Анализ рисков безопасности аппаратных кошельков для криптоактивов
Криптоактивы аппаратный кошелек является специальным устройством для хранения цифровых активов, которое рассматривается как ключевой инструмент для защиты шифрования активов. Эти устройства используют встроенные защитные чипы для офлайн-хранения приватных ключей, обеспечивая пользователям полный контроль над их криптоактивами. Аппаратные кошельки обычно используются в оффлайн-режиме, что дополнительно снижает риск сетевых атак.
Тем не менее, из-за недостатка знаний многих инвесторов о аппаратных кошельках по-прежнему происходят многочисленные мошеннические действия в отношении новичков, что приводит к краже активов, хранящихся в аппаратных кошельках. В этой статье подробно рассматриваются два распространенных метода кражи токенов из аппаратных кошельков: мошенничество с инструкциями и маскировка модификаций устройства.
Мошенничество с инструкциями
Суть этого способа кражи токенов заключается в использовании незнания обычных инвесторов о методах использования аппаратного кошелька. Заменяя поддельные инструкции, мошенники вводят жертву в заблуждение, побуждая ее переводить средства на фишинговый адрес. Жертвы, покупая аппаратный кошелек из неофициальных источников, активируют устройство с помощью "начального пароля", указанного в "инструкции", и сохраняют "сид-фразу", напечатанную в "инструкции", после чего переводят большие суммы на адрес кошелька, что в конечном итоге приводит к краже активов.
Эта ситуация не связана с взломом самого аппаратного кошелька, а заключается в том, что преступники заранее активируют устройство для получения адреса и мнемонической фразы, подделывают ложные инструкции и переупаковывают его, а затем продают уже активированный аппаратный кошелек жертвам через неофициальные каналы. Как только целевой пользователь переводит криптоактивы на этот адрес, он попадает в заранее подготовленную ловушку мошенников.
Некоторый известный производитель аппаратных кошельков выпустил предупреждение, в котором указал, что некоторые неофициальные магазины при продаже "активированных" аппаратных кошельков одновременно изменяют инструкции по использованию, вводя пользователей в заблуждение, чтобы те перевели средства на заранее созданные мошенниками адреса кошельков. Это подчеркивает важность распознавания официальных каналов продаж.
Обман с маскировкой оборудования
Пользователь аппаратного кошелька одного бренда получил посылку, хотя не делал заказа. Внутри находился совершенно новый аппаратный кошелек и письмо. В письме говорится, что из-за кибератаки компания столкнулась с утечкой данных пользователей и отправила новые устройства аппаратного кошелька пострадавшим клиентам, призывая пользователей заменить устройства для обеспечения безопасности.
Тем не менее, подлинность этого письма вызывает сомнения. Генеральный директор компании-бренда четко заявил, что компания не предоставит никакой компенсации за случайное раскрытие личных данных. Этот пользователь также считает, что это мошенничество, он поделился дополнительными изображениями, демонстрирующими очевидные следы вмешательства внутри пластикового контейнера аппаратного кошелька.
Кроме того, одна команда безопасности сообщила о случае подделки аппаратного кошелька другой марки. Жертва купила аппаратный кошелек через неофициальные каналы, но внутреннее программное обеспечение устройства было заменено злоумышленниками, что позволило получить доступ к шифрованным активам пользователя и осуществить кражу токенов.
Рекомендации по безопасному использованию
Из приведенного выше примера видно, что атаки на цепочку поставок аппаратного кошелька уже довольно распространены, и обычные инвесторы, и производители аппаратных кошельков должны оставаться в состоянии высокой готовности. Правильное использование может значительно снизить риск кражи токенов:
Строго покупайте аппаратные устройства через официальные каналы, любой аппаратный кошелек, приобретенный через неофициальные каналы, несет в себе риски безопасности.
Убедитесь, что приобретенный кошелек не активирован. Официально продаваемые аппаратные устройства должны быть неактивированы. Если пользователь обнаружит, что устройство было активировано после включения, или в инструкции упоминается "начальный пароль" или "умолчательный адрес", следует немедленно прекратить использование и сообщить об этом в официальную службу поддержки.
Убедитесь, что все ключевые операции выполняются самим пользователем. За исключением активации устройства, установка PIN-кода, генерация кода привязки, создание адреса и резервное копирование и т. д. должны выполняться пользователем лично, любая операция, выполняемая третьей стороной, может привести к риску потери средств. В нормальных условиях при первом использовании аппаратного кошелька активация устройства, создание кошелька, резервное копирование мнемонической фразы и установка PIN-кода должны выполняться пользователем самостоятельно.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
16 Лайков
Награда
16
8
Поделиться
комментарий
0/400
YieldHunter
· 07-16 17:33
смешно... аппаратные кошельки не так безопасны, как ты думаешь, если честно
Посмотреть ОригиналОтветить0
OptionWhisperer
· 07-15 00:22
Уметь обманывать - это твое мастерство.
