Risques des faux portefeuilles et de la divulgation de la phrase de récupération privée
Contexte
Les portefeuilles jouent un rôle vital dans le monde Web3. Ce sont des outils de stockage pour les actifs numériques et des outils nécessaires pour que les utilisateurs puissent effectuer des transactions et accéder aux DApps. problème précédent Dans le Guide du débutant en sécurité Web3 pour éviter les pièges, nous avons principalement introduit la catégorisation des portefeuilles et énuméré les points de risque courants pour aider les lecteurs à comprendre les concepts de base de la sécurité des portefeuilles. Avec la popularité des cryptomonnaies et de la technologie blockchain, les cybercriminels ciblent également les fonds des utilisateurs de Web3. Selon le formulaire de vol reçu par l'équipe de sécurité SlowMist, on peut voir que de nombreux utilisateurs ont été volés en téléchargeant/achetant de faux portefeuilles. Par conséquent, dans ce numéro, nous explorerons pourquoi les utilisateurs peuvent télécharger/acheter de faux portefeuilles et les risques de fuite de clé privée/phrase de récupération. De plus, nous fournirons une série de recommandations en matière de sécurité pour aider les utilisateurs à protéger leurs fonds.
Télécharger de faux portefeuilles
Étant donné que de nombreux téléphones portables ne prennent pas en charge le Google Play Store ou en raison de problèmes de réseau, de nombreuses personnes téléchargeront des portefeuilles par d'autres moyens, tels que :
Site de téléchargement tiers
Certains utilisateurs téléchargent des portefeuilles via des sites de téléchargement tiers tels que apkcombo, apkpure, etc. Ces sites annoncent souvent que leurs applications sont téléchargées à partir des miroirs du Google Play Store, mais à quel point est-ce sûr ? L’équipe de sécurité de SlowMist a mené une enquête et une analyse des sources tierces de faux portefeuilles Web3, et les résultats montrent que la version de portefeuille fournie par le site de téléchargement tiers apkcombo n’existe pas. Une fois que l’utilisateur a créé un portefeuille ou importé une phrase de récupération de portefeuille sur l’interface de démarrage, le faux portefeuille enverra la phrase de récupération et d’autres informations au serveur du site Web de phishing.
Moteur de recherche
Les classements des résultats des moteurs de recherche peuvent être manipulés, ce qui conduit à des cas où des faux sites officiels se classent plus haut que les véritables. Par conséquent, il est déconseillé aux utilisateurs de rechercher directement des portefeuilles via les moteurs de recherche, puis de cliquer sur les liens les mieux classés pour télécharger des portefeuilles. Ce faisant, il est très probable qu'ils accèdent à un faux site officiel et téléchargent un faux portefeuille. Lorsque les utilisateurs ne sont pas sûrs de l'URL du site officiel, il est difficile de déterminer s'il s'agit d'un faux site en se basant uniquement sur l'apparence de la page d'affichage du site. Cela s'explique par le fait que les escrocs créent des faux sites qui ressemblent étroitement aux véritables sites officiels, ce qui rend difficile la distinction entre les deux. Par conséquent, il est également déconseillé aux utilisateurs de cliquer sur les liens partagés par d'autres utilisateurs sur des plateformes comme Twitter ou d'autres plateformes, car il s'agit souvent de liens d'hameçonnage.
Parents et amis/Escroqueries liées à l’abattage de porcs
Dans la sombre forêt de la blockchain, maintenir une confiance zéro est crucial. Bien que vos amis et votre famille n'aient pas d'intentions malveillantes à votre égard, les portefeuilles qu'ils téléchargent pourraient être faux et ils pourraient ne pas encore avoir été compromis. Par conséquent, si vous téléchargez un portefeuille via le code QR/lien qu'ils partagent, il y a une possibilité de télécharger un portefeuille faux.
L'équipe de sécurité de SlowMist a reçu de nombreux rapports d'incidents d'escroquerie impliquant le vol de fonds. Les escrocs établissent souvent une relation de confiance avec les victimes, les orientent vers des investissements en cryptomonnaie, puis partagent des liens pour télécharger de faux portefeuilles. En fin de compte, les victimes non seulement perdent leurs fonds, mais aussi leur confiance. Par conséquent, les utilisateurs doivent rester vigilants lorsqu'ils interagissent avec des connaissances en ligne, surtout lorsqu'ils encouragent les investissements ou envoient des liens suspects. Ne leur faites pas confiance dans de telles situations.
