Riscos de Carteiras Falsas e Vazamento de Frase-semente Privada
Antecedentes
Carteiras desempenham um papel vital no mundo Web3. São ferramentas de armazenamento para ativos digitais e ferramentas necessárias para os usuários realizarem transações e acessarem DApps. questão anterior Do Guia Iniciante de Segurança da Web3 para Evitar Armadilhas, introduzimos principalmente a categorização de carteiras e listamos pontos de risco comuns para ajudar os leitores a conhecer os conceitos básicos de segurança de carteira. Com a popularidade da criptomoeda e da tecnologia blockchain, os cibercriminosos também têm visado os fundos dos usuários da Web3. De acordo com o formulário de roubo recebido pela Equipe de Segurança SlowMist, pode-se observar que muitos usuários foram roubados devido ao download/compra de carteiras falsas. Portanto, nesta edição, exploraremos por que os usuários podem baixar/comprar carteiras falsas e os riscos de vazamento de chave privada/frase-semente. Além disso, forneceremos uma série de recomendações de segurança para ajudar os usuários a proteger seus fundos.
Baixe carteiras falsas
Como muitos telefones celulares não suportam a Google Play Store ou devido a problemas de rede, muitas pessoas baixarão carteiras de outras maneiras, como:
Site de download de terceiros
Alguns usuários baixarão carteiras através de sites de download de terceiros, como apkcombo, apkpure, etc. Esses sites frequentemente anunciam que seus aplicativos são baixados de espelhos da Google Play Store, mas quão seguro é isso? A equipe de segurança SlowMist conduziu uma investigação e análise de fontes de terceiros de carteiras falsas Web3, e os resultados mostram que a versão da carteira fornecida pelo site de download de terceiros apkcombo não existe. Uma vez que o usuário cria uma carteira ou importa uma frase-semente de carteira na interface de início, a carteira falsa enviará a frase-semente e outras informações para o servidor do site de phishing.
Mecanismo de busca
As classificações de resultados de mecanismos de busca podem ser manipuladas, levando a casos em que sites falsos oficiais têm classificação mais alta do que os genuínos. Portanto, não é recomendável que os usuários busquem diretamente por carteiras através de mecanismos de busca e cliquem nos links mais bem classificados para baixar carteiras. Fazê-lo pode levar muito provavelmente a acessar um site oficial falso e baixar uma carteira falsa. Quando os usuários não têm certeza da URL do site oficial, é difícil determinar se é um site falso com base apenas na aparência da página de exibição do site. Isso ocorre porque os golpistas criam sites falsos que se assemelham muito aos sites oficiais genuínos, tornando difícil distinguir entre os dois. Portanto, também não é recomendável que os usuários cliquem em links compartilhados por outros usuários em plataformas como o Twitter ou outras plataformas, pois estes são frequentemente links de phishing.
Parentes e Amigos/Golpes de Abate de Porcos
Na floresta escura do blockchain, manter zero confiança é crucial. Embora seus amigos e familiares possam não ter intenções maliciosas em relação a você, as carteiras que eles baixam podem ser falsas e ainda não terem sido comprometidas. Portanto, se você baixar uma carteira através do código QR/link que eles compartilham, há a possibilidade de baixar uma carteira falsa.
A equipe de segurança SlowMist recebeu inúmeros relatos de incidentes de golpes envolvendo o roubo de fundos. Os golpistas frequentemente estabelecem confiança com as vítimas, as orientam a investir em criptomoedas e compartilham links para baixar carteiras falsas. No final, as vítimas não apenas perdem seus fundos, mas também sua confiança. Portanto, os usuários devem permanecer vigilantes ao interagir com conhecidos online, especialmente quando incentivam investimentos ou enviam links suspeitos. Não confie neles em tais situações.
Telegram
No Telegram, ao procurar por carteiras conhecidas, encontramos alguns grupos oficiais falsos. Os golpistas afirmariam que o grupo é o canal oficial de uma determinada carteira, e até lembrariam os usuários no grupo para procurar o único link do site oficial. No entanto, todos esses links são falsos.
