Guia de segurança da carteira de hardware: como prevenir ataques e lavar os olhos comuns
No campo das criptomoedas, a segurança é sempre a prioridade. Muitas pessoas optam por usar carteiras de hardware (também conhecidas como carteiras frias) para proteger os seus ativos digitais. A principal função deste dispositivo de segurança física é armazenar a chave privada que controla os tokens offline em um chip seguro. Todas as confirmações e assinaturas de transações são feitas internamente no dispositivo, e a chave privada nunca entra em contato com dispositivos conectados à rede, reduzindo significativamente o risco de ataques cibernéticos.
No entanto, a premissa desta segurança é que a carteira de hardware que você está usando deve ser confiável e não ter sido adulterada. Se um atacante já manipulou o dispositivo antes de você obtê-lo, então esta fortaleza de segurança originalmente destinada a proteger a chave privada perde a sua função de proteção desde o início, tornando-se uma armadilha que os golpistas podem explorar a qualquer momento.
Este artigo apresentará dois tipos comuns de ataques a carteiras de hardware e fornecerá um conjunto abrangente de diretrizes de segurança.
principais tipos de esquemas de ataque a carteiras de hardware
Atualmente, os golpes de ataque a carteiras de hardware dividem-se principalmente em duas categorias: ataques técnicos e golpes de palavras-passe pré-definidas.
ataque técnico
O núcleo deste tipo de ataque reside na modificação da estrutura física da carteira de hardware. Os atacantes sequestraram as funções principais do dispositivo através de técnicas como a substituição do chip interno ou a inserção de programas maliciosos que podem secretamente gravar ou enviar palavras-passe. Esses dispositivos atacados podem parecer idênticos aos originais, mas a sua capacidade de gerar e armazenar chaves privadas offline foi comprometida.
Os atacantes costumam se disfarçar nas redes sociais como projetos conhecidos, marcas de carteira de hardware ou influenciadores, sob o pretexto de troca gratuita, sorteios, etc., enviando carteiras de hardware atacadas como "brindes" para as vítimas.
Em 2021, houve um relatório de que um usuário recebeu uma "substituição gratuita" da carteira de hardware enviada por uma suposta marca oficial. Quando ele usou suas palavras-passe para restaurar a carteira no dispositivo, tokens no valor de 78.000 dólares foram instantaneamente transferidos. Após a análise, descobriu-se que este dispositivo já tinha um programa malicioso implantado, capaz de roubar as palavras-passe do usuário enquanto ele as digitava.
lavar os olhos de palavras-chave pré-definidas
Este é atualmente o esquema mais comum e que mais facilmente pode enganar as pessoas. Ele não depende de tecnologias complexas, mas sim da diferença de informação e das fraquezas psicológicas dos usuários. O cerne da questão é: o golpista, antes de você receber a carteira de hardware, já preparou para você um conjunto de palavras-passe "pré-configurado", induzindo os usuários a utilizarem essa carteira através de manuais falsificados e discursos enganosos.
Os golpistas geralmente vendem carteiras de hardware a preços baixos através de canais não oficiais (como plataformas de redes sociais, comércio ao vivo ou mercados de segunda mão). Assim que os usuários deixam de verificar ou são atraídos pelo preço baixo, tornam-se facilmente vítimas de armadilhas.
Os golpistas compram carteiras de hardware genuínas através de canais oficiais, depois desembrulham, ativam o dispositivo, geram e registram a frase de recuperação da carteira, adulteram o manual e o cartão do produto. Em seguida, utilizam equipamentos e materiais de embalagem profissional para reembalar, disfarçando-as como "novas e não abertas" carteiras de hardware para venda em plataformas de e-commerce.
Atualmente, observam-se principalmente duas táticas no lavar os olhos de palavras-passe predefinidas:
Fornecer diretamente uma frase de recuperação pré-definida: o pacote inclui um cartão de frase de recuperação impresso, induzindo o usuário a usar essa frase para recuperar a Carteira.
Fornecer um PIN pré-definido: fornecer um cartão de raspadinha, alegando que ao raspar a camada pode-se ver o "PIN" ou "código de ativação do dispositivo" único, e mentir que a carteira de hardware não precisa de frase-semente.
Uma vez que o utilizador enfrente este tipo de lavar os olhos, aparentemente ele possui uma carteira de hardware, mas na verdade não tem o controle real da carteira. O controle da carteira (frase de recuperação) continua a estar nas mãos do golpista. Depois, todos os tokens que o utilizador transferir para essa carteira são equivalentes a enviá-los diretamente para o bolso do golpista.
