Руководство по безопасному использованию аппаратного кошелька: распространенные риски и рекомендации по защите

В последнее время внимание привлекло дело о краже криптоактивов на сумму около 50 миллионов юаней. Пострадавшие утверждают, что приобрели измененный аппаратный кошелек, что привело к значительным потерям активов. Этот инцидент вновь подчеркивает потенциальные риски, связанные с использованием аппаратных кошельков. В данной статье будет подробно проанализировано три ключевых этапа: покупка, использование и хранение аппаратных кошельков, а также будут рассмотрены распространенные ловушки и даны практические советы по защите.

Риски на этапе покупки

При покупке аппаратного кошелька существуют две основные категории рисков:

1. Поддельные устройства: внешне не отличимы от оригинала, но внутренняя прошивка была заражена задней дверцей.
2. Реальные устройства с вредоносным управлением: злоумышленники используют слепые зоны знаний пользователей, продавая "предварительно инициализированные" устройства через неофициальные каналы или побуждая скачать поддельные сопутствующие приложения.

Типичный случай: пользователь покупает аппаратный кошелек на платформе электронной коммерции и обнаруживает, что инструкция похожа на скретч-карту. На самом деле злоумышленник заранее активировал устройство и получил мнемоническую фразу, а затем повторно запаковал его и продал с поддельной инструкцией. Как только пользователь активирует устройство и переведет активы, средства немедленно переводятся.

Более скрытные методы атаки - это модификация на уровне прошивки. Внутри устройства, которое выглядит нормальным, может быть встроен задний ход; как только пользователь внесет активы, скрытая вредоносная программа может незаметно активироваться, удаленно извлекая частные ключи или подписывая транзакции, перемещая активы.

Риски в процессе использования

Фишинговая ловушка в подписи авторизации

Несмотря на то, что аппаратный кошелек может изолировать приватные ключи, он не может полностью избежать рисков фишинга, связанных с "слепой подписью". Пользователи могут неосознанно авторизовать перевод на незнакомый адрес или выполнить смарт-контракт с вредоносной логикой.

Стратегия реагирования заключается в выборе аппаратного кошелька, поддерживающего функцию "что видишь, то и подписываешь", чтобы вся информация о транзакциях могла быть четко отображена на экране устройства и подтверждена по пунктам.

Ловушка, маскирующаяся под "официальную"

Злоумышленники часто выдают себя за официальные лица для обмана. Например, некоторые пользователи получили подозрительные фишинговые письма, якобы от известного бренда аппаратных кошельков, использующие доменное имя, очень похожее на официальное. В письме может утверждаться, что необходимо выполнить обновление или пройти проверку безопасности, что побуждает пользователя отсканировать QR-код и перейти на фишинговый сайт.

! Руководство по безопасности Web3: Перечень распространенных подводных камней аппаратных кошельков

Более того, некоторые пользователи получили поддельные курьерские посылки, содержащие модифицированные аппаратные кошельки и официальные поддельные письма, утверждающие, что они были заменены на "более безопасные новые устройства" в ответ на предыдущие утечки данных. Эти устройства на самом деле были заражены вредоносными программами, предназначенными для кражи мнемонических фраз пользователей.

атака посредника

Хотя аппаратный кошелек может защитить приватные ключи, для завершения транзакции все равно необходимо использовать приложения кошелька на мобильном телефоне или компьютере, а также каналы связи, такие как USB, Bluetooth или QR-коды. Если эти этапы будут контролироваться, злоумышленник сможет незаметно изменить адрес получения или подделать информацию о подписи.

Некоторой команде безопасности удалось обнаружить, что при подключении определенного программного кошелька к аппаратному кошельку устройство сразу считывает внутренний открытый ключ и вычисляет адрес, при этом этот процесс не требует аппаратного подтверждения или уведомления, что создает условия для атаки «человек посередине».

Рекомендации по хранению и резервному копированию

Хранение мнемонической фразы крайне важно. Никогда не храните и не передавайте её на каких-либо устройствах и платформах, подключенных к интернету, включая заметки, фотоальбомы, электронную почту, облачные заметки и т.д.

Рекомендуется записать мнемоническую фразу от руки на бумаге и хранить в нескольких безопасных местах. Для активов высокой ценности можно рассмотреть использование металлической пластины, устойчивой к огню и воде. Также регулярно проверяйте условия хранения мнемонической фразы, чтобы обеспечить их безопасность и доступность.

Итог

аппаратный кошелек как важный инструмент защиты активов, его безопасность в значительной степени зависит от способа использования пользователем. Многие мошенничества не направлены на непосредственное взлом устройства, а скорее на использование методов социальной инженерии для побуждения пользователя к передаче контроля над активами. В связи с вышеупомянутыми рисками, мы рекомендуем:

1. Покупайте аппаратный кошелек только через официальные каналы.
2. Убедитесь, что приобретенное устройство находится в неактивированном состоянии. При обнаружении аномалий немедленно прекратите использование и свяжитесь с официальной службой.
3. Ключевые операции должны выполняться пользователем лично, включая настройку PIN-кода, генерацию кода привязки, создание адреса и резервное копирование мнемонической фразы.
4. При первом использовании рекомендуется трижды полностью создать новый Кошелек, записать сгенерированные мнемонические фразы и соответствующие адреса, чтобы гарантировать, что каждый результат не повторяется.

Следуя строгим правилам безопасности, пользователи могут минимизировать потенциальные риски при использовании аппаратного кошелька и лучше защитить безопасность своих криптоактивов.