Loja de aplicativos
É importante lembrar que os aplicativos no shopping oficial de aplicativos não são necessariamente seguros. Alguns criminosos induzem os usuários a baixar aplicativos fraudulentos comprando classificações de palavras-chave para desviar o tráfego. Os leitores são aconselhados a ter cuidado.
Então, o que os usuários podem fazer para evitar baixar carteiras falsas?
Baixe aplicativos do site oficial
A capacidade de encontrar o verdadeiro site oficial não será usada apenas ao baixar a carteira, mas também será usada quando os usuários participarem posteriormente do projeto Web3, então falaremos sobre como encontrar o site oficial correto aqui.
Os usuários podem procurar diretamente a parte do projeto no Twitter e depois julgar se é uma conta oficial com base no número de seguidores, tempo de registro e se possui um rótulo azul ou dourado. No entanto, tudo isso pode ser falsificado. No artigoPartes de projetos autênticos e falsos | Cuidado com a pesca de contas falsas na área de comentáriosEu te falei sobre os produtos pretos e cinzas que vendem números de imitação altos. Portanto, é recomendado que os novatos sigam primeiro algumas empresas de segurança, profissionais de segurança, mídias conhecidas, etc. na indústria no Twitter para ver se eles seguem a conta oficial que você encontrou.
(https://twitter.com/DefiLlama)
Através do método acima, os usuários têm uma alta probabilidade de encontrar a conta oficial real do Twitter, mas ainda precisamos fazer várias verificações. Afinal, não é incomum que contas oficiais do Twitter sejam hackeadas, e os hackers também substituirão o link do site oficial na conta oficial por um link de site oficial falso, então os usuários precisam comparar o link do site oficial que acabaram de encontrar com os links encontrados através de outros canais (como DefiLlama, CoinGecko, CoinMarketCap, etc.).
(https://landing.coingecko.com/links/)
Depois de encontrar e confirmar o link do site oficial, é recomendável que os usuários salvem o link nos favoritos para que possam encontrar o link correto diretamente nos favoritos da próxima vez sem ter que encontrá-lo e confirmá-lo novamente toda vez, reduzindo a probabilidade de acessar um site oficial falso.
App Mall
Os usuários podem baixar a carteira através das lojas de aplicativos oficiais, como a Apple Store, Google Play Store, etc., mas antes de baixar, certifique-se de verificar as informações do desenvolvedor do aplicativo primeiro para garantir que esteja consistente com a identidade do desenvolvedor oficial. Você também pode consultar informações como classificações e downloads do aplicativo.
Verificação da versão oficial
Alguns leitores que veem isso podem estar se perguntando: como você verifica se a carteira que você baixou é uma carteira real? Os usuários podem realizar a verificação de consistência de arquivo, que determina se o arquivo foi alterado durante a transmissão ou armazenamento, comparando o valor de hash do arquivo. Os usuários só precisam arrastar o arquivo APK baixado anteriormente para a ferramenta de verificação de hash de arquivo. Esta ferramenta usará uma função de hash (como MD5, SHA-256, etc.) para gerar o valor de hash do arquivo. Se este valor for consistente com o valor de hash oficial, é uma carteira real; se não corresponder, é uma carteira falsa. O que um usuário deve fazer se verificar que sua carteira é falsa?
Primeiro confirme o escopo do vazamento. Se você apenas baixou a carteira falsa, mas não inseriu a chave privada/frase-semente, então apenas exclua o aplicativo e faça o download novamente da versão oficial.
Se a chave privada/frase-semente foi importada para a carteira falsa, significa que a chave privada/frase-semente foi vazada. Por favor, vá para o site oficial para baixar a carteira genuína e importar a chave privada/frase-semente, e criar um novo endereço para transferir rapidamente os fundos transferíveis.
Se a sua criptomoeda for infelizmente roubada, você pode usar os nossos serviços gratuitos de assistência comunitária para avaliação do caso. Você só precisa enviar um formulário de acordo com as diretrizes de classificação (fundos roubados/fraude/extorsão). Ao mesmo tempo, o endereço do hacker que você enviou também será sincronizado com a rede de cooperação de inteligência de ameaças InMist para controle de riscos. (Nota: Envie o formulário em chinês para https://aml.slowmist.com/cn/recovery-funds.htmle envie o formulário em inglês para https://aml.slowmist.com/recovery-funds.html)
Compre uma carteira de hardware falsa
A situação mencionada acima é por que carteiras falsas são baixadas e as soluções. Vamos falar sobre por que carteiras de hardware falsas são compradas.
