Фон

Гаманці відіграють важливу роль у світі Web3. Це засоби зберігання цифрових активів та необхідні інструменти для користувачів для здійснення транзакцій та доступу до DApps. попереднє питання У Новачка з безпеки Web3 ми в основному представили категоризацію гаманців та перерахували загальні точки ризику, щоб допомогти читачам ознайомитися з основними концепціями безпеки гаманця. З популярністю криптовалюти та технології блокчейну кіберзлочинці також націлюються на кошти користувачів Web3. Згідно з отриманою формою вкраденого від команди з безпеки SlowMist можна побачити, що багато користувачів були вкрадені через завантаження/покупку фальшивих гаманців. Тому в цьому випуску ми дослідимо, чому користувачі можуть завантажувати/купувати фальшиві гаманці та ризики витоку приватного ключа/сімени. Крім того, ми надамо серію рекомендацій з безпеки, щоб допомогти користувачам захистити свої кошти.

Завантажити фейкові гаманці

Оскільки багато мобільних телефонів не підтримують Google Play Store або через проблеми з мережею, багато людей завантажують гаманці з інших джерел, наприклад:

Сайт завантажень від третіх сторін

Деякі користувачі завантажуватимуть гаманці через сайти завантаження від третіх осіб, такі як apkcombo, apkpure, тощо. Ці сайти часто рекламують, що їхні програми завантажуються з дзеркал магазину Google Play, але наскільки це безпечно? Команда з безпеки SlowMist провела розслідування та аналіз джерел Web3 фальшивих гаманців від третіх осіб, і результати показали, що версія гаманця, надана сайтом для завантаження від третіх осіб apkcombo, не існує. Якщо користувач створює гаманець або імпортує фразу для відновлення гаманця на початковому інтерфейсі, фальшивий гаманець відправить фразу для відновлення та іншу інформацію на сервер фішингового веб-сайту.

Пошукова система

Рейтинги результатів пошукових систем можуть бути маніпульовані, що призводить до випадків, коли фальшиві офіційні веб-сайти посідають вищі позиції, ніж справжні. Тому не рекомендується користувачам безпосередньо шукати гаманці через пошукові системи, а потім клацати на посилання з високим рейтингом для завантаження гаманців. Це дуже ймовірно призведе до доступу до фальшивого офіційного веб-сайту та завантаження фальшивого гаманця. Коли користувачі не впевнені в URL-адресі офіційного веб-сайту, важко визначити, чи є це фальшивий веб-сайт лише на підставі вигляду сторінки відображення веб-сайту. Це тому, що шахраї створюють фальшиві веб-сайти, які сильно нагадують справжні офіційні веб-сайти, що ускладнює відмінити одне від іншого. Тому також не рекомендується користувачам клацати на посилання, що діляться іншими користувачами на платформах, таких як Twitter або інші платформи, оскільки це часто є фішинговими посиланнями.

Родичі та друзі/Шахрайство з різанням свиней

У темному лісі блокчейну збереження нульового довіри є вирішальним. Хоча ваші друзі та родина можуть не мати зловмисних намірів до вас, гаманці, які вони завантажують, можуть бути фальшивими, і їх можуть ще не скомпрометувати. Тому, якщо ви завантажите гаманець через посилання/QR-код, який вони поділяться, існує можливість завантаження фальшивого гаманця.

Команда з безпеки SlowMist отримала численні звіти про випадки обману, пов'язані з крадіжкою коштів. Шахраї часто встановлюють довіру з потерпілими, направляють їх на інвестиції в криптовалюту, а потім надсилають посилання на завантаження фальшивих гаманців. У кінцевому підсумку потерпілі втрачають не лише свої кошти, а й довіру. Тому користувачам слід залишатися бджолами при взаємодії з онлайн-знайомими, особливо коли вони закликають до інвестицій або надсилають підозрілі посилання. Не довіряйте їм у таких ситуаціях.

Telegram

У Telegram, шукаючи відомі гаманці, ми знайшли кілька фальшивих офіційних груп. Аферисти стверджували, що група є офіційним каналом певного гаманця, і навіть нагадували користувачам у групі шукати лише офіційне посилання на веб-сайт. Однак ці посилання є фальшивими.

App Магазин

Важливо нагадати вам, що додатки в офіційному магазині додатків не обов'язково є безпечними. Деякі злочинці намагаються змусити користувачів завантажувати шахрайські додатки, купуючи ключові рейтинги для перенаправлення трафіку. Рекомендується читачам бути обережними.

Так що користувачі можуть зробити, щоб уникнути завантаження фейкових гаманців?

Завантажте додатки з офіційного веб-сайту

Здатність знайти справжній офіційний веб-сайт буде використовуватися не лише при завантаженні гаманця, але й у подальшому участі користувачів у проекті Web3, тому ми розповімо, як знайти правильний офіційний веб-сайт тут.