Telegram
Sur Telegram, en recherchant des portefeuilles bien connus, nous avons trouvé certains faux groupes officiels. Les escrocs prétendraient que le groupe est le canal officiel d'un certain portefeuille, et rappelleraient même aux utilisateurs du groupe de rechercher le seul lien vers le site Web officiel. Cependant, ces liens sont tous faux.
App Mall
Il est important de vous rappeler que les applications dans le centre commercial d'applications officiel ne sont pas nécessairement sûres. Certains criminels incitent les utilisateurs à télécharger des applications frauduleuses en achetant des classements de mots clés pour détourner le trafic. Les lecteurs sont invités à être prudents.
Alors, que peuvent faire les utilisateurs pour éviter de télécharger de faux portefeuilles ?
Téléchargez les applications depuis le site officiel
La capacité de trouver le vrai site officiel ne sera pas seulement utilisée lors du téléchargement du portefeuille, mais sera également utilisée lorsque les utilisateurs participeront ultérieurement au projet Web3, nous parlerons donc ici de comment trouver le bon site officiel.
Les utilisateurs peuvent directement rechercher la partie projet sur Twitter, puis juger s'il s'agit d'un compte officiel en fonction du nombre de followers, de la date d'enregistrement et de la présence d'un label bleu ou doré. Cependant, tout cela peut être falsifié. Dans l'article «Parties de projet authentiques et fausses | Méfiez-vous de l'hameçonnage de compte faux dans la zone de commentairesJ'ai dit que je vous ai parlé des produits noirs et gris qui vendent des numéros d'imitation élevés. Par conséquent, il est recommandé aux débutants de suivre d'abord certaines entreprises de sécurité, des praticiens de la sécurité, des médias bien connus, etc. dans l'industrie sur Twitter pour voir s'ils suivent le compte officiel que vous avez trouvé.
(https://twitter.com/DefiLlama)
Grâce à la méthode ci-dessus, les utilisateurs ont une forte probabilité de trouver le véritable compte Twitter officiel, mais nous devons tout de même effectuer plusieurs vérifications. Après tout, il n'est pas rare que des comptes Twitter officiels soient piratés, et les pirates remplaceront également le lien du site officiel sur le compte officiel par un faux lien de site officiel, donc les utilisateurs doivent comparer le lien du site officiel qu'ils viennent de trouver avec les liens trouvés par d'autres canaux (comme DefiLlama, CoinGecko, CoinMarketCap, etc.) :
(https://landing.coingecko.com/links/)
Après avoir trouvé et confirmé le lien du site officiel, il est recommandé aux utilisateurs d'enregistrer le lien dans les favoris afin de pouvoir retrouver le lien correct directement à partir des favoris la prochaine fois sans avoir à le chercher et le confirmer à chaque fois, réduisant ainsi la probabilité d'accéder à un faux site web officiel.
App Mall
Les utilisateurs peuvent télécharger le portefeuille via les magasins d'applications officiels tels que l'Apple Store, le Google Play Store, etc., mais avant de le télécharger, assurez-vous de vérifier les informations du développeur de l'application pour vous assurer qu'elles sont cohérentes avec l'identité du développeur officiel. Vous pouvez également consulter des informations telles que les évaluations et les téléchargements de l'application.
Vérification de la version officielle
Certains lecteurs qui voient ceci peuvent se demander : comment vérifier si le portefeuille que vous avez téléchargé est un vrai portefeuille ? Les utilisateurs peuvent effectuer une vérification de la cohérence des fichiers, qui détermine si le fichier a été modifié pendant la transmission ou le stockage en comparant la valeur de hachage du fichier. Les utilisateurs n'ont qu'à faire glisser le fichier APK précédemment téléchargé dans l'outil de vérification de hachage de fichiers. Cet outil utilisera une fonction de hachage (comme MD5, SHA-256, etc.) pour générer la valeur de hachage du fichier. Si cette valeur est identique à la valeur de hachage officielle, c'est un vrai portefeuille ; si elle ne correspond pas, c'est un faux portefeuille. Que doit faire un utilisateur s'il vérifie que son portefeuille est faux ?
