Guide de sécurité pour l'utilisation du portefeuille matériel : risques courants et conseils de protection

Récemment, une affaire impliquant le vol d'environ 50 millions de yuans d'actifs cryptographiques a suscité l'attention. Les victimes affirment avoir acheté un portefeuille matériel falsifié, entraînant des pertes financières considérables. Cet événement met à nouveau en lumière les risques potentiels liés à l'utilisation des portefeuilles matériels. Cet article se penchera sur les trois étapes clés de l'achat, de l'utilisation et du stockage des portefeuilles matériels, en analysant en détail les pièges courants et en fournissant des conseils pratiques de protection.

Les risques lors de l'achat

Lors de l'achat d'un portefeuille matériel, il existe principalement deux types de risques :

1. Appareils contrefaits : l'apparence est identique à celle du produit authentique, mais le firmware interne a été compromis par un backdoor.
2. Appareils réels associés à des incitations malveillantes : les attaquants exploitent les zones d'ignorance des utilisateurs en vendant des appareils "pré-initialisés" par des canaux non officiels, ou en incitant à télécharger des applications falsifiées.

Un cas typique est le suivant : un utilisateur achète un portefeuille matériel sur une plateforme de commerce électronique et découvre que le manuel ressemble à un ticket à gratter. En réalité, l'attaquant a préalablement activé l'appareil et obtenu la phrase de récupération, puis a réemballé le tout et vendu avec un manuel falsifié. Dès que l'utilisateur active l'appareil et transfère des actifs selon les instructions, les fonds sont immédiatement transférés.

Une méthode d'attaque plus discrète est la falsification au niveau du firmware. Des dispositifs apparemment normaux peuvent avoir des portes dérobées implantées à l'intérieur, et une fois que l'utilisateur dépose des actifs, le programme malveillant caché peut se déclencher silencieusement, extrayant à distance la clé privée ou signant des transactions pour transférer les actifs.

Points de risque lors de l'utilisation

Piège de phishing dans l'autorisation de signature

Bien que le portefeuille matériel puisse isoler la clé privée, il ne peut pas entièrement éviter les risques de phishing liés à la "signature aveugle". Les utilisateurs peuvent, à leur insu, autoriser des transferts vers des adresses inconnues ou exécuter des contrats intelligents comportant une logique malveillante.

La stratégie consiste à choisir un portefeuille matériel qui prend en charge la fonction "ce que vous voyez est ce que vous signez", afin de garantir que chaque information de transaction soit clairement affichée sur l'écran de l'appareil et confirmée point par point.

attaque de phishing déguisée en "officiel"

Les attaquants se font souvent passer pour des identités officielles pour tromper. Par exemple, certains utilisateurs ont reçu des courriels de phishing prétendument provenant d'une célèbre marque de portefeuille matériel, utilisant un nom de domaine très similaire à celui de l'officiel. Le courriel peut prétendre nécessiter une mise à jour ou une vérification de sécurité, incitant les utilisateurs à scanner un code QR qui les redirige vers un site de phishing.

De plus, certains utilisateurs ont reçu des colis de livraison falsifiés contenant des portefeuilles matériels altérés et des lettres falsifiées officielles, prétendant remplacer des "dispositifs plus sûrs" en réponse à un précédent incident de fuite de données. Ces dispositifs contiennent en réalité des programmes malveillants destinés à voler les phrases de récupération des utilisateurs.

attaque de l'homme du milieu

Bien que le portefeuille matériel puisse protéger les clés privées, il est toujours nécessaire d'utiliser une application de portefeuille sur un téléphone ou un ordinateur, ainsi que des canaux de communication tels que USB, Bluetooth ou QR code pour effectuer des transactions. Si ces étapes sont contrôlées, un attaquant peut silencieusement modifier l'adresse de réception ou falsifier des informations de signature.

Une équipe de sécurité a découvert qu'un certain portefeuille logiciel, lorsqu'il se connecte à un portefeuille matériel spécifique, lit immédiatement la clé publique interne de l'appareil et calcule l'adresse, ce processus manquant de confirmation ou d'indication matérielle, créant des conditions propices à une attaque de l'homme du milieu.

Conseils de stockage et de sauvegarde

Il est crucial de garder les mots de passe mnémotechniques en toute sécurité. Ne les stockez ou ne les transférez jamais sur des appareils et des plateformes connectés, y compris les mémos, les albums, les e-mails, les notes en nuage, etc.

Il est recommandé d'écrire les mots de passe sur du papier physique et de les stocker dans plusieurs endroits sûrs. Pour les actifs de grande valeur, il peut être envisagé d'utiliser des plaques métalliques résistantes au feu et à l'eau. En outre, vérifiez régulièrement l'environnement de stockage des mots de passe pour garantir leur sécurité et leur disponibilité.

Résumé

Le portefeuille matériel, en tant qu'outil important de protection des actifs, voit sa sécurité dépendre dans une large mesure de la manière dont l'utilisateur l'utilise. De nombreuses arnaques ne consistent pas à attaquer directement l'appareil, mais à inciter l'utilisateur à céder volontairement le contrôle de ses actifs par des moyens d'ingénierie sociale. Face à ces risques, nous recommandons :

1. Achetez le portefeuille matériel uniquement par les canaux officiels.
2. Assurez-vous que l'appareil acheté est dans un état non activé. En cas d'anomalie, cessez immédiatement de l'utiliser et contactez le support officiel.
3. Les opérations clés doivent être effectuées par l'utilisateur lui-même, y compris la définition du code PIN, la génération du code de liaison, la création d'une adresse et la sauvegarde de la phrase de récupération.
4. Lors de la première utilisation, il est conseillé de créer un nouveau portefeuille trois fois de suite, de noter les mnémoniques générés et les adresses correspondantes, et de s'assurer que les résultats ne se répètent pas à chaque fois.

En respectant strictement ces directives de sécurité, les utilisateurs peuvent minimiser les risques potentiels liés à l'utilisation d'un portefeuille matériel et mieux protéger la sécurité de leurs actifs cryptographiques.