній з платформ коротких відео. Коли пристрій прийшов, упаковка була в ідеальному стані, а знаки автентичності також виглядали неушкодженими. Пан Ван розпакував упаковку і виявив, що інструкція закликає його використовувати попередньо встановлений PIN-код для розблокування пристрою. Він трохи здивувався: "Чому я не можу самостійно встановити PIN-код? І чому протягом усього процесу мені не було запропоновано зробити резервну копію мнемонічної фрази?"
Він одразу зв'язався з службою підтримки магазину для консультації. Служба підтримки пояснила: "Це наш новий поколінь безкоштовного апаратного гаманця, що використовує найновіші технології безпеки. Щоб полегшити користування, ми встановили унікальний PIN-код безпеки для кожного пристрою, який можна використовувати після розблокування, що робить його більш зручним і безпечним."
Ці слова розвіяли сумніви пана Ваня. Він, слідуючи інструкціям у посібнику, використав попередньо встановлений PIN-код для завершення спарювання та поступово перевів кошти до нового Гаманець.
Спочатку кілька днів отримання/перекази проходили нормально. Однак майже в момент, коли він перевів велику кількість токенів, всі токени з гаманця були переказані на невідому адресу.
Пан Ван не міг зрозуміти, і лише після зв'язку з офіційним представником бренду для перевірки він раптом усвідомив: те, що він купив, насправді є пристроєм, який був попередньо активований і налаштований з допоміжними словами. Отже, цей апаратний гаманець з самого початку не належав йому, а завжди контролювався шахраями. Так званий "новий покоління холодного гаманця без допоміжних слів" - це всього лише обман шахраїв, щоб замилити очі.
!
Як захистити свій апаратний гаманець
Щоб запобігти ризикам на всіх етапах, від джерела до використання, будь ласка, ознайомтеся з наступним списком перевірки безпеки:
Перший крок: купівля та перевірка товару через офіційні канали
Продовжуйте купувати апаратний гаманець через офіційні канали.
Після отримання пристрою перевірте, чи не пошкоджені зовнішня упаковка, пломби та вміст.
Введіть серійний номер пристрою на офіційному веб-сайті, щоб перевірити стан активації пристрою. Новий пристрій має відображати "Пристрій ще не активовано".
Другий крок: самостійно згенерувати та зробити резервну копію мнемонічної фрази
Під час першого використання обов'язково особисто та самостійно виконайте активацію пристрою, налаштування та резервне копіювання PIN-коду і коду прив'язки, створення та резервне копіювання мнемонічної фрази.
Фізично резервуйте мнемонічну фразу (наприклад, написавши її на папері) або у спеціальному контейнері для мнемонічних фраз та зберігайте її в безпечному місці, окремо від апаратного гаманця. Ніколи не фотографуйте, не робіть скріншоти та не зберігайте на жодному електронному пристрої.
Третій крок: тестування малих токенів
Перед внесенням великої суми токенів рекомендується спершу здійснити повний тест отримання та переказу з невеликою сумою токенів. Коли підключаєте програмний гаманець для підписання переказу, уважно перевіряйте інформацію на екрані апаратного пристрою (таку як валюта, кількість переказу, адреса отримувача), щоб впевнитися, що вона збігається з даними, що відображаються в додатку. Після підтвердження успішного переказу токенів, продовжуйте з подальшими операціями з великою сумою.
!
Висновок
Безпека апаратного гаманця залежить не лише від його основного технологічного дизайну, але й від безпечних каналів придбання та правильних звичок користувачів. Фізична безпека є абсолютно незаперечною складовою захисту цифрових токенів.
У світі криптовалют, де існують як можливості, так і ризики, обов'язково слід дотримуватися принципу "нульової довіри" в питаннях безпеки — не довіряйте жодним каналам, особам або пристроям, які не пройшли офіційну перевірку. Будьте надзвичайно обережними з будь-якою "безкоштовною обідньою пропозицією", це перша і найважливіша лінія захисту ваших токенів.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
13 лайків
Нагородити
13
5
Репост
Поділіться
Прокоментувати
0/400
ZKProofEnthusiast
· 17год тому
Все ж hodl найнадійніше!
Переглянути оригіналвідповісти на0
UnluckyMiner
· 08-09 19:34
Гаманець не надійний, зараз дуже погано.
