Фон

Кошельки играют важную роль в мире Web3. Они являются инструментами хранения цифровых активов и необходимыми инструментами для пользователей для проведения транзакций и доступа к DApps. В предыдущий выпуск В Руководстве для новичков по безопасности Web3, направленном на избежание ошибок, мы в основном представили категоризацию кошельков и перечислили общие рисковые моменты, чтобы помочь читателям понять основные концепции безопасности кошелька. С популяризацией криптовалют и технологии блокчейн киберпреступники также нацелились на средства пользователей Web3. Согласно полученной форме о похищениях от команды безопасности SlowMist, можно увидеть, что многие пользователи были обокрадены из-за скачивания/покупки поддельных кошельков. Поэтому в этом выпуске мы исследуем, почему пользователи могут скачивать/покупать поддельные кошельки и риски утечки приватного ключа/сидфразы. Кроме того, мы предоставим ряд рекомендаций по безопасности, чтобы помочь пользователям обезопасить свои средства.

Скачать фейковые кошельки

Поскольку многие мобильные телефоны не поддерживают магазин Google Play или из-за проблем с сетью, многие люди будут загружать кошельки другими способами, например:

Сайт загрузки сторонних программ

Некоторые пользователи загружают кошельки через сторонние сайты загрузок, такие как apkcombo, apkpure и т. д. Эти сайты часто рекламируют, что их приложения загружены с зеркал Google Play Store, но насколько это безопасно? Команда безопасности SlowMist провела расследование и анализ источников фейковых кошельков Web3 сторонних источников, и результаты показали, что версия кошелька, предоставленная сторонним сайтом загрузки apkcombo, не существует. Как только пользователь создает кошелек или импортирует фразу для восстановления кошелька на стартовом интерфейсе, фейковый кошелек отправит фразу для восстановления и другую информацию на сервер фишингового веб-сайта.

Поисковый движок

Ранжированием результатов поисковых систем можно манипулировать, что приводит к случаям, когда поддельные официальные веб-сайты ранжируются выше, чем настоящие. Поэтому пользователям не рекомендуется напрямую искать кошельки через поисковые системы, а затем переходить по ссылкам, ранжирующимся в топе, чтобы скачать кошельки. Это с большой вероятностью может привести к доступу к поддельному официальному сайту и загрузке поддельного кошелька. Когда пользователи не уверены в URL-адресе официального веб-сайта, трудно определить, является ли он поддельным веб-сайтом, основываясь исключительно на внешнем виде отображаемой страницы веб-сайта. Это связано с тем, что мошенники создают поддельные веб-сайты, которые очень похожи на настоящие официальные веб-сайты, что затрудняет различение между ними. Поэтому пользователям также не рекомендуется переходить по ссылкам, которыми поделились другие пользователи на таких платформах, как Twitter или другие платформы, поскольку это часто фишинговые ссылки.

Родственники и друзья/мошенничество с разделкой свиней

В темном лесу блокчейна поддержание нулевого доверия критично. Ваши друзья и семья могут не иметь злонамеренных намерений к вам, но кошельки, которые они загружают, могут быть поддельными, и они еще могут не быть скомпрометированы. Поэтому, если вы загружаете кошелек через предоставленный ими QR-код/ссылку, существует возможность загрузить фальшивый кошелек.

Команда безопасности SlowMist получила многочисленные отчеты о случаях мошенничества, связанных с кражей средств. Мошенники часто завоевывают доверие жертв, направляют их на инвестиции в криптовалюту, а затем делятся ссылками для скачивания поддельных кошельков. В конечном итоге жертвы теряют не только свои средства, но и свое доверие. Поэтому пользователи должны оставаться бдительными при взаимодействии с онлайн-знакомыми, особенно когда те поощряют инвестиции или отправляют подозрительные ссылки. Не доверяйте им в таких ситуациях.

Telegram

На Telegram, выполнив поиск известных кошельков, мы нашли несколько фальшивых официальных групп. Мошенники утверждали, что группа является официальным каналом определенного кошелька, и даже напоминали пользователям в группе искать единственную официальную ссылку на веб-сайт. Однако все эти ссылки являются поддельными.

Приложение Молл

Важно напомнить вам, что приложения в официальном магазине приложений не всегда безопасны. Некоторые преступники заманивают пользователей, покупая ключевые слова для перенаправления трафика, чтобы загрузить мошеннические приложения. Читателям рекомендуется быть осторожными.

Итак, что могут сделать пользователи, чтобы избежать загрузки фальшивых кошельков?

Скачайте приложения с официального веб-сайта

Способность находить настоящий официальный веб-сайт будет использоваться не только при загрузке кошелька, но и в последующем при участии пользователей в проекте Web3, поэтому мы здесь поговорим о том, как найти правильный официальный веб-сайт.