Користувачі можуть безпосередньо шукати сторонню сторінку проекту в Twitter, а потім вирішувати, чи є це офіційний обліковий запис на підставі кількості фоловерів, часу реєстрації та наявності синьої або золотої позначки. Однак усе це може бути підробленим. У статті " Автентичні та фейкові проектні сторони | Будьте обережні з фішингом фейкових облікових записів в коментаряхЯ розповів вам про чорні та сірі продукти, що продають високоякісні імітаційні номери. Тому рекомендується, щоб новачки спочатку слідували деяким компаніям з безпеки, практиками з безпеки, відомими ЗМІ та іншими у цій галузі на Twitter, щоб переконатися, чи вони слідкують за офіційним акаунтом, який ви знайшли.

(https://twitter.com/DefiLlama)

За допомогою вищеописаного методу користувачі мають високу ймовірність знайти справжній офіційний обліковий запис Twitter, але нам все одно потрібно зробити кілька перевірок. Адже нерідкі випадки, коли офіційні акаунти в Twitter піддаються хакерам, а також хакери замінюють посилання на офіційний сайт на офіційному акаунті на підроблене посилання на офіційний сайт, тому користувачам потрібно порівнювати посилання на офіційний сайт, яке вони щойно знайшли, з посиланнями, знайденими через інші канали (наприклад, DefiLlama, CoinGecko, CoinMarketCap тощо):

(https://defillama.com/)

(https://landing.coingecko.com/links/)

Після знаходження та підтвердження посилання на офіційний веб-сайт рекомендується користувачам зберігати посилання в закладках, щоб вони могли знайти правильне посилання безпосередньо з закладок наступного разу, не витрачаючи час на пошук та підтвердження кожного разу, що зменшує ймовірність потрапляння на фейковий офіційний веб-сайт.

App Магазин

Користувачі можуть завантажити гаманець через офіційні магазини додатків, такі як Apple Store, Google Play Store і т.д., але перед завантаженням обов'язково перевірте інформацію про розробника додатка, щоб переконатися, що вона відповідає офіційному ідентифікаторові розробника. Ви також можете звертатися до інформації, такої як рейтинги та кількість завантажень додатка.

Офіційна версія перевірки

Деякі читачі, які бачать це, можуть задатися питанням: як перевірити, чи є гаманець, який ви завантажили, справжнім гаманцем? Користувачі можуть виконати перевірку узгодженості файлу, яка визначає, чи змінився файл під час передачі або зберігання, порівнюючи хеш-значення файлу. Користувачам потрібно лише перетягнути раніше завантажений файл APK в інструмент перевірки хешу файлу. Цей інструмент використовуватиме хеш-функцію (наприклад, MD5, SHA-256 тощо) для генерації хеш-значення файлу. Якщо це значення відповідає офіційному хеш-значенню, це справжній гаманець; Якщо він не збігається, це підроблений гаманець. Що робити користувачеві, якщо він підтвердив, що його гаманець підроблений?

1. Спочатку підтвердіть обсяг витоку. Якщо ви просто завантажили фальшивий гаманець, але не ввели приватний ключ / насіння фрази, то просто видаліть програму та знову завантажте офіційну версію.

2. Якщо приватний ключ / фраза-насіння були імпортовані в підроблений гаманець, це означає, що приватний ключ / фраза-насіння були витікли. Будь ласка, перейдіть на офіційний веб-сайт, щоб завантажити справжній гаманець і імпортувати приватний ключ / фразу-насіння, а також створити нову адресу для швидкого переказу коштів.

3. Якщо вашу криптовалюту, на жаль, вкрадено, ви можете скористатися нашими безкоштовними послугами спільноти для оцінки справи. Вам потрібно лише подати форму відповідно до класифікаційних вказівок (вкрадені кошти/шахрайство/вимагання). У той же час адресу хакера, яку ви подали, також буде синхронізовано з мережею співпраці з інтелектуальною загрозою InMist для контролю ризику. (Примітка: Подайте китайську форму до https://aml.slowmist.com/cn/recovery-funds.html, і надішліть англійську форму до https://aml.slowmist.com/recovery-funds.html)

Придбати підроблений апаратний гаманець

Ситуація, згадана вище, саме те, чому завантажуються фальшиві гаманці та рішення. Давайте поговоримо про те, чому придбають фальшиві апаратні гаманці.

Деякі користувачі вибирають купувати апаратні гаманці в інтернет-магазинах, але апаратні гаманці з таких неофіційних авторизованих магазинів мають дуже великі ризики безпеки, оскільки перед тим, як гаманець потрапить у руки користувача, через скільки людей він пройде, і чи були змінені внутрішні компоненти, невідомо. Якщо внутрішні компоненти були змінені, буде важко виявити проблему за зовнішнім виглядом та функціями.

(https://www.kaspersky.com/blog/fake-trezor-hardware-crypto-wallet/48155/)

Ось деякі способи, які ми пропонуємо для боротьби з атаками на ланцюжок поставок апаратного гаманця:

Покупка з офіційних каналів: Це найефективніший спосіб боротьби з атаками на ланцюг поставок. Не купуйте апаратні гаманці з неофіційних каналів, таких як онлайн-торгові центри, закупівельні агенти, мережеві користувачі тощо.