Confirmez d'abord l'étendue de la fuite. Si vous avez simplement téléchargé le faux portefeuille mais n'avez pas saisi la clé privée/la phrase de récupération, supprimez simplement l'application et téléchargez à nouveau la version officielle.
Si la clé privée/phrase de récupération a été importée dans le faux portefeuille, cela signifie que la clé privée/phrase de récupération a été divulguée. Veuillez vous rendre sur le site officiel pour télécharger le portefeuille authentique et importer la clé privée/phrase de récupération, et créer une nouvelle adresse pour transférer rapidement les fonds transférables.
Si votre cryptomonnaie est malheureusement volée, vous pouvez utiliser nos services d'assistance communautaire gratuits pour l'évaluation du cas. Vous avez seulement besoin de soumettre un formulaire selon les directives de classification (fonds volés/fraude/extorsion). En même temps, l'adresse du pirate informatique que vous avez soumise sera également synchronisée avec le réseau de coopération en intelligence des menaces InMist pour le contrôle des risques. (Remarque : soumettez le formulaire chinois à https://aml.slowmist.com/cn/recovery-funds.html, et soumettez le formulaire en anglais à https://aml.slowmist.com/recovery-funds.html)
Acheter un faux portefeuille matériel
La situation mentionnée ci-dessus est la raison pour laquelle de faux portefeuilles sont téléchargés et les solutions. Parlons de la raison pour laquelle de faux portefeuilles matériels sont achetés.
Certains utilisateurs choisissent d'acheter des portefeuilles matériels dans des centres commerciaux en ligne, mais les portefeuilles matériels de ces magasins non officiels autorisés présentent des risques de sécurité très importants, car avant que le portefeuille ne soit entre les mains de l'utilisateur, combien de personnes va-t-il traverser, et si les composants internes ont été altérés, sont incertains. Si les composants internes ont été altérés, il sera difficile de détecter le problème à partir de l'apparence et de la fonction.
(https://www.kaspersky.com/blog/faux-portefeuille-crypto-matériel-trezor/48155/)
Voici quelques-unes des façons dont nous proposons de faire face aux attaques de la chaîne d'approvisionnement des portefeuilles matériels :
Achetez auprès de canaux officiels : C'est la manière la plus efficace de contrer les attaques contre la chaîne d'approvisionnement. N'achetez pas de portefeuilles matériels auprès de canaux non officiels, tels que les centres commerciaux en ligne, les agents d'achat, les internautes, etc.
Vérifiez l'apparence : Après avoir obtenu le portefeuille, vérifiez d'abord si l'emballage extérieur a été endommagé. C'est le plus basique, bien que les pirates informatiques ne soient probablement pas exposés à cette étape.
Authentification : Certains portefeuilles matériels proposent des services de vérification physique du site web officiel. Lorsque l'utilisateur initialise le portefeuille, le dispositif invitera l'utilisateur à effectuer une vérification physique du site web officiel. Si le dispositif est altéré pendant le transport, il ne pourra pas passer la vérification du vrai dispositif sur le site web officiel.
Mécanisme de désassemblage et d'auto-destruction : Vous pouvez choisir d'acheter un portefeuille matériel avec un mécanisme de désassemblage et d'auto-destruction. Lorsque quelqu'un tente d'ouvrir le portefeuille matériel et de manipuler les composants internes, le mécanisme d'auto-destruction sera déclenché. Toutes les informations sensibles dans la puce de sécurité seront automatiquement effacées, et le dispositif ne pourra plus être utilisé.