Пользователи могут напрямую искать проектную сторону в Twitter, а затем судить, является ли это официальным аккаунтом, основываясь на количестве подписчиков, времени регистрации и наличии синей или золотой метки. Однако все это можно подделать. В статье " Аутентичные и фальшивые проектные стороны | Будьте осторожны с фишингом фальшивых аккаунтов в комментарияхЯ рассказал вам о чёрных и серых продуктах, которые продают высококачественные имитации номеров. Поэтому рекомендуется, чтобы новички сначала подписались на некоторые компании по безопасности, практиков безопасности, известные СМИ и т.д. в индустрии в Твиттере, чтобы увидеть, следят ли они за официальным аккаунтом, который вы нашли.

(https://twitter.com/DefiLlama)

Через вышеуказанный метод пользователи имеют высокую вероятность найти реальный официальный аккаунт Twitter, но нам все равно нужно провести несколько проверок. В конце концов, не редко взламывают официальные аккаунты Twitter, и хакеры также могут заменить официальную ссылку на веб-сайт на поддельную официальную ссылку на официальном аккаунте, поэтому пользователям нужно сравнить официальную ссылку на веб-сайт, которую они только что нашли, с ссылками, найденными через другие каналы (такие как DefiLlama, CoinGecko, CoinMarketCap и т. Д.).

(https://defillama.com/)

(https://landing.coingecko.com/links/)

После нахождения и подтверждения официальной ссылки на веб-сайт рекомендуется сохранить ссылку в закладках, чтобы пользователи могли найти правильную ссылку напрямую из закладок в следующий раз, не прибегая к поиску и подтверждению каждый раз, что уменьшает вероятность входа на фальшивый официальный веб-сайт.

Приложение Магазин

Пользователи могут загрузить кошелек через официальные магазины приложений, такие как Apple Store, Google Play Store, и т. д., но перед загрузкой обязательно проверьте информацию о разработчике приложения, чтобы убедиться, что она соответствует официальной идентичности разработчика. Вы также можете обратить внимание на информацию, такую как рейтинги приложений и количество загрузок.

Официальная версия проверки

Некоторые читатели, увидевшие это, могут задаться вопросом: как проверить, является ли загруженный вами кошелек настоящим? Пользователи могут выполнить проверку целостности файлов, которая определяет, изменился ли файл во время передачи или хранения, сравнивая хеш-значение файла. Пользователям нужно всего лишь перетащить ранее загруженный файл APK в инструмент проверки хеш-значения файла. Этот инструмент будет использовать функцию хеширования (такую как MD5, SHA-256 и т. д.) для генерации хеш-значения файла. Если это значение совпадает с официальным хеш-значением, это настоящий кошелек; если нет, это поддельный кошелек. Что делать пользователю, если он узнал, что его кошелек является поддельным?

1. Сначала подтвердите масштаб утечки. Если вы только что скачали поддельный кошелек, но не вводили приватный ключ / фразу восстановления, просто удалите приложение и снова загрузите официальную версию.

2. Если приватный ключ/семенная фраза были импортированы в поддельный кошелек, это означает, что приватный ключ/семенная фраза утекли. Пожалуйста, перейдите на официальный веб-сайт, чтобы скачать подлинный кошелек и импортировать приватный ключ/семенную фразу, и создать новый адрес для быстрого перевода перечисляемых средств.

3. Если ваша криптовалюта к сожалению была украдена, вы можете воспользоваться нашими бесплатными услугами помощи сообщества для оценки ситуации. Вам нужно только отправить форму в соответствии с руководящими классификационными принципами (украденные средства/мошенничество/вымогательство). В то же время адрес хакера, который вы отправили, также будет синхронизирован с сетью сотрудничества по угрозам InMist для контроля рисков. (Примечание: Отправьте китайскую форму наhttps://aml.slowmist.com/cn/recovery-funds.html, и отправьте английскую форму наhttps://aml.slowmist.com/recovery-funds.html)

Приобрести поддельный аппаратный кошелек

Упомянутая выше ситуация - вот почему скачивают фальшивые кошельки и решения. Давайте поговорим о том, почему покупают фальшивые аппаратные кошельки.

Некоторые пользователи выбирают покупать аппаратные кошельки в онлайн-магазинах, но у аппаратных кошельков из таких неофициальных авторизованных магазинов есть очень большие риски безопасности, потому что до того, как кошелек попадет в руки пользователя, сколько людей через него пройдет, и было ли изменено внутренние компоненты, неизвестно. Если внутренние компоненты были изменены, будет сложно обнаружить проблему по внешнему виду и функции.

(https://www.kaspersky.com/blog/fake-trezor-hardware-crypto-wallet/48155/)

Вот некоторые способы, которые мы предлагаем для борьбы с атаками на цепочку поставок аппаратных кошельков:

Покупка через официальные каналы: это наиболее эффективный способ борьбы с атаками на цепочку поставок. Не покупайте аппаратные кошельки через неофициальные каналы, такие как онлайн-магазины, закупочные агенты, интернет-пользователи и т. д.