Переглянути оригіналвідповісти на0
NeverVoteOnDAO
· 08-09 19:30
Холодний гаманець також недостатньо холодний, краще сховати папірець.
Переглянути оригіналвідповісти на0
NFTFreezer
· 08-09 19:26
Гаманець занадто складний, краще зберігати на централізованій біржі.
Переглянути оригіналвідповісти на0
GasBandit
· 08-09 19:23
Зітхання, знову обдурюють невдахи за допомогою б/у гаманців
апаратний гаманець безпеки: запобігання технічним атакам та замилюванню очей з предустановленими мнемонічними фразами
Захистіть свій апаратний гаманець: поширені атаки замилювання очей та керівництво з запобігання
У сфері криптовалют безпека завжди є головним питанням. Щоб захистити цифрові активи, багато людей обирають використовувати апаратний гаманець (також відомий як холодний гаманець) — фізичний безпечний пристрій, який може офлайн генерувати та зберігати приватні ключі.
Основна функція апаратного гаманця полягає в тому, щоб зберігати "приватний ключ", що контролює ваші токени, в офлайн-режимі на безпечному чіпі. Усі підтвердження та підписи транзакцій виконуються всередині пристрою, приватний ключ ніколи не контактує з підключеними до мережі мобільними пристроями або комп'ютерами. Це значно знижує ризик крадіжки приватного ключа зловмисниками через мережеві віруси, трояни та інші способи.
Однак, передумовою цієї безпеки є те, що ваш апаратний гаманець є надійним і не був атакований. Якщо зловмисник вже встиг змінити його до того, як ви отримали апаратний гаманець, тоді ця безпечна фортеця для зберігання приватних ключів з самого початку втратила свою захисну функцію і стала "пасткою", готовою до збору улову шахраєм.
Ця стаття представить два поширені типи атак на апаратні гаманці, а також надасть вам набір рекомендацій щодо безпеки.
Типи атак на апаратні гаманці
В даний час атаки на апаратні гаманці в основному поділяються на два типи: технічні атаки та схеми з попередньо заданими мнемонічними фразами.
технічна атака
Центр цього нападу полягає у фізичній модифікації апарата гаманця. Зловмисники використовують технічні засоби, такі як заміна внутрішнього чіпа, встановлення шкідливих програм, які можуть таємно записувати або надсилати мнемонічні фрази тощо. Ці зламані пристрої зовні можуть не відрізнятися від оригінальних, але їхні основні функції (тобто офлайн-генерація, офлайн-зберігання приватних ключів) були захоплені.
Зловмисники зазвичай маскуються під відомі проекти, бренди апаратних гаманців або KOL в соціальних мережах, під виглядом безкоштовної заміни, пересилання призів тощо, надсилаючи атаковані апаратні гаманці як "подарунки" жертвам.
У 2021 році користувачі повідомили, що отримали "безкоштовну заміну" апаратного гаманця, що нібито надіслали офіційні представники певного бренду. Коли він використав свої мнемонічні фрази для відновлення гаманця на пристрої, токени вартістю 78 000 доларів були вкрадені. Після аналізу було виявлено, що цей пристрій був заражений шкідливим ПЗ, яке могло красти мнемонічні фрази під час введення користувачем.
замилювання очей
Це нині найбільш поширене та найпростіше для людей, щоб потрапити в замилювання очей. Воно не залежить від складних технологій, а використовує інформаційну різницю та психологію користувачів. Його суть полягає в тому, що шахраї ще до того, як ви отримаєте апаратний гаманець, вже «попередньо» налаштували для вас набір мнемонічних фраз, через підроблені інструкції та шахрайські промови спонукаючи користувачів безпосередньо використовувати цей гаманець.
Шахраї зазвичай продають апаратні гаманці за низькими цінами через неофіційні канали (такі як соціальні мережі, платформи прямих трансляцій або вторинні ринки). Як тільки користувачі не перевіряють інформацію або прагнуть заощадити, вони легко стають жертвами замилювання очей.
Шахраї заздалегідь закуповують оригінальні апаратні гаманці з офіційних каналів, після отримання гаманця розпаковують його та виконують зловмисні дії — активують пристрій, генерують та записують мнемонічну фразу гаманця, підробляють інструкцію та картку продукту. Потім, використовуючи професійне пакувальне обладнання та матеріали, повторно упаковують його, підробляючи як "новий, не розпакований" апаратний гаманець для продажу на електронних платформах.
