Guia de Prevenção de Segurança da Carteira de Hardware: Identificar e Evitar Golpes Comuns
No campo das criptomoedas, a segurança é sempre a principal preocupação. Muitos usuários optam por usar carteiras de hardware (também conhecidas como carteiras frias) para proteger os seus ativos digitais. A função central deste dispositivo de segurança física é armazenar a chave privada que controla os tokens offline em um chip seguro. Todas as confirmações e assinaturas de transações são realizadas internamente no dispositivo, e a chave privada nunca entra em contacto com dispositivos conectados à rede, reduzindo significativamente o risco de ataques cibernéticos.
No entanto, a segurança da carteira de hardware é baseada em um pressuposto importante: o dispositivo nas mãos do usuário deve ser confiável e não ter sido alterado. Se um atacante já tiver realizado operações maliciosas no dispositivo antes que o usuário o receba, então esta fortaleza que deveria proteger a chave privada perde a sua eficácia desde o início, tornando-se numa armadilha que os golpistas podem ativar a qualquer momento.
Este artigo apresentará dois tipos comuns de ataques a carteiras de hardware e fornecerá um conjunto abrangente de diretrizes de segurança.
Tipos de esquemas de ataque a carteiras de hardware
Atualmente, os ataques a carteiras de hardware dividem-se principalmente em duas categorias: ataques técnicos e esquemas de frases de recuperação predefinidas.
ataque técnico
O cerne deste ataque reside na modificação da estrutura física da carteira de hardware. Os atacantes utilizam técnicas como a substituição do chip interno ou a inserção de programas maliciosos que podem gravar ou transmitir secretamente as palavras-passe. Esses dispositivos adulterados podem parecer idênticos aos originais, mas sua função central foi sequestrada.
Os atacantes costumam disfarçar-se como conhecidos projetos, marcas de carteiras de hardware ou influenciadores nas redes sociais, enviando as carteiras de hardware atacadas como "brindes" aos vítimas sob o pretexto de trocas gratuitas, sorteios, entre outros.
Em 2021, houve relatos de que um usuário recebeu um dispositivo de "substituição gratuita" supostamente enviado pela oficial de uma conhecida marca de carteira de hardware. Quando ele usou suas próprias palavras-chave para restaurar a carteira no dispositivo, tokens no valor de 78.000 dólares foram imediatamente roubados. Análises posteriores descobriram que o dispositivo havia sido comprometido com um programa malicioso que podia roubar as palavras-chave do usuário ao serem inseridas.
lavar os olhos de palavras-passe
Este é um esquema que é atualmente mais comum e que também é o mais fácil de enganar as pessoas. Ele não depende de tecnologia complexa, mas sim de diferenças de informação e da psicologia dos usuários. O núcleo está em: os golpistas, antes que os usuários recebam a carteira de hardware, já configuraram um conjunto de palavras-chave, induzindo os usuários a usar essa carteira diretamente através de manuais falsificados e discursos enganosos.
Os golpistas costumam vender carteiras de hardware a preços baixos através de canais não oficiais (como plataformas sociais, comércio ao vivo ou mercados de segunda mão). Assim que os usuários se descuidam na verificação ou se deixam levar pelo preço baixo, é fácil caírem na armadilha.
Os golpistas compram carteiras de hardware genuínas através de canais oficiais, depois as abrem e realizam operações maliciosas: ativam o dispositivo, geram e registram a frase-semente da carteira, alteram o manual e o cartão do produto. Em seguida, utilizam equipamentos de embalagem profissional para reembalá-las, disfarçando-as como produtos "novos e não abertos" para venda em plataformas de e-commerce.
Atualmente, existem dois métodos observados nos esquemas de lavar os olhos de palavras-passe predefinidas:
Fornecer diretamente as palavras-passe pré-definidas: a embalagem inclui um cartão de palavras-passe impresso, induzindo os usuários a usar essas palavras-passe para recuperar a Carteira.
Fornecer um PIN pré-definido: fornecer um cartão de raspadinha, alegando que ao raspar a camada é possível ver o "PIN" ou "código de ativação do dispositivo" único, e mentir dizendo que a carteira de hardware não precisa de frase de recuperação.
Uma vez que o usuário se depara com um esquema de memorização de palavras pré-definido, na superfície, o usuário possui uma carteira de hardware, mas na realidade, não tem o controle real da carteira. O controle da carteira (palavras-chave) permanece sempre nas mãos do golpista. Assim, todos os tokens que o usuário transfere para essa carteira são como se fossem enviados diretamente para o bolso do golpista.
Casos de Utilizadores
Um usuário comprou um dispositivo de carteira de hardware em uma plataforma de vídeos curtos. Após receber o produto, ele percebeu que a embalagem estava intacta e que o selo de segurança parecia também estar em boas condições. Ao abrir a embalagem, o manual o orientou a usar um PIN pré-definido para desbloquear o dispositivo. Ele ficou confuso: "Por que não sou eu quem define o PIN? E todo o processo não me alertou para fazer o backup da frase-semente?"