Risque de fuite de clé privée/phrase de récupération
À travers le contenu ci-dessus, tout le monde devrait apprendre comment télécharger ou acheter un vrai portefeuille, mais comment conserver la clé privée/phrase de récupération est un autre problème. La clé privée/phrase de récupération est le seul identifiant pour récupérer le portefeuille et contrôler les actifs. La clé privée est une chaîne hexadécimale de 64 bits composée de lettres et de chiffres, et la phrase de récupération se compose généralement de 12 mots. L'équipe de sécurité de SlowMist tient à vous rappeler que si la clé privée/phrase de récupération est divulguée, les actifs du portefeuille sont très susceptibles d'être volés. Examinons quelques raisons courantes qui conduisent à la divulgation de la clé privée/phrase de récupération :
Confidentialité inadéquate : les utilisateurs peuvent dire à leurs proches et amis la clé privée/la phrase de récupération et leur demander de l'aide pour la sauvegarder. En conséquence, les fonds sont volés par des proches et des amis.
Stockage ou transmission en réseau des clés privées/phrase de récupération : Bien que certains utilisateurs sachent que la clé privée/phrase de récupération ne doit pas être divulguée à autrui, ils enregistrent la clé privée/phrase de récupération dans les favoris WeChat, prennent des photos, des captures d'écran, les stockent dans le cloud, les mettent dans des mémos, etc. Une fois que ces comptes de plateforme sont collectés et piratés avec succès par des hackers, les clés privées/phrases de récupération peuvent être facilement volées.
Copiez et collez la clé privée/phrase de récupération : de nombreux outils de presse-papiers et méthodes de saisie téléchargeront les enregistrements du presse-papiers de l'utilisateur sur le cloud, laissant la clé privée/phrase de récupération exposée dans un environnement non sécurisé. De plus, les logiciels malveillants de type cheval de Troie peuvent également voler les informations dans le presse-papiers lorsque l'utilisateur copie la clé privée/phrase de récupération. Par conséquent, il n'est pas recommandé aux utilisateurs de copier et coller la clé privée/phrase de récupération. Ce comportement en apparence anodin peut en réalité présenter un risque élevé de fuite.
Alors comment éviter la fuite de la clé privée/phrase de récupération ?
Tout d’abord, ne dites à personne, y compris à vos amis et à votre famille, votre clé privée/phrase de récupération. Deuxièmement, essayez de choisir un support physique pour enregistrer la clé privée/la phrase de récupération afin d’empêcher les pirates de l’obtenir par le biais d’attaques réseau et d’autres moyens. Par exemple, copiez la clé privée/la phrase de récupération sur du papier de bonne qualité (vous pouvez également la sceller dans du plastique) ou utilisez une boîte de phrase de récupération pour la stocker. En outre, la mise en place de signatures multiples et le stockage décentralisé des clés privées/phrases de récupération peuvent également améliorer la sécurité des clés privées/phrases de récupération. En ce qui concerne la façon de sauvegarder la clé privée/la phrase de récupération, vous pouvez lire le « Blockchain Dark Forest Self-Rescue Handbook » produit par SlowMist : https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md.
Résumé
Cet article explique principalement les risques liés au téléchargement/à l'achat d'un portefeuille, comment trouver le véritable site Web officiel et vérifier l'authenticité du portefeuille, et le risque de divulgation de la clé privée/de la phrase semence. Nous espérons que le contenu de cet article aidera tout le monde à faire le premier pas dans le web3. Dans le prochain numéro, nous expliquerons les risques liés à l'utilisation de portefeuilles, tels que le phishing, les risques de signature et d'autorisation. Bienvenue pour nous suivre. (Ps. Les marques et les images mentionnées dans cet article ne sont utilisées que pour aider à la compréhension des lecteurs et ne constituent pas des recommandations ou des garanties)
- Cet article est repris de [ Compte public WeChat : SlowMist Technology]. Tous les droits d'auteur appartiennent à l'auteur original [Équipe de sécurité SlowMist]. If there are objections to this reprint, please contact the Portail Apprendreéquipe, et ils s'en occuperont rapidement.
- Clause de non-responsabilité: Les points de vue et opinions exprimés dans cet article sont uniquement ceux de l'auteur et ne constituent aucun conseil en investissement.
- Les traductions de l'article dans d'autres langues sont effectuées par l'équipe Gate Learn. Sauf mention contraire, la copie, la distribution ou le plagiat des articles traduits est interdite.
相關文章
Comment faire votre propre recherche (DYOR)?
Qu'est-ce que l'analyse fondamentale ?