Наразі спостерігаються два види замилювання очей з використанням попередньо встановлених мнемонічних фраз:
За замовчуванням мнемонічна фраза: у упаковці безпосередньо надається друкована картка з мнемонічною фразою та спонукає користувача використовувати цю мнемонічну фразу для відновлення гаманця.
Попередньо встановлений PIN-код (код розблокування апаратного пристрою): надається картка для стирання, яка стверджує, що, зішкрябавши покриття, можна побачити унікальний "PIN-код" або "код активації пристрою", і неправдиво стверджує, що апаратний гаманець не потребує мнемонічної фрази.
Якщо користувач стикається з "схемою з попередньо встановленими мнемонічними словами", на перший погляд користувач має апаратний гаманець, але насправді не контролює гаманець. Контроль над цим гаманцем (мнемонічні слова) завжди залишається в руках шахрая. Після цього операція з переказу всіх токенів на цей гаманець не що інше, як покласти токени в кишеню шахрая.
!
Кейс користувача
Пан Ван придбав апаратний гаманець на одній з платформ коротких відео. Коли пристрій прийшов, упаковка була в ідеальному стані, а знаки автентичності також виглядали неушкодженими. Пан Ван розпакував упаковку і виявив, що інструкція закликає його використовувати попередньо встановлений PIN-код для розблокування пристрою. Він трохи здивувався: "Чому я не можу самостійно встановити PIN-код? І чому протягом усього процесу мені не було запропоновано зробити резервну копію мнемонічної фрази?"
Він одразу зв'язався з службою підтримки магазину для консультації. Служба підтримки пояснила: "Це наш новий поколінь безкоштовного апаратного гаманця, що використовує найновіші технології безпеки. Щоб полегшити користування, ми встановили унікальний PIN-код безпеки для кожного пристрою, який можна використовувати після розблокування, що робить його більш зручним і безпечним."
Ці слова розвіяли сумніви пана Ваня. Він, слідуючи інструкціям у посібнику, використав попередньо встановлений PIN-код для завершення спарювання та поступово перевів кошти до нового Гаманець.
Спочатку кілька днів отримання/перекази проходили нормально. Однак майже в момент, коли він перевів велику кількість токенів, всі токени з гаманця були переказані на невідому адресу.
Пан Ван не міг зрозуміти, і лише після зв'язку з офіційним представником бренду для перевірки він раптом усвідомив: те, що він купив, насправді є пристроєм, який був попередньо активований і налаштований з допоміжними словами. Отже, цей апаратний гаманець з самого початку не належав йому, а завжди контролювався шахраями. Так званий "новий покоління холодного гаманця без допоміжних слів" - це всього лише обман шахраїв, щоб замилити очі.
!
Як захистити свій апаратний гаманець
Щоб запобігти ризикам на всіх етапах, від джерела до використання, будь ласка, ознайомтеся з наступним списком перевірки безпеки:
Перший крок: купівля та перевірка товару через офіційні канали
Другий крок: самостійно згенерувати та зробити резервну копію мнемонічної фрази
Третій крок: тестування малих токенів
Перед внесенням великої суми токенів рекомендується спершу здійснити повний тест отримання та переказу з невеликою сумою токенів. Коли підключаєте програмний гаманець для підписання переказу, уважно перевіряйте інформацію на екрані апаратного пристрою (таку як валюта, кількість переказу, адреса отримувача), щоб впевнитися, що вона збігається з даними, що відображаються в додатку. Після підтвердження успішного переказу токенів, продовжуйте з подальшими операціями з великою сумою.
!
Висновок
Безпека апаратного гаманця залежить не лише від його основного технологічного дизайну, але й від безпечних каналів придбання та правильних звичок користувачів. Фізична безпека є абсолютно незаперечною складовою захисту цифрових токенів.
У світі криптовалют, де існують як можливості, так і ризики, обов'язково слід дотримуватися принципу "нульової довіри" в питаннях безпеки — не довіряйте жодним каналам, особам або пристроям, які не пройшли офіційну перевірку. Будьте надзвичайно обережними з будь-якою "безкоштовною обідньою пропозицією", це перша і найважливіша лінія захисту ваших токенів.
!