Перевірте зовнішній вигляд: Після отримання гаманця спочатку перевірте, чи не пошкоджено зовнішню упаковку. Це є найбільш базовим, хоча ймовірно, що хакери в цей момент не будуть виявлені.

Аутентифікація: Деякі апаратні гаманці надають послуги перевірки фізичного пристрою на офіційному веб-сайті. Коли користувач ініціалізує гаманець, пристрій попросить користувача виконати перевірку фізичного пристрою на офіційному веб-сайті. Якщо пристрій був пошкоджений під час транспортування, він не зможе пройти перевірку реального пристрою на офіційному веб-сайті.

Механізм розбирання та самознищення: Ви можете вибрати придбання апаратного гаманця з механізмом розбирання та самознищення. Якщо хтось спробує відкрити апаратний гаманець і втрутитися во внутрішні компоненти, буде запущений механізм самознищення. Усю чутливу інформацію в захисному чіпі буде автоматично стерто, і пристрій більше не зможе бути використаним.

Ризик витоку приватного ключа / фрази для відновлення

Через вищевказаний вміст кожен повинен вивчити, як завантажити або придбати справжній гаманець, але як зберегти приватний ключ/фразу для відновлення - це інша проблема. Приватний ключ/фраза є єдиними обліковими даними для відновлення гаманця та контролю активів. Приватний ключ - це 64-бітний шістнадцятковий рядок, що складається з літер і цифр, а фраза зазвичай складається з 12 слів. Команда з безпеки SlowMist хотіла б нагадати вам, що якщо приватний ключ/фраза витікають, активи гаманця дуже ймовірно будуть вкрадені. Давайте розглянемо деякі поширені причини витоку приватного ключа/фрази:

Неправильна конфіденційність: Користувачі можуть розповісти родичам та друзям особистий ключ / фразу-насіння та попросити їх допомогти зберегти його. В результаті кошти крадуться родичами та друзями.

Мережеве сховище або передача особистих ключів / фрази насіння: Хоча деякі користувачі знають, що особистий ключ / фраза насіння не повинні розповідати іншим, вони зберігають особистий ключ / фразу насіння через обрані WeChat, роблять фотографії, знімки екрану, хмарне сховище, нотатки тощо. Як тільки ці облікові записи платформи будуть зібрані та успішно взламані хакерами, особисті ключі / фрази насіння можуть бути легко вкрадені.

Копіювати та вставити приватний ключ / фразу для відновлення: багато інструментів буфера обміну та методів введення загрузять записи користувача у буфер обміну до хмари, залишаючи приватний ключ / фразу для відновлення в небезпечному середовищі. Більше того, троянське програмне забезпечення також може вкрасти інформацію у буфері обміну, коли користувач копіює приватний ключ / фразу для відновлення. Тому не рекомендується користувачам копіювати та вставляти приватний ключ / фразу для відновлення. Ця, на перший погляд, безпечна поведінка насправді може призвести до великого ризику витоку.

Як уникнути витоку приватного ключа / фрази-насіння?

По-перше, не повідомляйте нікому, включаючи друзів і родичів, свій приватний ключ/початкову фразу. По-друге, спробуйте вибрати фізичний носій для збереження приватного ключа/початкової фрази, щоб хакери не змогли отримати його за допомогою мережевих атак та інших засобів. Наприклад, скопіюйте приватний ключ/початкову фразу на якісний папір (ви також можете запечатати його в пластик) або використовуйте коробку для seed phrase для його зберігання. Крім того, налаштування мультипідпису та децентралізоване зберігання приватних ключів/початкових фраз також може підвищити безпеку приватних ключів/початкових фраз. Щодо того, як створити резервну копію приватного ключа/початкової фрази, ви можете прочитати "Посібник із самопорятунку Blockchain Dark Forest", створений SlowMist: https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md.

Огляд

Ця стаття в основному пояснює ризики при завантаженні/покупці гаманця, як знайти реальний офіційний веб-сайт та перевірити автентичність гаманця, а також ризик витоку особистого ключа/фрази-насіння. Ми сподіваємося, що вміст цього випуску допоможе кожному зробити перший крок у веб3. У наступному випуску ми пояснимо ризики при використанні гаманців, такі як рибальство, підпис та ризики авторизації. Ласкаво просимо слідкувати за нами. (Ps. Бренди та зображення, згадані в цій статті, використовуються лише для допомоги розумінню читачів і не становлять рекомендацій чи гарантій)

1. Ця стаття перепублікована з [ Публічний обліковий запис WeChat: Імовірно, технологія помільна]. Усі авторські права належать оригінальному автору [Команда безпеки SlowMist]. Якщо є зауваження до цього перепублікування, будь ласка, зв'яжіться з Gate Learnкоманда, і вони оперативно займуться цим.
2. Відповідальність за відмову: Погляди та думки, висловлені в цій статті, належать виключно автору і не становлять жодної інвестиційної поради.
3. Переклади статті на інші мови виконуються командою Gate Learn. Якщо не зазначено, копіювання, поширення або плагіатування перекладених статей заборонене.