Alguns usuários optam por comprar carteiras de hardware em shoppings online, mas as carteiras de hardware dessas lojas não oficiais autorizadas têm riscos de segurança muito grandes, porque antes que a carteira esteja nas mãos do usuário, por quantas pessoas ela passará e se os componentes internos foram adulterados, são incertos. Se os componentes internos foram adulterados, será difícil detectar o problema pela aparência e função.
(https://www.kaspersky.com/blog/fake-trezor-hardware-crypto-wallet/48155/)
Aqui estão algumas das maneiras que oferecemos para lidar com ataques à cadeia de suprimentos de carteiras de hardware:
Compre de canais oficiais: Esta é a maneira mais eficaz de lidar com ataques à cadeia de suprimentos. Não compre carteiras de hardware de canais não oficiais, como shoppings online, agentes de compra, internautas, etc.
Verifique a aparência: Depois de receber a carteira, verifique primeiro se a embalagem externa foi danificada. Este é o mais básico, embora os hackers provavelmente não sejam expostos neste passo.
Autenticação: Algumas carteiras de hardware oferecem serviços de verificação de dispositivo físico do site oficial. Quando o usuário inicializa a carteira, o dispositivo solicitará que o usuário execute a verificação de dispositivo físico do site oficial. Se o dispositivo for adulterado durante o transporte, não será possível passar na verificação do dispositivo real no site oficial.
Mecanismo de desmontagem e autodestruição: Você pode optar por adquirir uma carteira de hardware com um mecanismo de desmontagem e autodestruição. Quando alguém tenta abrir a carteira de hardware e manipular os componentes internos, o mecanismo de autodestruição será acionado. Todas as informações sensíveis no chip de segurança serão automaticamente apagadas, e o dispositivo não poderá mais ser usado.
Risco de vazamento de chave privada/frase-semente
Através do conteúdo acima, todos devem aprender como baixar ou adquirir uma carteira real, mas como manter a chave privada/frase-semente é outro problema. A chave privada/frase-semente é a única credencial para recuperar a carteira e controlar os ativos. A chave privada é uma cadeia hexadecimal de 64 bits composta por letras e números, e a frase-semente geralmente consiste de 12 palavras. A equipe de segurança SlowMist gostaria de lembrá-lo que se a chave privada/frase-semente for vazada, os ativos da carteira têm uma grande probabilidade de serem roubados. Vamos dar uma olhada em algumas razões comuns que levam ao vazamento da chave privada/frase-semente:
Confidencialidade inadequada: Os usuários podem contar a parentes e amigos a chave privada/frase-semente e pedir que os ajudem a salvá-la. Como resultado, os fundos são roubados por parentes e amigos.
Armazenamento ou transmissão de chaves privadas/frase-semente: Embora alguns usuários saibam que a chave privada/frase-semente não deve ser compartilhada com outras pessoas, eles vão salvá-la através de favoritos do WeChat, tirando fotos, capturas de tela, armazenamento em nuvem, notas, etc. Uma vez que essas contas de plataformas são coletadas e invadidas com sucesso por hackers, as chaves privadas/frases-semente podem ser facilmente roubadas.
Copie e cole a chave privada/frase semente: Muitas ferramentas de área de transferência e métodos de entrada farão upload dos registros da área de transferência do usuário para a nuvem, deixando a chave privada/frase semente exposta em um ambiente inseguro. Além disso, softwares trojan também podem roubar as informações da área de transferência quando o usuário copia a chave privada/frase semente. Portanto, não é recomendado que os usuários copiem e colem a chave privada/frase semente. Esse comportamento aparentemente inofensivo na verdade pode representar um grande risco de vazamento.
Então, como evitar vazamento de chave privada/frase-semente?