Qu'est ce que Solana?
Risques des faux portefeuilles et de la divulgation de la phrase de récupération privée
Contexte
Les portefeuilles jouent un rôle vital dans le monde Web3. Ce sont des outils de stockage pour les actifs numériques et des outils nécessaires pour que les utilisateurs puissent effectuer des transactions et accéder aux DApps. problème précédent Dans le Guide du débutant en sécurité Web3 pour éviter les pièges, nous avons principalement introduit la catégorisation des portefeuilles et énuméré les points de risque courants pour aider les lecteurs à comprendre les concepts de base de la sécurité des portefeuilles. Avec la popularité des cryptomonnaies et de la technologie blockchain, les cybercriminels ciblent également les fonds des utilisateurs de Web3. Selon le formulaire de vol reçu par l'équipe de sécurité SlowMist, on peut voir que de nombreux utilisateurs ont été volés en téléchargeant/achetant de faux portefeuilles. Par conséquent, dans ce numéro, nous explorerons pourquoi les utilisateurs peuvent télécharger/acheter de faux portefeuilles et les risques de fuite de clé privée/phrase de récupération. De plus, nous fournirons une série de recommandations en matière de sécurité pour aider les utilisateurs à protéger leurs fonds.
Télécharger de faux portefeuilles
Étant donné que de nombreux téléphones portables ne prennent pas en charge le Google Play Store ou en raison de problèmes de réseau, de nombreuses personnes téléchargeront des portefeuilles par d'autres moyens, tels que :
Site de téléchargement tiers
Certains utilisateurs téléchargent des portefeuilles via des sites de téléchargement tiers tels que apkcombo, apkpure, etc. Ces sites annoncent souvent que leurs applications sont téléchargées à partir des miroirs du Google Play Store, mais à quel point est-ce sûr ? L’équipe de sécurité de SlowMist a mené une enquête et une analyse des sources tierces de faux portefeuilles Web3, et les résultats montrent que la version de portefeuille fournie par le site de téléchargement tiers apkcombo n’existe pas. Une fois que l’utilisateur a créé un portefeuille ou importé une phrase de récupération de portefeuille sur l’interface de démarrage, le faux portefeuille enverra la phrase de récupération et d’autres informations au serveur du site Web de phishing.
Moteur de recherche
Les classements des résultats des moteurs de recherche peuvent être manipulés, ce qui conduit à des cas où des faux sites officiels se classent plus haut que les véritables. Par conséquent, il est déconseillé aux utilisateurs de rechercher directement des portefeuilles via les moteurs de recherche, puis de cliquer sur les liens les mieux classés pour télécharger des portefeuilles. Ce faisant, il est très probable qu'ils accèdent à un faux site officiel et téléchargent un faux portefeuille. Lorsque les utilisateurs ne sont pas sûrs de l'URL du site officiel, il est difficile de déterminer s'il s'agit d'un faux site en se basant uniquement sur l'apparence de la page d'affichage du site. Cela s'explique par le fait que les escrocs créent des faux sites qui ressemblent étroitement aux véritables sites officiels, ce qui rend difficile la distinction entre les deux. Par conséquent, il est également déconseillé aux utilisateurs de cliquer sur les liens partagés par d'autres utilisateurs sur des plateformes comme Twitter ou d'autres plateformes, car il s'agit souvent de liens d'hameçonnage.
Parents et amis/Escroqueries liées à l’abattage de porcs
Dans la sombre forêt de la blockchain, maintenir une confiance zéro est crucial. Bien que vos amis et votre famille n'aient pas d'intentions malveillantes à votre égard, les portefeuilles qu'ils téléchargent pourraient être faux et ils pourraient ne pas encore avoir été compromis. Par conséquent, si vous téléchargez un portefeuille via le code QR/lien qu'ils partagent, il y a une possibilité de télécharger un portefeuille faux.
L'équipe de sécurité de SlowMist a reçu de nombreux rapports d'incidents d'escroquerie impliquant le vol de fonds. Les escrocs établissent souvent une relation de confiance avec les victimes, les orientent vers des investissements en cryptomonnaie, puis partagent des liens pour télécharger de faux portefeuilles. En fin de compte, les victimes non seulement perdent leurs fonds, mais aussi leur confiance. Par conséquent, les utilisateurs doivent rester vigilants lorsqu'ils interagissent avec des connaissances en ligne, surtout lorsqu'ils encouragent les investissements ou envoient des liens suspects. Ne leur faites pas confiance dans de telles situations.