Ao consultar o atendimento ao cliente, a outra parte explicou: "Esta é a nossa nova geração de carteira de hardware sem frase-secreta, que utiliza a mais recente tecnologia de segurança. Para facilitar os usuários, atribuímos um código PIN de segurança único a cada dispositivo, que pode ser utilizado assim que desbloqueado, tornando-o mais conveniente e seguro."
Essas palavras dissiparam as dúvidas dos usuários. Ele seguiu as instruções do manual, usou o PIN predefinido para concluir o emparelhamento e transferiu gradualmente os fundos para a nova Carteira.
Nos primeiros dias, os recebimentos e transferências decorreram normalmente. No entanto, no momento em que ele transferiu um grande montante de tokens, todos os tokens na carteira foram transferidos para um endereço desconhecido.
Após contatar o atendimento ao cliente oficial da verdadeira marca para verificação, o usuário percebeu que adquiriu um dispositivo que foi ativado antecipadamente e já tinha uma frase de recuperação predefinida. Esta carteira de hardware nunca pertenceu a ele, mas esteve sempre sob o controle dos golpistas. O chamado "nova geração de carteira fria sem frase de recuperação" não passa de uma mentira criada pelos golpistas para enganar.
Como proteger a sua carteira de hardware
Para prevenir riscos desde a origem até o uso, consulte a seguinte lista de verificação de segurança:
Primeira etapa: compra e verificação em canais oficiais
Manter a compra através dos canais listados oficialmente.
Após receber o dispositivo, verifique se a embalagem externa, o selo e os conteúdos estão intactos e sem danos.
Insira o número de série do produto do dispositivo no site oficial, verifique o estado de ativação do dispositivo, um novo dispositivo deve mostrar "dispositivo ainda não ativado".
Segunda etapa: gerar e fazer backup das palavras-chave de forma independente.
Na primeira utilização, é imprescindível que completes a ativação do dispositivo, a configuração e o backup do PIN e do código de ligação, assim como a criação e o backup da frase-semente, de forma independente e pessoal.
Faça backup das palavras-chave fisicamente (como escrevendo em papel) ou usando ferramentas especializadas, e armazene-as em um local seguro separado da Carteira. Nunca tire fotos, faça capturas de tela ou armazene em qualquer dispositivo eletrônico.
Terceiro passo: teste de pequeno valor de token
Antes de depositar grandes quantidades de tokens, recomenda-se primeiro realizar um teste completo de recebimento e envio com uma pequena quantia de tokens.
Ao assinar a transferência com a carteira de software, verifique cuidadosamente as informações na tela do dispositivo de hardware (como moeda, quantidade a transferir, endereço de recebimento) para garantir que correspondam às exibidas no App. Após confirmar que o token foi transferido com sucesso, prossiga com as operações de armazenamento em grande quantia.
Conclusão
A segurança da carteira de hardware não depende apenas do design da sua tecnologia central, mas também de canais de compra seguros e dos hábitos de operação corretos dos usuários. A segurança em nível físico é uma parte absolutamente indispensável na proteção de tokens digitais.
No mundo cripto onde oportunidades e riscos coexistem, é imprescindível estabelecer uma mentalidade de segurança de "zero confiança" – nunca confie em canais, pessoas ou dispositivos que não tenham sido oficialmente verificados. Mantenha uma vigilância elevada sobre qualquer "almoço grátis", esta é a primeira e mais importante linha de defesa para proteger os seus tokens.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
14 gostos
Recompensa
14
6
Republicar
Partilhar
Comentar
0/400
Ramen_Until_Rich
· 08-15 22:30
Mais uma vez enganado e trapaceado, valente!
Ver originalResponder0
WhaleWatcher
· 08-15 02:48
A frase mnemónica pré-definida é realmente uma armadilha, quem ainda cai nisso hoje em dia?
Ver originalResponder0
GweiWatcher
· 08-14 19:46
Ouvir você falar, como é que alguém foi enganado novamente?
Ver originalResponder0
RugPullSurvivor
· 08-14 19:46
Comprar uma Carteira usada e esperar ser feito de parvo?
Guia de prevenção de fraudes para carteiras de hardware: reconhecer frases mnemónicas pré-definidas e armadilhas de manipulação técnica
Guia de Prevenção de Segurança da Carteira de Hardware: Identificar e Evitar Golpes Comuns
No campo das criptomoedas, a segurança é sempre a principal preocupação. Muitos usuários optam por usar carteiras de hardware (também conhecidas como carteiras frias) para proteger os seus ativos digitais. A função central deste dispositivo de segurança física é armazenar a chave privada que controla os tokens offline em um chip seguro. Todas as confirmações e assinaturas de transações são realizadas internamente no dispositivo, e a chave privada nunca entra em contacto com dispositivos conectados à rede, reduzindo significativamente o risco de ataques cibernéticos.