Como proteger a sua carteira de hardware
Para prevenir riscos desde a origem até à utilização, por favor consulte a seguinte lista de verificação de segurança:
Primeiro passo: compra e verificação na caixa através de canais oficiais
Persistir na compra de carteira de hardware através de canais oficiais.
Após receber o dispositivo, verifique cuidadosamente se a embalagem externa, os selos e o conteúdo estão intactos.
Verifique o estado de ativação do dispositivo no site oficial, garantindo que o novo dispositivo ainda não tenha sido ativado.
Segunda etapa: gerar e fazer backup da frase de recuperação de forma independente
Na primeira utilização, deve concluir pessoalmente todo o processo de ativação do dispositivo, configuração do código PIN e do código de ligação, criação e backup da frase-secreta.
Faça uma cópia da frase de recuperação fisicamente (como escrevendo-a em papel) ou usando ferramentas específicas, e armazene-a em um local seguro separado da carteira de hardware. Nunca tire fotos, faça capturas de tela ou armazene em qualquer dispositivo eletrônico.
Terceiro passo: teste de tokens de baixo valor
Antes de depositar grandes quantidades de tokens, complete um teste completo de recebimento e transferência com uma pequena quantia de tokens. Ao assinar a transferência, verifique cuidadosamente as informações na tela do dispositivo de hardware (como tipo de moeda, quantidade transferida, endereço de recebimento) para garantir que sejam consistentes com o que é exibido na carteira de software. Após confirmar que os tokens foram transferidos com sucesso, prossiga com operações de armazenamento de grandes quantidades.
Conclusão
A segurança da carteira de hardware não depende apenas do seu design de tecnologia central, mas também da segurança dos canais de compra e dos hábitos de operação corretos dos usuários. A segurança a nível físico é uma parte absolutamente inegável da proteção dos tokens digitais.
No mundo cripto, onde oportunidades e riscos coexistem, é imperativo estabelecer a mentalidade de segurança de "zero confiança" — nunca confie em qualquer canal, pessoa ou dispositivo que não tenha sido oficialmente verificado. Mantenha uma vigilância elevada sobre qualquer "almoço grátis", pois esta é a primeira e mais importante linha de defesa para proteger os seus ativos digitais.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
15 Curtidas
Recompensa
15
5
Compartilhar
Comentário
0/400
BrokeBeans
· 08-06 04:38
Comprar Carteira fria de forma enganadora
Ver originalResponder0
MetaMuskRat
· 08-06 04:35
Na próxima vez que cair, que seja o fim.
Ver originalResponder0
PositionPhobia
· 08-06 04:34
Este novato compra uma carteira fria tão avançada para quê? Está com medo de perder tudo.
Ver originalResponder0
OnChain_Detective
· 08-06 04:29
hmm... esses padrões de ataque a carteiras de hardware estão começando a parecer muito suspeitos. vi 3 casos apenas esta semana com um MO semelhante *nervous twitch*
Ver originalResponder0
CodeAuditQueen
· 08-06 04:27
Zé, o problema de confiança a nível de hardware é mais complicado do que as vulnerabilidades dos contratos inteligentes...
Guia de Segurança da Carteira de Hardware: Passos Cruciais para Prevenir Ataques e Lavar os Olhos
Guia de segurança da carteira de hardware: como prevenir ataques e lavar os olhos comuns
No campo das criptomoedas, a segurança é sempre a prioridade. Muitas pessoas optam por usar carteiras de hardware (também conhecidas como carteiras frias) para proteger os seus ativos digitais. A principal função deste dispositivo de segurança física é armazenar a chave privada que controla os tokens offline em um chip seguro. Todas as confirmações e assinaturas de transações são feitas internamente no dispositivo, e a chave privada nunca entra em contato com dispositivos conectados à rede, reduzindo significativamente o risco de ataques cibernéticos.
No entanto, a premissa desta segurança é que a carteira de hardware que você está usando deve ser confiável e não ter sido adulterada. Se um atacante já manipulou o dispositivo antes de você obtê-lo, então esta fortaleza de segurança originalmente destinada a proteger a chave privada perde a sua função de proteção desde o início, tornando-se uma armadilha que os golpistas podem explorar a qualquer momento.
Este artigo apresentará dois tipos comuns de ataques a carteiras de hardware e fornecerá um conjunto abrangente de diretrizes de segurança.
principais tipos de esquemas de ataque a carteiras de hardware
Atualmente, os golpes de ataque a carteiras de hardware dividem-se principalmente em duas categorias: ataques técnicos e golpes de palavras-passe pré-definidas.
ataque técnico
O núcleo deste tipo de ataque reside na modificação da estrutura física da carteira de hardware. Os atacantes sequestraram as funções principais do dispositivo através de técnicas como a substituição do chip interno ou a inserção de programas maliciosos que podem secretamente gravar ou enviar palavras-passe. Esses dispositivos atacados podem parecer idênticos aos originais, mas a sua capacidade de gerar e armazenar chaves privadas offline foi comprometida.