Telegram
Sur Telegram, en recherchant des portefeuilles bien connus, nous avons trouvé certains faux groupes officiels. Les escrocs prétendraient que le groupe est le canal officiel d'un certain portefeuille, et rappelleraient même aux utilisateurs du groupe de rechercher le seul lien vers le site Web officiel. Cependant, ces liens sont tous faux.
App Mall
Il est important de vous rappeler que les applications dans le centre commercial d'applications officiel ne sont pas nécessairement sûres. Certains criminels incitent les utilisateurs à télécharger des applications frauduleuses en achetant des classements de mots clés pour détourner le trafic. Les lecteurs sont invités à être prudents.
Alors, que peuvent faire les utilisateurs pour éviter de télécharger de faux portefeuilles ?
Téléchargez les applications depuis le site officiel
La capacité de trouver le vrai site officiel ne sera pas seulement utilisée lors du téléchargement du portefeuille, mais sera également utilisée lorsque les utilisateurs participeront ultérieurement au projet Web3, nous parlerons donc ici de comment trouver le bon site officiel.
Les utilisateurs peuvent directement rechercher la partie projet sur Twitter, puis juger s'il s'agit d'un compte officiel en fonction du nombre de followers, de la date d'enregistrement et de la présence d'un label bleu ou doré. Cependant, tout cela peut être falsifié. Dans l'article «Parties de projet authentiques et fausses | Méfiez-vous de l'hameçonnage de compte faux dans la zone de commentairesJ'ai dit que je vous ai parlé des produits noirs et gris qui vendent des numéros d'imitation élevés. Par conséquent, il est recommandé aux débutants de suivre d'abord certaines entreprises de sécurité, des praticiens de la sécurité, des médias bien connus, etc. dans l'industrie sur Twitter pour voir s'ils suivent le compte officiel que vous avez trouvé.
(https://twitter.com/DefiLlama)
Grâce à la méthode ci-dessus, les utilisateurs ont une forte probabilité de trouver le véritable compte Twitter officiel, mais nous devons tout de même effectuer plusieurs vérifications. Après tout, il n'est pas rare que des comptes Twitter officiels soient piratés, et les pirates remplaceront également le lien du site officiel sur le compte officiel par un faux lien de site officiel, donc les utilisateurs doivent comparer le lien du site officiel qu'ils viennent de trouver avec les liens trouvés par d'autres canaux (comme DefiLlama, CoinGecko, CoinMarketCap, etc.) :
(https://landing.coingecko.com/links/)
Après avoir trouvé et confirmé le lien du site officiel, il est recommandé aux utilisateurs d'enregistrer le lien dans les favoris afin de pouvoir retrouver le lien correct directement à partir des favoris la prochaine fois sans avoir à le chercher et le confirmer à chaque fois, réduisant ainsi la probabilité d'accéder à un faux site web officiel.
App Mall
Les utilisateurs peuvent télécharger le portefeuille via les magasins d'applications officiels tels que l'Apple Store, le Google Play Store, etc., mais avant de le télécharger, assurez-vous de vérifier les informations du développeur de l'application pour vous assurer qu'elles sont cohérentes avec l'identité du développeur officiel. Vous pouvez également consulter des informations telles que les évaluations et les téléchargements de l'application.
Vérification de la version officielle
Certains lecteurs qui voient ceci peuvent se demander : comment vérifier si le portefeuille que vous avez téléchargé est un vrai portefeuille ? Les utilisateurs peuvent effectuer une vérification de la cohérence des fichiers, qui détermine si le fichier a été modifié pendant la transmission ou le stockage en comparant la valeur de hachage du fichier. Les utilisateurs n'ont qu'à faire glisser le fichier APK précédemment téléchargé dans l'outil de vérification de hachage de fichiers. Cet outil utilisera une fonction de hachage (comme MD5, SHA-256, etc.) pour générer la valeur de hachage du fichier. Si cette valeur est identique à la valeur de hachage officielle, c'est un vrai portefeuille ; si elle ne correspond pas, c'est un faux portefeuille. Que doit faire un utilisateur s'il vérifie que son portefeuille est faux ?