Primeiro, não conte a ninguém, incluindo amigos e família, sua chave privada/frase-semente. Em segundo lugar, tente escolher um meio físico para salvar a chave privada/frase-semente para evitar que hackers a obtenham através de ataques de rede e outros meios. Por exemplo, copie a chave privada/frase-semente em papel de boa qualidade (você também pode selá-la em plástico) ou use uma caixa de frase-semente para armazená-la. Além disso, configurar multi-assinaturas e armazenar as chaves privadas/frases-semente de forma descentralizada também pode melhorar a segurança das chaves privadas/frases-semente. Em relação a como fazer backup da chave privada/frase-semente, você pode ler o "Manual de Autossocorro da Floresta Negra Blockchain" produzido pela SlowMist:https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main /README_CN.md.
Resumo
Este artigo explica principalmente os riscos ao baixar/comprar uma carteira, como encontrar o site oficial real e verificar a autenticidade da carteira, e o risco de vazamento da chave privada/frase-semente. Esperamos que o conteúdo deste problema possa ajudar todos a dar o primeiro passo no web3. No próximo problema, explicaremos os riscos ao usar carteiras, como phishing, riscos de assinatura e autorização. Bem-vindo a nos seguir. (Ps. As marcas e imagens mencionadas neste artigo são apenas usadas para auxiliar a compreensão dos leitores e não constituem recomendações ou garantias)
- Este artigo é reproduzido a partir de [Conta oficial no WeChat: SlowMist Technology]. Todos os direitos autorais pertencem ao autor original [Equipe de Segurança SlowMist]. Se houver objeções a esta reimpressão, entre em contato com o Gate Learnequipe e eles vão lidar com isso prontamente.
- Isenção de responsabilidade: As visões e opiniões expressas neste artigo são exclusivamente do autor e não constituem nenhum conselho de investimento.
- As traduções do artigo para outros idiomas são feitas pela equipe Gate Learn. A menos que mencionado, copiar, distribuir ou plagiar os artigos traduzidos é proibido.
相关文章
Como fazer suas próprias pesquisas (DYOR)?
O que é análise fundamentalista?
O que é Bitcoin?
Riscos de Carteiras Falsas e Vazamento de Frase-semente Privada
Antecedentes
Carteiras desempenham um papel vital no mundo Web3. São ferramentas de armazenamento para ativos digitais e ferramentas necessárias para os usuários realizarem transações e acessarem DApps. questão anterior Do Guia Iniciante de Segurança da Web3 para Evitar Armadilhas, introduzimos principalmente a categorização de carteiras e listamos pontos de risco comuns para ajudar os leitores a conhecer os conceitos básicos de segurança de carteira. Com a popularidade da criptomoeda e da tecnologia blockchain, os cibercriminosos também têm visado os fundos dos usuários da Web3. De acordo com o formulário de roubo recebido pela Equipe de Segurança SlowMist, pode-se observar que muitos usuários foram roubados devido ao download/compra de carteiras falsas. Portanto, nesta edição, exploraremos por que os usuários podem baixar/comprar carteiras falsas e os riscos de vazamento de chave privada/frase-semente. Além disso, forneceremos uma série de recomendações de segurança para ajudar os usuários a proteger seus fundos.
Baixe carteiras falsas
Como muitos telefones celulares não suportam a Google Play Store ou devido a problemas de rede, muitas pessoas baixarão carteiras de outras maneiras, como:
Site de download de terceiros
Alguns usuários baixarão carteiras através de sites de download de terceiros, como apkcombo, apkpure, etc. Esses sites frequentemente anunciam que seus aplicativos são baixados de espelhos da Google Play Store, mas quão seguro é isso? A equipe de segurança SlowMist conduziu uma investigação e análise de fontes de terceiros de carteiras falsas Web3, e os resultados mostram que a versão da carteira fornecida pelo site de download de terceiros apkcombo não existe. Uma vez que o usuário cria uma carteira ou importa uma frase-semente de carteira na interface de início, a carteira falsa enviará a frase-semente e outras informações para o servidor do site de phishing.
