Посібник з безпечного використання апаратного гаманця: Загальні ризики та рекомендації щодо захисту

Нещодавно випадок, що стосується викрадення близько 50 мільйонів юанів криптоактивів, привернув увагу. Жертви стверджують, що вони купили підроблений апаратний гаманець, що призвело до значних втрат активів. Цей інцидент знову підкреслює потенційні ризики при використанні апаратних гаманців. У цій статті буде розглянуто три ключові етапи: покупка, використання та зберігання апаратних гаманців, детально проаналізовано поширені пастки та надано практичні рекомендації щодо захисту.

Небезпеки на етапі покупки

При купівлі апаратного гаманця існує два основних види ризиків:

1. Підроблені пристрої: зовнішній вигляд не відрізняється від оригіналу, але внутрішнє ПЗ було заражене бекдором.
2. Реальні пристрої з шкідливим керівництвом: зловмисники використовують сліпі зони знань користувачів, продаючи "попередньо ініційовані" пристрої через неофіційні канали, або спонукаючи до завантаження підроблених супутніх застосунків.

Типовим випадком є: користувач купує апаратний гаманець на електронній комерційній платформі, виявляючи, що інструкція схожа на лотерейний білет. Насправді, зловмисники заздалегідь активували пристрій та отримали мнемонічну фразу, після чого повторно упакували його та продали з підробленою інструкцією. Як тільки користувач активує пристрій за інструкцією та переведе активи, кошти негайно зникають.

Більш прихованим методом атаки є модифікація на рівні прошивки. На вигляд нормальний пристрій може вже містити приховані бекдори, які, як тільки користувач зберігає активи, непомітно активують приховану шкідливу програму для віддаленого вилучення приватного ключа або підписання транзакцій, що призводить до переміщення активів.

Ризики під час використання

Пастка фішингу в авторизації підпису

Хоча апаратні гаманці можуть ізолювати приватні ключі, вони не можуть повністю уникнути ризику фішингу, пов'язаного з "сліпим підписом". Користувачі можуть, не усвідомлюючи цього, авторизувати переказ на незнайомецьку адресу або виконати смарт-контракт з шкідливою логікою.

Стратегією реагування є вибір апаратного гаманця, який підтримує функцію "що бачиш, те і підписуєш", щоб забезпечити чітке відображення інформації про кожну транзакцію на екрані пристрою з подальшим підтвердженням.

Фішинг-атака, що маскується під "офіційний"

Зловмисники часто видають себе за офіційні особи для обману. Наприклад, користувачі отримали фішингові електронні листи, що, ймовірно, надійшли від відомого бренду апаратних гаманців, використовуючи домен, дуже схожий на офіційний. У листі може стверджуватися, що потрібно оновлення або проходження безпечної перевірки, щоб спонукати користувачів просканувати QR-код, який перенаправляє на фішинговий сайт.

Більш того, деякі користувачі отримали підроблені посилки, що містять модифіковані апаратні гаманці та офіційні підроблені листи, які стверджують, що для вирішення попередньої проблеми з витоком даних було змінено "безпечніший новий пристрій". Ці пристрої насправді були заражені шкідливим програмним забезпеченням, що має на меті викрадення мнемонічних фраз користувачів.

атака посередника

Хоча апаратний гаманець може захистити приватний ключ, для завершення транзакції все ще потрібно використовувати додаток гаманця на телефоні або комп'ютері, а також канали зв'язку, такі як USB, Bluetooth або QR-код. Якщо ці етапи контролюються, зловмисник може непомітно змінити адресу отримувача або підробити інформацію про підпис.

Деяка безпекова команда виявила, що коли певний програмний гаманець підключається до конкретного апаратного гаманця, він відразу читає публічний ключ з внутрішнього пристрою та обчислює адресу, цей процес не має апаратного підтвердження або вказівок, що створює умови для атаки посередника.

Рекомендації щодо зберігання та резервного копіювання

Належне зберігання мнемонічної фрази має важливе значення. Ніколи не зберігайте або не передавайте її на жодних підключених до інтернету пристроях та платформах, включаючи нотатки, альбоми, електронну пошту, хмарні нотатки тощо.

Рекомендується записати мнемонічну фразу від руки на папері та зберігати в кількох безпечних місцях. Для активів високої вартості можна розглянути використання вогнестійкої та водостійкої металевої пластини. Водночас, регулярно перевіряйте умови зберігання мнемонічної фрази, щоб забезпечити її безпеку та доступність.

Підсумок

Апаратний гаманець як важливий інструмент захисту активів, його безпека в значній мірі залежить від способу використання користувачем. Багато схем шахрайства не є прямим зламаним пристроєм, а скоріше через методи соціальної інженерії спонукають користувачів добровільно передати контроль над активами. Щодо вказаних ризиків, ми рекомендуємо:

1. Купуйте апаратний гаманець тільки через офіційні канали.
2. Переконайтеся, що придбаний пристрій не активовано. Якщо виявите аномалії, негайно припиніть використання та зв'яжіться з офіційною службою.
3. Ключові операції повинні виконуватися користувачем особисто, включаючи налаштування PIN-коду, генерацію коду прив'язки, створення адреси та резервне копіювання мнемонічної фрази тощо.
4. Під час першого використання рекомендується тричі безпосередньо створити гаманець, зафіксувавши згенеровані мнемонічні фрази та відповідні адреси, щоб забезпечити неповторність результатів.

Дотримуючись цих суворих правил безпеки, користувачі можуть звести до мінімуму потенційні ризики при використанні апаратного гаманця та краще захистити свої криптоактиви.