Confirmez d'abord l'étendue de la fuite. Si vous avez simplement téléchargé le faux portefeuille mais n'avez pas saisi la clé privée/la phrase de récupération, supprimez simplement l'application et téléchargez à nouveau la version officielle.
Si la clé privée/phrase de récupération a été importée dans le faux portefeuille, cela signifie que la clé privée/phrase de récupération a été divulguée. Veuillez vous rendre sur le site officiel pour télécharger le portefeuille authentique et importer la clé privée/phrase de récupération, et créer une nouvelle adresse pour transférer rapidement les fonds transférables.
Si votre cryptomonnaie est malheureusement volée, vous pouvez utiliser nos services d'assistance communautaire gratuits pour l'évaluation du cas. Vous avez seulement besoin de soumettre un formulaire selon les directives de classification (fonds volés/fraude/extorsion). En même temps, l'adresse du pirate informatique que vous avez soumise sera également synchronisée avec le réseau de coopération en intelligence des menaces InMist pour le contrôle des risques. (Remarque : soumettez le formulaire chinois à https://aml.slowmist.com/cn/recovery-funds.html, et soumettez le formulaire en anglais à https://aml.slowmist.com/recovery-funds.html)
Acheter un faux portefeuille matériel
La situation mentionnée ci-dessus est la raison pour laquelle de faux portefeuilles sont téléchargés et les solutions. Parlons de la raison pour laquelle de faux portefeuilles matériels sont achetés.
Certains utilisateurs choisissent d'acheter des portefeuilles matériels dans des centres commerciaux en ligne, mais les portefeuilles matériels de ces magasins non officiels autorisés présentent des risques de sécurité très importants, car avant que le portefeuille ne soit entre les mains de l'utilisateur, combien de personnes va-t-il traverser, et si les composants internes ont été altérés, sont incertains. Si les composants internes ont été altérés, il sera difficile de détecter le problème à partir de l'apparence et de la fonction.
(https://www.kaspersky.com/blog/faux-portefeuille-crypto-matériel-trezor/48155/)
Voici quelques-unes des façons dont nous proposons de faire face aux attaques de la chaîne d'approvisionnement des portefeuilles matériels :
Achetez auprès de canaux officiels : C'est la manière la plus efficace de contrer les attaques contre la chaîne d'approvisionnement. N'achetez pas de portefeuilles matériels auprès de canaux non officiels, tels que les centres commerciaux en ligne, les agents d'achat, les internautes, etc.
Vérifiez l'apparence : Après avoir obtenu le portefeuille, vérifiez d'abord si l'emballage extérieur a été endommagé. C'est le plus basique, bien que les pirates informatiques ne soient probablement pas exposés à cette étape.
Authentification : Certains portefeuilles matériels proposent des services de vérification physique du site web officiel. Lorsque l'utilisateur initialise le portefeuille, le dispositif invitera l'utilisateur à effectuer une vérification physique du site web officiel. Si le dispositif est altéré pendant le transport, il ne pourra pas passer la vérification du vrai dispositif sur le site web officiel.
Mécanisme de désassemblage et d'auto-destruction : Vous pouvez choisir d'acheter un portefeuille matériel avec un mécanisme de désassemblage et d'auto-destruction. Lorsque quelqu'un tente d'ouvrir le portefeuille matériel et de manipuler les composants internes, le mécanisme d'auto-destruction sera déclenché. Toutes les informations sensibles dans la puce de sécurité seront automatiquement effacées, et le dispositif ne pourra plus être utilisé.