Mecanismo de busca
As classificações de resultados de mecanismos de busca podem ser manipuladas, levando a casos em que sites falsos oficiais têm classificação mais alta do que os genuínos. Portanto, não é recomendável que os usuários busquem diretamente por carteiras através de mecanismos de busca e cliquem nos links mais bem classificados para baixar carteiras. Fazê-lo pode levar muito provavelmente a acessar um site oficial falso e baixar uma carteira falsa. Quando os usuários não têm certeza da URL do site oficial, é difícil determinar se é um site falso com base apenas na aparência da página de exibição do site. Isso ocorre porque os golpistas criam sites falsos que se assemelham muito aos sites oficiais genuínos, tornando difícil distinguir entre os dois. Portanto, também não é recomendável que os usuários cliquem em links compartilhados por outros usuários em plataformas como o Twitter ou outras plataformas, pois estes são frequentemente links de phishing.
Parentes e Amigos/Golpes de Abate de Porcos
Na floresta escura do blockchain, manter zero confiança é crucial. Embora seus amigos e familiares possam não ter intenções maliciosas em relação a você, as carteiras que eles baixam podem ser falsas e ainda não terem sido comprometidas. Portanto, se você baixar uma carteira através do código QR/link que eles compartilham, há a possibilidade de baixar uma carteira falsa.
A equipe de segurança SlowMist recebeu inúmeros relatos de incidentes de golpes envolvendo o roubo de fundos. Os golpistas frequentemente estabelecem confiança com as vítimas, as orientam a investir em criptomoedas e compartilham links para baixar carteiras falsas. No final, as vítimas não apenas perdem seus fundos, mas também sua confiança. Portanto, os usuários devem permanecer vigilantes ao interagir com conhecidos online, especialmente quando incentivam investimentos ou enviam links suspeitos. Não confie neles em tais situações.
Telegram
No Telegram, ao procurar por carteiras conhecidas, encontramos alguns grupos oficiais falsos. Os golpistas afirmariam que o grupo é o canal oficial de uma determinada carteira, e até lembrariam os usuários no grupo para procurar o único link do site oficial. No entanto, todos esses links são falsos.
Loja de aplicativos
É importante lembrar que os aplicativos no shopping oficial de aplicativos não são necessariamente seguros. Alguns criminosos induzem os usuários a baixar aplicativos fraudulentos comprando classificações de palavras-chave para desviar o tráfego. Os leitores são aconselhados a ter cuidado.
Então, o que os usuários podem fazer para evitar baixar carteiras falsas?
Baixe aplicativos do site oficial
A capacidade de encontrar o verdadeiro site oficial não será usada apenas ao baixar a carteira, mas também será usada quando os usuários participarem posteriormente do projeto Web3, então falaremos sobre como encontrar o site oficial correto aqui.
Os usuários podem procurar diretamente a parte do projeto no Twitter e depois julgar se é uma conta oficial com base no número de seguidores, tempo de registro e se possui um rótulo azul ou dourado. No entanto, tudo isso pode ser falsificado. No artigoPartes de projetos autênticos e falsos | Cuidado com a pesca de contas falsas na área de comentáriosEu te falei sobre os produtos pretos e cinzas que vendem números de imitação altos. Portanto, é recomendado que os novatos sigam primeiro algumas empresas de segurança, profissionais de segurança, mídias conhecidas, etc. na indústria no Twitter para ver se eles seguem a conta oficial que você encontrou.
(https://twitter.com/DefiLlama)
Através do método acima, os usuários têm uma alta probabilidade de encontrar a conta oficial real do Twitter, mas ainda precisamos fazer várias verificações. Afinal, não é incomum que contas oficiais do Twitter sejam hackeadas, e os hackers também substituirão o link do site oficial na conta oficial por um link de site oficial falso, então os usuários precisam comparar o link do site oficial que acabaram de encontrar com os links encontrados através de outros canais (como DefiLlama, CoinGecko, CoinMarketCap, etc.).
(https://landing.coingecko.com/links/)
Depois de encontrar e confirmar o link do site oficial, é recomendável que os usuários salvem o link nos favoritos para que possam encontrar o link correto diretamente nos favoritos da próxima vez sem ter que encontrá-lo e confirmá-lo novamente toda vez, reduzindo a probabilidade de acessar um site oficial falso.
