🔥 距离 Gate.io WCTC S7 正式开赛仅剩 7 天
世界加密货币交易大赛即将开启,总奖池高达 $5,000,000
👉🏻 立即报名:https://gate.io/competition/wctc/s7?pid=APP&c=moments_gatePost&ch=druYjDaF
报名参赛,不仅有机会赢取高达百万美元的个人奖励,更有 Gate.io 专属周边大礼等你来拿
全球顶尖交易员正在集结,一场交易盛宴即将开启
🔗 活动详情: https://www.gate.io/announcements/article/44440
冷钱包100%安全吗?小心2大诈骗手法,可能让你的资产被盗光!
硬体设备钱包是一种专为储存加密货币设计的物理设备,被认为是安全存管加密资产的重要手段。其内置的安全晶片离线储存私钥,确保使用者掌握加密货币的完全控制权。硬体设备钱包通常在离线状态下操作,这进一步减少了被网路骇客攻击的风险。
然而,在投资人群体普遍缺乏了解的情况下,仍然出现大量针对小白使用者的诈欺事件,导致其存放在硬体设备钱包中的资产丢失。本文将介绍两种常见的硬体设备钱包盗币手法——硬体设备钱包说明书诈欺与硬体设备钱包改造伪装骗局。
硬体设备钱包说明书诈欺
此类盗币手法核心是利用普通投资人对硬体设备钱包使用方法的不了解,通过替换虚假说明书,误导受害人向钓鱼地址转帐。受害人从第三方电商平台购入硬体设备钱包,打开包装后,按照「说明书」上标注的「初始 Pin 码」打开硬体设备钱包,在备份了「说明书」上印制的「助记词」后,向钱包地址存入了大量资金,最终失窃。
图源:ForesightNews
其原因并非钱包在硬体设备层面遭到破解,而是盗币者通过提前启动获取地址助记词,伪造虚假说明书进行二次封装,再通过非官方的渠道将已启动的硬体设备钱包销售给受害人,一旦目标对象向地址内转入加密资产,就将进入标准假钱包盗币流程。
华语地区的二级市场上也存在类似风险,知名硬体设备钱包厂商 imkey 曾发布提醒——发现部分非官方店铺在售卖「已启动」硬体设备钱包的同时,篡改使用说明书,诱骗使用者将资金存入被作恶商家提前创建的钱包地址中。可见,识别官方电商店铺的重要性等同于识别官方网址。
图源:ForesightNews
硬体设备钱包设备遭改造
一位 Ledger 使用者在未曾下单的情况下收到一个包裹,内含有一个全新的 Ledger X 硬体设备钱包和一封附带的信件。信件表示,由于 Ledger 公司遭受网路攻击导致使用者数据泄露,特此向受影响的客户发送了新的硬体设备钱包设备,并在信件中要求使用者更换设备以保证安全。
图源:ForesightNews
然而,这封信的真实性存疑,Ledger 公司 CEO Pascal Gauthier 明确表示,对于个人数据的意外泄露,公司不会做出任何赔偿。该使用者也表示这是一个骗局,他分享了更多的图片,并打开设备展示了硬体设备钱包塑料盒内部,明显有被篡改的痕迹。
图源:ForesightNews
此外,卡巴斯基安全团队也曾通报了一起仿冒 Trezor 硬体设备钱包的案例,受害人在非官方渠道购买了一台 Trezor Model T ,但该设备已经被攻击者更换内部固件,将能够获得对使用者加密资产的访问权限,进而采取盗币行为。
写在最后
通过上述案例不难看出,针对硬体设备钱包的供应链攻击已经非常广泛,普通投资人以及硬体设备钱包厂商应当对此提高警惕。正确的使用方式将能有效规避盗币风险:
在官方渠道购买硬体设备设备 任何硬体设备钱包在非官方渠道购买的硬体设备设备都不是安全的。
确保钱包处于未启动状态 官方出售的硬体设备设备一定处于未启动状态,如果投资人开机后发现机器已被启动,甚至说明书提示有「初始密码」或「默认地址」,请及时停用设备,并向硬体设备钱包官方回馈。
确保地址由本人生成 除设备启动环节外,设置 PIN 码、生成绑定码、创建地址并备份也需要由本人完成,任何环节由第三方操作都将为使用者带来资金风险。正常情况下,硬体设备钱包设备应为未启动状态,即首次使用硬体设备钱包时,启动设备、创建钱包、备份助记词和设置 PIN 码均应由使用者自行完成。
【免责声明】市场有风险,投资需谨慎。本文不构成投资建议,使用者应考虑本文的任何意见、观点或结论是否符合其特定状况。据此投资,责任自负。
本文经授权转载自:《Foresight News》
原文作者:Bitrace