Проверьте внешний вид: После получения кошелька сначала проверьте, не повреждена ли внешняя упаковка. Это самое базовое, хотя хакеры, скорее всего, не будут выявлены на этом этапе.

Аутентификация: Некоторые аппаратные кошельки предоставляют услуги верификации физического устройства на официальном веб-сайте. Когда пользователь инициализирует кошелек, устройство предложит пользователю выполнить верификацию физического устройства на официальном веб-сайте. Если устройство было нарушено во время транспортировки, оно не сможет пройти верификацию реального устройства на официальном веб-сайте.

Механизм разборки и самоуничтожения: Вы можете выбрать приобрести аппаратный кошелек с механизмом разборки и самоуничтожения. Когда кто-то пытается открыть аппаратный кошелек и вмешаться во внутренние компоненты, срабатывает механизм самоуничтожения. Вся чувствительная информация в защитном чипе будет автоматически стерта, и устройство больше не сможет быть использовано.

Риск утечки частного ключа / фразы восстановления

Через вышеуказанное содержание каждый должен научиться, как скачать или приобрести настоящий кошелек, но как хранить частный ключ/семантическую фразу - это другая проблема. Частный ключ/семантическая фраза - это единственные учетные данные для восстановления кошелька и управления активами. Частный ключ - это шестнадцатеричная строка из 64 бит, состоящая из букв и цифр, а семантическая фраза обычно состоит из 12 слов. Команда по безопасности SlowMist хотела бы напомнить вам, что если частный ключ/семантическая фраза утекли, то активы кошелька могут быть украдены. Давайте рассмотрим некоторые распространенные причины утечки частного ключа/семантической фразы:

Неправильная конфиденциальность: Пользователи могут сообщить родственникам и друзьям приватный ключ / сид фразу и попросить помочь сохранить его. В результате средства крадут родственники и друзья.

Сетевое хранение или передача закрытых ключей/семенной фразы: Хотя некоторые пользователи знают, что закрытый ключ/семенная фраза не должны сообщаться другим, они все равно сохраняют закрытый ключ/семенную фразу через избранные сообщения в WeChat, фотографии, снимки экрана, облачное хранилище, заметки и т. д. Как только эти учетные записи на платформах будут собраны и успешно взломаны хакерами, закрытые ключи/семенные фразы могут быть легко украдены.

Копирование и вставка частного ключа/семантической фразы: Многие инструменты буфера обмена и методы ввода будут загружать записи буфера обмена пользователя в облако, оставляя частный ключ/семантическую фразу подверженной опасности в небезопасной среде. Более того, троянское программное обеспечение также может украсть информацию в буфере обмена, когда пользователь копирует частный ключ/семантическую фразу. Поэтому не рекомендуется, чтобы пользователи копировали и вставляли частный ключ/семантическую фразу. Это кажущееся безвредное поведение на самом деле может представлять собой большой риск утечки.

Как избежать утечки частного ключа/семени?

Во-первых, не рассказывайте никому, включая друзей и семью, ваш секретный ключ/фразу восстановления. Во-вторых, попробуйте выбрать физический носитель для сохранения секретного ключа/фразы восстановления, чтобы предотвратить получение его хакерами через сетевые атаки и другие средства. Например, скопируйте секретный ключ/фразу восстановления на качественную бумагу (вы также можете запечатать её в пластике) или используйте коробку для фразы восстановления для хранения. Кроме того, настройка мультиподписей и децентрализованное хранение секретных ключей/фраз восстановления также может повысить безопасность секретных ключей/фраз восстановления. Что касается резервного копирования секретного ключа/фразы восстановления, вы можете прочитать “Руководство по самостоятельному спасению в блокчейне Тёмный Лес” от SlowMist:https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main /README_CN.md.

Сводка

Эта статья в основном объясняет риски при скачивании/покупке кошелька, как найти реальный официальный веб-сайт и проверить подлинность кошелька, а также риск утечки частного ключа/сид фразы. Мы надеемся, что содержание этого выпуска может помочь каждому сделать первый шаг в web3. В следующем выпуске мы объясним риски при использовании кошельков, такие как рыбалка, подпись и риски авторизации. Добро пожаловать к нам. (P.s. Упомянутые в этой статье бренды и изображения используются только для помощи читателям в понимании и не являются рекомендациями или гарантиями)

1. Эта статья перепечатана с [ Официальный аккаунт WeChat: SlowMist]. All copyrights belong to the original author [Команда безопасности SlowMist]. Если есть возражения по поводу этого переиздания, пожалуйста, свяжитесь с Gate Learnкоманда, и они незамедлительно справятся с этим.
2. Отказ от ответственности: Взгляды и мнения, высказанные в этой статье, являются исключительно мнением автора и не являются инвестиционными советами.
3. Переводы статьи на другие языки выполняются командой Gate Learn. Если не указано иное, копирование, распространение или плагиат статьи на другие языки запрещено.