Antecedentes

As carteiras desempenham um papel vital no mundo Web3. São ferramentas de armazenamento para ativos digitais e ferramentas necessárias para os utilizadores realizarem transações e acederem a DApps. questão anterior Do Guia Iniciante de Segurança Web3 para Evitar Armadilhas, introduzimos principalmente a categorização de carteiras e listamos pontos de risco comuns para ajudar os leitores a conhecer os conceitos básicos de segurança de carteiras. Com a popularidade da criptomoeda e da tecnologia blockchain, os cibercriminosos também têm visado os fundos dos usuários Web3. De acordo com o formulário de roubo recebido pela Equipe de Segurança SlowMist, pode-se ver que muitos usuários foram roubados devido ao download/compra de carteiras falsas. Portanto, nesta edição, exploraremos por que os usuários podem baixar/comprar carteiras falsas e os riscos de vazamento de chave privada/frase-semente. Além disso, forneceremos uma série de recomendações de segurança para ajudar os usuários a proteger seus fundos.

Transferir carteiras falsas

Como muitos telemóveis não suportam a Google Play Store ou devido a problemas de rede, muitas pessoas irão descarregar carteiras de outras formas, como:

Site de download de terceiros

Alguns utilizadores vão descarregar carteiras através de sites de descarga de terceiros, como apkcombo, apkpure, etc. Estes sites frequentemente anunciam que as suas aplicações são descarregadas a partir de espelhos da Google Play Store, mas quão seguros são? A equipa de segurança da SlowMist conduziu uma investigação e análise de fontes de terceiros de carteiras falsas Web3, e os resultados mostram que a versão da carteira fornecida pelo site de descarga de terceiros apkcombo não existe. Uma vez que o utilizador cria uma carteira ou importa uma frase-semente da carteira na interface de início, a carteira falsa enviará a frase-semente e outras informações para o servidor do site de phishing.

Motor de busca

As classificações de resultados de motores de busca podem ser manipuladas, levando a casos em que os sites oficiais falsos são classificados mais alto do que os genuínos. Portanto, não é recomendado que os utilizadores procurem diretamente carteiras através de motores de busca e cliquem nos links com classificação mais alta para descarregar as carteiras. Fazê-lo pode muito provavelmente resultar no acesso a um site oficial falso e descarregar uma carteira falsa. Quando os utilizadores não têm a certeza do URL do site oficial, é difícil determinar se é um site falso com base apenas na aparência da página de exibição do site. Isto deve-se ao facto de os golpistas criarem sites falsos que se assemelham de perto aos sites oficiais genuínos, tornando difícil distinguir entre os dois. Portanto, também não é recomendado que os utilizadores cliquem nos links partilhados por outros utilizadores em plataformas como o Twitter ou outras plataformas, pois estes são frequentemente links de phishing.

Parentes e Amigos/Fraudes de Abate de Porcos

Na floresta escura da blockchain, manter a confiança zero é crucial. Embora os seus amigos e familiares possam não ter intenções maliciosas para consigo, as carteiras que eles descarregam podem ser falsas e ainda não terem sido comprometidas. Portanto, se descarregar uma carteira através do código QR/link que partilham, há a possibilidade de descarregar uma carteira falsa.

A equipe de segurança SlowMist recebeu numerosos relatórios de incidentes de golpes envolvendo o roubo de fundos. Os golpistas frequentemente estabelecem confiança com as vítimas, orientam-nas para investimentos em criptomoedas e compartilham links para download de carteiras falsas. No final, as vítimas não apenas perdem seus fundos, mas também sua confiança. Portanto, os usuários devem permanecer vigilantes ao interagir com conhecidos online, especialmente quando incentivam investimentos ou enviam links suspeitos. Não confie neles em tais situações.

Telegram

No Telegram, ao pesquisar por carteiras conhecidas, encontrámos alguns grupos oficiais falsos. Os burlões afirmariam que o grupo é o canal oficial de uma determinada carteira e até lembrariam os utilizadores no grupo para procurarem o único link do site oficial. No entanto, todos esses links são falsos.

App Mall

É importante lembrar que as aplicações na loja oficial de aplicações nem sempre são seguras. Alguns criminosos induzem os utilizadores a descarregar aplicações fraudulentas ao comprar classificações por palavras-chave para desviar o tráfego. Os leitores são aconselhados a ter cuidado.

Então, o que podem os utilizadores fazer para evitar o download de carteiras falsas?

Descarregue aplicações a partir do site oficial

A capacidade de encontrar o verdadeiro site oficial não será apenas usada ao baixar a carteira, mas também será usada quando os usuários participarem posteriormente no projeto Web3, por isso vamos falar sobre como encontrar o site oficial correto aqui.