Risque de fuite de clé privée/phrase de récupération
À travers le contenu ci-dessus, tout le monde devrait apprendre comment télécharger ou acheter un vrai portefeuille, mais comment conserver la clé privée/phrase de récupération est un autre problème. La clé privée/phrase de récupération est le seul identifiant pour récupérer le portefeuille et contrôler les actifs. La clé privée est une chaîne hexadécimale de 64 bits composée de lettres et de chiffres, et la phrase de récupération se compose généralement de 12 mots. L'équipe de sécurité de SlowMist tient à vous rappeler que si la clé privée/phrase de récupération est divulguée, les actifs du portefeuille sont très susceptibles d'être volés. Examinons quelques raisons courantes qui conduisent à la divulgation de la clé privée/phrase de récupération :
Confidentialité inadéquate : les utilisateurs peuvent dire à leurs proches et amis la clé privée/la phrase de récupération et leur demander de l'aide pour la sauvegarder. En conséquence, les fonds sont volés par des proches et des amis.
Stockage ou transmission en réseau des clés privées/phrase de récupération : Bien que certains utilisateurs sachent que la clé privée/phrase de récupération ne doit pas être divulguée à autrui, ils enregistrent la clé privée/phrase de récupération dans les favoris WeChat, prennent des photos, des captures d'écran, les stockent dans le cloud, les mettent dans des mémos, etc. Une fois que ces comptes de plateforme sont collectés et piratés avec succès par des hackers, les clés privées/phrases de récupération peuvent être facilement volées.
Copiez et collez la clé privée/phrase de récupération : de nombreux outils de presse-papiers et méthodes de saisie téléchargeront les enregistrements du presse-papiers de l'utilisateur sur le cloud, laissant la clé privée/phrase de récupération exposée dans un environnement non sécurisé. De plus, les logiciels malveillants de type cheval de Troie peuvent également voler les informations dans le presse-papiers lorsque l'utilisateur copie la clé privée/phrase de récupération. Par conséquent, il n'est pas recommandé aux utilisateurs de copier et coller la clé privée/phrase de récupération. Ce comportement en apparence anodin peut en réalité présenter un risque élevé de fuite.
Alors comment éviter la fuite de la clé privée/phrase de récupération ?
Tout d’abord, ne dites à personne, y compris à vos amis et à votre famille, votre clé privée/phrase de récupération. Deuxièmement, essayez de choisir un support physique pour enregistrer la clé privée/la phrase de récupération afin d’empêcher les pirates de l’obtenir par le biais d’attaques réseau et d’autres moyens. Par exemple, copiez la clé privée/la phrase de récupération sur du papier de bonne qualité (vous pouvez également la sceller dans du plastique) ou utilisez une boîte de phrase de récupération pour la stocker. En outre, la mise en place de signatures multiples et le stockage décentralisé des clés privées/phrases de récupération peuvent également améliorer la sécurité des clés privées/phrases de récupération. En ce qui concerne la façon de sauvegarder la clé privée/la phrase de récupération, vous pouvez lire le « Blockchain Dark Forest Self-Rescue Handbook » produit par SlowMist : https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md.
Résumé
Cet article explique principalement les risques liés au téléchargement/à l'achat d'un portefeuille, comment trouver le véritable site Web officiel et vérifier l'authenticité du portefeuille, et le risque de divulgation de la clé privée/de la phrase semence. Nous espérons que le contenu de cet article aidera tout le monde à faire le premier pas dans le web3. Dans le prochain numéro, nous expliquerons les risques liés à l'utilisation de portefeuilles, tels que le phishing, les risques de signature et d'autorisation. Bienvenue pour nous suivre. (Ps. Les marques et les images mentionnées dans cet article ne sont utilisées que pour aider à la compréhension des lecteurs et ne constituent pas des recommandations ou des garanties)
- Cet article est repris de [ Compte public WeChat : SlowMist Technology]. Tous les droits d'auteur appartiennent à l'auteur original [Équipe de sécurité SlowMist]. If there are objections to this reprint, please contact the Portail Apprendreéquipe, et ils s'en occuperont rapidement.
- Clause de non-responsabilité: Les points de vue et opinions exprimés dans cet article sont uniquement ceux de l'auteur et ne constituent aucun conseil en investissement.
- Les traductions de l'article dans d'autres langues sont effectuées par l'équipe Gate Learn. Sauf mention contraire, la copie, la distribution ou le plagiat des articles traduits est interdite.
相關文章
Comment faire votre propre recherche (DYOR)?
Qu'est-ce que l'analyse fondamentale ?