App Mall
Os usuários podem baixar a carteira através das lojas de aplicativos oficiais, como a Apple Store, Google Play Store, etc., mas antes de baixar, certifique-se de verificar as informações do desenvolvedor do aplicativo primeiro para garantir que esteja consistente com a identidade do desenvolvedor oficial. Você também pode consultar informações como classificações e downloads do aplicativo.
Verificação da versão oficial
Alguns leitores que veem isso podem estar se perguntando: como você verifica se a carteira que você baixou é uma carteira real? Os usuários podem realizar a verificação de consistência de arquivo, que determina se o arquivo foi alterado durante a transmissão ou armazenamento, comparando o valor de hash do arquivo. Os usuários só precisam arrastar o arquivo APK baixado anteriormente para a ferramenta de verificação de hash de arquivo. Esta ferramenta usará uma função de hash (como MD5, SHA-256, etc.) para gerar o valor de hash do arquivo. Se este valor for consistente com o valor de hash oficial, é uma carteira real; se não corresponder, é uma carteira falsa. O que um usuário deve fazer se verificar que sua carteira é falsa?
Primeiro confirme o escopo do vazamento. Se você apenas baixou a carteira falsa, mas não inseriu a chave privada/frase-semente, então apenas exclua o aplicativo e faça o download novamente da versão oficial.
Se a chave privada/frase-semente foi importada para a carteira falsa, significa que a chave privada/frase-semente foi vazada. Por favor, vá para o site oficial para baixar a carteira genuína e importar a chave privada/frase-semente, e criar um novo endereço para transferir rapidamente os fundos transferíveis.
Se a sua criptomoeda for infelizmente roubada, você pode usar os nossos serviços gratuitos de assistência comunitária para avaliação do caso. Você só precisa enviar um formulário de acordo com as diretrizes de classificação (fundos roubados/fraude/extorsão). Ao mesmo tempo, o endereço do hacker que você enviou também será sincronizado com a rede de cooperação de inteligência de ameaças InMist para controle de riscos. (Nota: Envie o formulário em chinês para https://aml.slowmist.com/cn/recovery-funds.htmle envie o formulário em inglês para https://aml.slowmist.com/recovery-funds.html)
Compre uma carteira de hardware falsa
A situação mencionada acima é por que carteiras falsas são baixadas e as soluções. Vamos falar sobre por que carteiras de hardware falsas são compradas.
Alguns usuários optam por comprar carteiras de hardware em shoppings online, mas as carteiras de hardware dessas lojas não oficiais autorizadas têm riscos de segurança muito grandes, porque antes que a carteira esteja nas mãos do usuário, por quantas pessoas ela passará e se os componentes internos foram adulterados, são incertos. Se os componentes internos foram adulterados, será difícil detectar o problema pela aparência e função.
(https://www.kaspersky.com/blog/fake-trezor-hardware-crypto-wallet/48155/)
Aqui estão algumas das maneiras que oferecemos para lidar com ataques à cadeia de suprimentos de carteiras de hardware:
Compre de canais oficiais: Esta é a maneira mais eficaz de lidar com ataques à cadeia de suprimentos. Não compre carteiras de hardware de canais não oficiais, como shoppings online, agentes de compra, internautas, etc.
Verifique a aparência: Depois de receber a carteira, verifique primeiro se a embalagem externa foi danificada. Este é o mais básico, embora os hackers provavelmente não sejam expostos neste passo.
Autenticação: Algumas carteiras de hardware oferecem serviços de verificação de dispositivo físico do site oficial. Quando o usuário inicializa a carteira, o dispositivo solicitará que o usuário execute a verificação de dispositivo físico do site oficial. Se o dispositivo for adulterado durante o transporte, não será possível passar na verificação do dispositivo real no site oficial.
Mecanismo de desmontagem e autodestruição: Você pode optar por adquirir uma carteira de hardware com um mecanismo de desmontagem e autodestruição. Quando alguém tenta abrir a carteira de hardware e manipular os componentes internos, o mecanismo de autodestruição será acionado. Todas as informações sensíveis no chip de segurança serão automaticamente apagadas, e o dispositivo não poderá mais ser usado.