Os utilizadores podem pesquisar diretamente a entidade do projeto no Twitter e depois julgar se é uma conta oficial com base no número de seguidores, no tempo de registo e se tem um selo azul ou dourado. No entanto, tudo isso pode ser falsificado. No artigo Partes de projetos autênticos e falsos | Cuidado com o phishing de contas falsas na área de comentáriosDisse-te sobre os produtos pretos e cinzentos que vendem números de imitação de alta qualidade. Por isso, é recomendável que os novatos sigam primeiro algumas empresas de segurança, profissionais de segurança, meios de comunicação conhecidos, etc., na indústria no Twitter para ver se seguem a conta oficial que encontraste.

(https://twitter.com/DefiLlama)

Através do método acima, os utilizadores têm uma alta probabilidade de encontrar a conta oficial real do Twitter, mas ainda precisamos de fazer várias verificações. Afinal, não é incomum as contas oficiais do Twitter serem hackeadas, e os hackers também substituirão o link do site oficial na conta oficial por um link de site oficial falso, então os utilizadores precisam comparar o link do site oficial que acabaram de encontrar com os links encontrados através de outros canais (como DefiLlama, CoinGecko, CoinMarketCap, etc.).

(https://defillama.com/)

(https://landing.coingecko.com/links/)

Após encontrar e confirmar o link do site oficial, é recomendável que os utilizadores guardem o link nos favoritos para que possam encontrar o link correto diretamente a partir dos favoritos da próxima vez, sem terem de o procurar e confirmar novamente sempre, reduzindo a probabilidade de aceder a um site oficial falso.

App Mall

Os utilizadores podem descarregar a carteira através das lojas de aplicações oficiais, como a Apple Store, Google Play Store, etc., mas antes de descarregar, certifique-se de verificar primeiro as informações do programador da aplicação para garantir que são consistentes com a identidade oficial do programador. Também pode consultar informações como classificações e descarregamentos da aplicação.

Verificação da versão oficial

Alguns leitores que veem isto podem estar a perguntar-se: como verificar se a carteira que descarregou é uma carteira real? Os utilizadores podem realizar a verificação da consistência do ficheiro, que determina se o ficheiro foi alterado durante a transmissão ou armazenamento ao comparar o valor de hash do ficheiro. Os utilizadores só precisam de arrastar o ficheiro APK previamente descarregado para a ferramenta de verificação de hash do ficheiro. Esta ferramenta irá utilizar uma função de hash (como MD5, SHA-256, etc.) para gerar o valor de hash do ficheiro. Se este valor for consistente com o valor de hash oficial, é uma carteira real; se não coincidir, é uma carteira falsa. O que deve fazer um utilizador se verificar que a sua carteira é falsa?

1. Primeiro confirme o alcance do vazamento. Se você apenas baixou a carteira falsa mas não inseriu a chave privada/frase-semente, então apenas exclua o aplicativo e faça o download novamente da versão oficial.

2. Se a chave privada/frase-semente foi importada para a carteira falsa, significa que a chave privada/frase-semente foi divulgada. Por favor, vá ao site oficial para baixar a carteira genuína e importar a chave privada/frase-semente, e criar um novo endereço para transferir rapidamente fundos transferíveis.

3. Se a sua criptomoeda for infelizmente roubada, pode utilizar os nossos serviços gratuitos de assistência comunitária para avaliação do caso. Apenas precisa de submeter um formulário de acordo com as diretrizes de classificação (fundos roubados/fraude/extorsão). Ao mesmo tempo, o endereço do hacker que submeteu será também sincronizado com a rede de cooperação de inteligência de ameaças InMist para controlo de riscos. (Nota: Submeta o formulário em Chinês parahttps://aml.slowmist.com/cn/recovery-funds.html, e submeta o formulário em inglês para https://aml.slowmist.com/recovery-funds.html)

Comprar uma carteira de hardware falsa

A situação mencionada acima é por que as carteiras falsas são baixadas e as soluções. Vamos falar sobre por que as carteiras de hardware falsas são compradas.

Alguns utilizadores optam por comprar carteiras de hardware em centros comerciais online, mas as carteiras de hardware de tais lojas não autorizadas têm riscos de segurança muito grandes, porque antes de a carteira estar nas mãos do utilizador, quantas pessoas passarão por ela e se os componentes internos foram adulterados são incertos. Se os componentes internos foram adulterados, será difícil detetar o problema a partir da aparência e da função.

(https://www.kaspersky.com/blog/fake-trezor-hardware-crypto-wallet/48155/)

Aqui estão algumas das formas que oferecemos para lidar com ataques à cadeia de fornecimento de carteiras de hardware:

Compre em canais oficiais: Esta é a forma mais eficaz de lidar com ataques à cadeia de abastecimento. Não compre carteiras de hardware em canais não oficiais, como shoppings online, agentes de compras, internautas, etc.