Os atacantes costumam se disfarçar nas redes sociais como projetos conhecidos, marcas de carteira de hardware ou influenciadores, sob o pretexto de troca gratuita, sorteios, etc., enviando carteiras de hardware atacadas como "brindes" para as vítimas.
Em 2021, houve um relatório de que um usuário recebeu uma "substituição gratuita" da carteira de hardware enviada por uma suposta marca oficial. Quando ele usou suas palavras-passe para restaurar a carteira no dispositivo, tokens no valor de 78.000 dólares foram instantaneamente transferidos. Após a análise, descobriu-se que este dispositivo já tinha um programa malicioso implantado, capaz de roubar as palavras-passe do usuário enquanto ele as digitava.
lavar os olhos de palavras-chave pré-definidas
Este é atualmente o esquema mais comum e que mais facilmente pode enganar as pessoas. Ele não depende de tecnologias complexas, mas sim da diferença de informação e das fraquezas psicológicas dos usuários. O cerne da questão é: o golpista, antes de você receber a carteira de hardware, já preparou para você um conjunto de palavras-passe "pré-configurado", induzindo os usuários a utilizarem essa carteira através de manuais falsificados e discursos enganosos.
Os golpistas geralmente vendem carteiras de hardware a preços baixos através de canais não oficiais (como plataformas de redes sociais, comércio ao vivo ou mercados de segunda mão). Assim que os usuários deixam de verificar ou são atraídos pelo preço baixo, tornam-se facilmente vítimas de armadilhas.
Os golpistas compram carteiras de hardware genuínas através de canais oficiais, depois desembrulham, ativam o dispositivo, geram e registram a frase de recuperação da carteira, adulteram o manual e o cartão do produto. Em seguida, utilizam equipamentos e materiais de embalagem profissional para reembalar, disfarçando-as como "novas e não abertas" carteiras de hardware para venda em plataformas de e-commerce.
Atualmente, observam-se principalmente duas táticas no lavar os olhos de palavras-passe predefinidas:
Fornecer diretamente uma frase de recuperação pré-definida: o pacote inclui um cartão de frase de recuperação impresso, induzindo o usuário a usar essa frase para recuperar a Carteira.
Fornecer um PIN pré-definido: fornecer um cartão de raspadinha, alegando que ao raspar a camada pode-se ver o "PIN" ou "código de ativação do dispositivo" único, e mentir que a carteira de hardware não precisa de frase-semente.
Uma vez que o utilizador enfrente este tipo de lavar os olhos, aparentemente ele possui uma carteira de hardware, mas na verdade não tem o controle real da carteira. O controle da carteira (frase de recuperação) continua a estar nas mãos do golpista. Depois, todos os tokens que o utilizador transferir para essa carteira são equivalentes a enviá-los diretamente para o bolso do golpista.
Como proteger a sua carteira de hardware
Para prevenir riscos desde a origem até à utilização, por favor consulte a seguinte lista de verificação de segurança:
Primeiro passo: compra e verificação na caixa através de canais oficiais
Segunda etapa: gerar e fazer backup da frase de recuperação de forma independente
Terceiro passo: teste de tokens de baixo valor
Antes de depositar grandes quantidades de tokens, complete um teste completo de recebimento e transferência com uma pequena quantia de tokens. Ao assinar a transferência, verifique cuidadosamente as informações na tela do dispositivo de hardware (como tipo de moeda, quantidade transferida, endereço de recebimento) para garantir que sejam consistentes com o que é exibido na carteira de software. Após confirmar que os tokens foram transferidos com sucesso, prossiga com operações de armazenamento de grandes quantidades.
Conclusão
A segurança da carteira de hardware não depende apenas do seu design de tecnologia central, mas também da segurança dos canais de compra e dos hábitos de operação corretos dos usuários. A segurança a nível físico é uma parte absolutamente inegável da proteção dos tokens digitais.
No mundo cripto, onde oportunidades e riscos coexistem, é imperativo estabelecer a mentalidade de segurança de "zero confiança" — nunca confie em qualquer canal, pessoa ou dispositivo que não tenha sido oficialmente verificado. Mantenha uma vigilância elevada sobre qualquer "almoço grátis", pois esta é a primeira e mais importante linha de defesa para proteger os seus ativos digitais.