Risco de vazamento de chave privada/frase-semente
Através do conteúdo acima, todos devem aprender como baixar ou adquirir uma carteira real, mas como manter a chave privada/frase-semente é outro problema. A chave privada/frase-semente é a única credencial para recuperar a carteira e controlar os ativos. A chave privada é uma cadeia hexadecimal de 64 bits composta por letras e números, e a frase-semente geralmente consiste de 12 palavras. A equipe de segurança SlowMist gostaria de lembrá-lo que se a chave privada/frase-semente for vazada, os ativos da carteira têm uma grande probabilidade de serem roubados. Vamos dar uma olhada em algumas razões comuns que levam ao vazamento da chave privada/frase-semente:
Confidencialidade inadequada: Os usuários podem contar a parentes e amigos a chave privada/frase-semente e pedir que os ajudem a salvá-la. Como resultado, os fundos são roubados por parentes e amigos.
Armazenamento ou transmissão de chaves privadas/frase-semente: Embora alguns usuários saibam que a chave privada/frase-semente não deve ser compartilhada com outras pessoas, eles vão salvá-la através de favoritos do WeChat, tirando fotos, capturas de tela, armazenamento em nuvem, notas, etc. Uma vez que essas contas de plataformas são coletadas e invadidas com sucesso por hackers, as chaves privadas/frases-semente podem ser facilmente roubadas.
Copie e cole a chave privada/frase semente: Muitas ferramentas de área de transferência e métodos de entrada farão upload dos registros da área de transferência do usuário para a nuvem, deixando a chave privada/frase semente exposta em um ambiente inseguro. Além disso, softwares trojan também podem roubar as informações da área de transferência quando o usuário copia a chave privada/frase semente. Portanto, não é recomendado que os usuários copiem e colem a chave privada/frase semente. Esse comportamento aparentemente inofensivo na verdade pode representar um grande risco de vazamento.
Então, como evitar vazamento de chave privada/frase-semente?
Primeiro, não conte a ninguém, incluindo amigos e família, sua chave privada/frase-semente. Em segundo lugar, tente escolher um meio físico para salvar a chave privada/frase-semente para evitar que hackers a obtenham através de ataques de rede e outros meios. Por exemplo, copie a chave privada/frase-semente em papel de boa qualidade (você também pode selá-la em plástico) ou use uma caixa de frase-semente para armazená-la. Além disso, configurar multi-assinaturas e armazenar as chaves privadas/frases-semente de forma descentralizada também pode melhorar a segurança das chaves privadas/frases-semente. Em relação a como fazer backup da chave privada/frase-semente, você pode ler o "Manual de Autossocorro da Floresta Negra Blockchain" produzido pela SlowMist:https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main /README_CN.md.
Resumo
Este artigo explica principalmente os riscos ao baixar/comprar uma carteira, como encontrar o site oficial real e verificar a autenticidade da carteira, e o risco de vazamento da chave privada/frase-semente. Esperamos que o conteúdo deste problema possa ajudar todos a dar o primeiro passo no web3. No próximo problema, explicaremos os riscos ao usar carteiras, como phishing, riscos de assinatura e autorização. Bem-vindo a nos seguir. (Ps. As marcas e imagens mencionadas neste artigo são apenas usadas para auxiliar a compreensão dos leitores e não constituem recomendações ou garantias)
- Este artigo é reproduzido a partir de [Conta oficial no WeChat: SlowMist Technology]. Todos os direitos autorais pertencem ao autor original [Equipe de Segurança SlowMist]. Se houver objeções a esta reimpressão, entre em contato com o Gate Learnequipe e eles vão lidar com isso prontamente.
- Isenção de responsabilidade: As visões e opiniões expressas neste artigo são exclusivamente do autor e não constituem nenhum conselho de investimento.
- As traduções do artigo para outros idiomas são feitas pela equipe Gate Learn. A menos que mencionado, copiar, distribuir ou plagiar os artigos traduzidos é proibido.
相关文章
Como fazer suas próprias pesquisas (DYOR)?
O que é análise fundamentalista?