Verifique a aparência: Após receber a carteira, verifique primeiro se a embalagem exterior foi danificada. Este é o mais básico, embora os hackers provavelmente não sejam expostos neste passo.

Autenticação: Alguns carteiras de hardware fornecem serviços de verificação de dispositivo físico do site oficial. Quando o usuário inicializa a carteira, o dispositivo solicitará ao usuário que realize a verificação do dispositivo físico do site oficial. Se o dispositivo for adulterado durante o transporte, não será capaz de passar na verificação do dispositivo real no site oficial.

Mecanismo de desmontagem e autodestruição: Pode optar por adquirir uma carteira de hardware com um mecanismo de desmontagem e autodestruição. Quando alguém tenta abrir a carteira de hardware e manipular os componentes internos, o mecanismo de autodestruição é acionado. Todas as informações sensíveis no chip de segurança serão automaticamente apagadas e o dispositivo não poderá mais ser utilizado.

Risco de vazamento de chave privada/frase-semente

Através do conteúdo acima, todos devem aprender como fazer o download ou comprar uma carteira real, mas como manter a chave privada/frase-semente é outro problema. A chave privada/frase-semente é o único credencial para recuperar a carteira e controlar os ativos. A chave privada é uma cadeia hexadecimal de 64 bits composta por letras e números, e a frase-semente geralmente é composta por 12 palavras. A equipe de segurança da SlowMist gostaria de lembrar que se a chave privada/frase-semente for divulgada, é muito provável que os ativos da carteira sejam roubados. Vamos dar uma olhada em algumas razões comuns que levam à divulgação da chave privada/frase-semente:

Confidencialidade inadequada: Os utilizadores podem contar a familiares e amigos a chave privada/frase semente e pedir-lhes que a ajudem a guardar. Como resultado, os fundos são roubados por familiares e amigos.

Armazenamento ou transmissão de chaves privadas/frase-semente: Embora alguns utilizadores saibam que a chave privada/frase-semente não deve ser revelada a terceiros, irão guardá-la através de favoritos do WeChat, tirando fotos, capturas de ecrã, armazenamento na nuvem, notas, etc. Uma vez que estas contas de plataformas sejam recolhidas e comprometidas com sucesso por hackers, as chaves privadas/frases-semente podem ser facilmente roubadas.

Copie e cole a chave privada/frase-semente: Muitas ferramentas de área de transferência e métodos de entrada farão upload dos registros da área de transferência do usuário para a nuvem, deixando a chave privada/frase-semente exposta em um ambiente inseguro. Além disso, software Trojan também pode roubar as informações na área de transferência quando o usuário copia a chave privada/frase-semente. Portanto, não é recomendado que os usuários copiem e colem a chave privada/frase-semente. Esse comportamento aparentemente inofensivo na realidade pode representar um grande risco de vazamento.

Então, como evitar a divulgação da chave privada/frase-semente?

Primeiro, não conte a ninguém, incluindo amigos e familiares, a sua chave privada/frase semente. Em segundo lugar, tente escolher um meio físico para salvar a chave privada/frase semente para evitar que hackers a obtenham por meio de ataques de rede e outros meios. Por exemplo, copie a frase chave privada/semente em papel de boa qualidade (você também pode selá-la em plástico) ou use uma caixa de frase de semente para armazená-la. Além disso, a configuração de várias assinaturas e o armazenamento descentralizado de chaves privadas/frases de semente também podem melhorar a segurança de chaves privadas/frases de semente. Sobre como fazer backup da chave privada / frase semente, você pode ler o "Blockchain Dark Forest Self-Rescue Handbook" produzido pela SlowMist: https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main /README_CN.md.

Resumo

Este artigo explica principalmente os riscos ao baixar/comprar uma carteira, como encontrar o site oficial real e verificar a autenticidade da carteira, e o risco de vazamento da chave privada/frase-semente. Esperamos que o conteúdo deste número possa ajudar todos a dar o primeiro passo no web3. No próximo número, explicaremos os riscos ao usar carteiras, como phishing, riscos de assinatura e autorização. Bem-vindo a seguir-nos. (Obs. As marcas e imagens mencionadas neste artigo são apenas usadas para ajudar na compreensão dos leitores e não constituem recomendações ou garantias)

1. Este artigo é reproduzido a partir de [Conta oficial do WeChat: SlowMist Technology]. Todos os direitos de autor pertencem ao autor original [Equipe de Segurança SlowMist]. Se houver objeções a esta reimpressão, entre em contato com o Gate Learnequipa e eles irão tratar disso prontamente.
2. Aviso de responsabilidade: As opiniões expressas neste artigo são exclusivamente do autor e não constituem qualquer conselho de investimento.
3. As traduções do artigo para outras línguas são feitas pela equipe Gate Learn. Salvo indicação em contrário, copiar, distribuir ou plagiar os artigos traduzidos é proibido.