Посмотреть ОригиналОтветить0
ZKSherlock
· 07-14 09:59
на самом деле... базовые предположения о доверии все еще применимы, смх
Анализ угроз безопасности аппаратного кошелька: мошенничество с инструкцией и схемы маскировки устройства
Анализ рисков безопасности аппаратных кошельков для криптоактивов
Криптоактивы аппаратный кошелек является специальным устройством для хранения цифровых активов, которое рассматривается как ключевой инструмент для защиты шифрования активов. Эти устройства используют встроенные защитные чипы для офлайн-хранения приватных ключей, обеспечивая пользователям полный контроль над их криптоактивами. Аппаратные кошельки обычно используются в оффлайн-режиме, что дополнительно снижает риск сетевых атак.
Тем не менее, из-за недостатка знаний многих инвесторов о аппаратных кошельках по-прежнему происходят многочисленные мошеннические действия в отношении новичков, что приводит к краже активов, хранящихся в аппаратных кошельках. В этой статье подробно рассматриваются два распространенных метода кражи токенов из аппаратных кошельков: мошенничество с инструкциями и маскировка модификаций устройства.
Мошенничество с инструкциями
Суть этого способа кражи токенов заключается в использовании незнания обычных инвесторов о методах использования аппаратного кошелька. Заменяя поддельные инструкции, мошенники вводят жертву в заблуждение, побуждая ее переводить средства на фишинговый адрес. Жертвы, покупая аппаратный кошелек из неофициальных источников, активируют устройство с помощью "начального пароля", указанного в "инструкции", и сохраняют "сид-фразу", напечатанную в "инструкции", после чего переводят большие суммы на адрес кошелька, что в конечном итоге приводит к краже активов.
Эта ситуация не связана с взломом самого аппаратного кошелька, а заключается в том, что преступники заранее активируют устройство для получения адреса и мнемонической фразы, подделывают ложные инструкции и переупаковывают его, а затем продают уже активированный аппаратный кошелек жертвам через неофициальные каналы. Как только целевой пользователь переводит криптоактивы на этот адрес, он попадает в заранее подготовленную ловушку мошенников.
Некоторый известный производитель аппаратных кошельков выпустил предупреждение, в котором указал, что некоторые неофициальные магазины при продаже "активированных" аппаратных кошельков одновременно изменяют инструкции по использованию, вводя пользователей в заблуждение, чтобы те перевели средства на заранее созданные мошенниками адреса кошельков. Это подчеркивает важность распознавания официальных каналов продаж.
Обман с маскировкой оборудования
Пользователь аппаратного кошелька одного бренда получил посылку, хотя не делал заказа. Внутри находился совершенно новый аппаратный кошелек и письмо. В письме говорится, что из-за кибератаки компания столкнулась с утечкой данных пользователей и отправила новые устройства аппаратного кошелька пострадавшим клиентам, призывая пользователей заменить устройства для обеспечения безопасности.
Тем не менее, подлинность этого письма вызывает сомнения. Генеральный директор компании-бренда четко заявил, что компания не предоставит никакой компенсации за случайное раскрытие личных данных. Этот пользователь также считает, что это мошенничество, он поделился дополнительными изображениями, демонстрирующими очевидные следы вмешательства внутри пластикового контейнера аппаратного кошелька.
Кроме того, одна команда безопасности сообщила о случае подделки аппаратного кошелька другой марки. Жертва купила аппаратный кошелек через неофициальные каналы, но внутреннее программное обеспечение устройства было заменено злоумышленниками, что позволило получить доступ к шифрованным активам пользователя и осуществить кражу токенов.
Рекомендации по безопасному использованию
Из приведенного выше примера видно, что атаки на цепочку поставок аппаратного кошелька уже довольно распространены, и обычные инвесторы, и производители аппаратных кошельков должны оставаться в состоянии высокой готовности. Правильное использование может значительно снизить риск кражи токенов:
Строго покупайте аппаратные устройства через официальные каналы, любой аппаратный кошелек, приобретенный через неофициальные каналы, несет в себе риски безопасности.
Убедитесь, что приобретенный кошелек не активирован. Официально продаваемые аппаратные устройства должны быть неактивированы. Если пользователь обнаружит, что устройство было активировано после включения, или в инструкции упоминается "начальный пароль" или "умолчательный адрес", следует немедленно прекратить использование и сообщить об этом в официальную службу поддержки.
Убедитесь, что все ключевые операции выполняются самим пользователем. За исключением активации устройства, установка PIN-кода, генерация кода привязки, создание адреса и резервное копирование и т. д. должны выполняться пользователем лично, любая операция, выполняемая третьей стороной, может привести к риску потери средств. В нормальных условиях при первом использовании аппаратного кошелька активация устройства, создание кошелька, резервное копирование мнемонической фразы и установка PIN-кода должны выполняться пользователем самостоятельно.