No entanto, a segurança da carteira de hardware é baseada em um pressuposto importante: o dispositivo nas mãos do usuário deve ser confiável e não ter sido alterado. Se um atacante já tiver realizado operações maliciosas no dispositivo antes que o usuário o receba, então esta fortaleza que deveria proteger a chave privada perde a sua eficácia desde o início, tornando-se numa armadilha que os golpistas podem ativar a qualquer momento.
Este artigo apresentará dois tipos comuns de ataques a carteiras de hardware e fornecerá um conjunto abrangente de diretrizes de segurança.
Tipos de esquemas de ataque a carteiras de hardware
Atualmente, os ataques a carteiras de hardware dividem-se principalmente em duas categorias: ataques técnicos e esquemas de frases de recuperação predefinidas.
ataque técnico
O cerne deste ataque reside na modificação da estrutura física da carteira de hardware. Os atacantes utilizam técnicas como a substituição do chip interno ou a inserção de programas maliciosos que podem gravar ou transmitir secretamente as palavras-passe. Esses dispositivos adulterados podem parecer idênticos aos originais, mas sua função central foi sequestrada.
Os atacantes costumam disfarçar-se como conhecidos projetos, marcas de carteiras de hardware ou influenciadores nas redes sociais, enviando as carteiras de hardware atacadas como "brindes" aos vítimas sob o pretexto de trocas gratuitas, sorteios, entre outros.
Em 2021, houve relatos de que um usuário recebeu um dispositivo de "substituição gratuita" supostamente enviado pela oficial de uma conhecida marca de carteira de hardware. Quando ele usou suas próprias palavras-chave para restaurar a carteira no dispositivo, tokens no valor de 78.000 dólares foram imediatamente roubados. Análises posteriores descobriram que o dispositivo havia sido comprometido com um programa malicioso que podia roubar as palavras-chave do usuário ao serem inseridas.
lavar os olhos de palavras-passe
Este é um esquema que é atualmente mais comum e que também é o mais fácil de enganar as pessoas. Ele não depende de tecnologia complexa, mas sim de diferenças de informação e da psicologia dos usuários. O núcleo está em: os golpistas, antes que os usuários recebam a carteira de hardware, já configuraram um conjunto de palavras-chave, induzindo os usuários a usar essa carteira diretamente através de manuais falsificados e discursos enganosos.
Os golpistas costumam vender carteiras de hardware a preços baixos através de canais não oficiais (como plataformas sociais, comércio ao vivo ou mercados de segunda mão). Assim que os usuários se descuidam na verificação ou se deixam levar pelo preço baixo, é fácil caírem na armadilha.
Os golpistas compram carteiras de hardware genuínas através de canais oficiais, depois as abrem e realizam operações maliciosas: ativam o dispositivo, geram e registram a frase-semente da carteira, alteram o manual e o cartão do produto. Em seguida, utilizam equipamentos de embalagem profissional para reembalá-las, disfarçando-as como produtos "novos e não abertos" para venda em plataformas de e-commerce.
Atualmente, existem dois métodos observados nos esquemas de lavar os olhos de palavras-passe predefinidas:
Fornecer diretamente as palavras-passe pré-definidas: a embalagem inclui um cartão de palavras-passe impresso, induzindo os usuários a usar essas palavras-passe para recuperar a Carteira.
Fornecer um PIN pré-definido: fornecer um cartão de raspadinha, alegando que ao raspar a camada é possível ver o "PIN" ou "código de ativação do dispositivo" único, e mentir dizendo que a carteira de hardware não precisa de frase de recuperação.
Uma vez que o usuário se depara com um esquema de memorização de palavras pré-definido, na superfície, o usuário possui uma carteira de hardware, mas na realidade, não tem o controle real da carteira. O controle da carteira (palavras-chave) permanece sempre nas mãos do golpista. Assim, todos os tokens que o usuário transfere para essa carteira são como se fossem enviados diretamente para o bolso do golpista.
Casos de Utilizadores
Um usuário comprou um dispositivo de carteira de hardware em uma plataforma de vídeos curtos. Após receber o produto, ele percebeu que a embalagem estava intacta e que o selo de segurança parecia também estar em boas condições. Ao abrir a embalagem, o manual o orientou a usar um PIN pré-definido para desbloquear o dispositivo. Ele ficou confuso: "Por que não sou eu quem define o PIN? E todo o processo não me alertou para fazer o backup da frase-semente?"
Ao consultar o atendimento ao cliente, a outra parte explicou: "Esta é a nossa nova geração de carteira de hardware sem frase-secreta, que utiliza a mais recente tecnologia de segurança. Para facilitar os usuários, atribuímos um código PIN de segurança único a cada dispositivo, que pode ser utilizado assim que desbloqueado, tornando-o mais conveniente e seguro."
Essas palavras dissiparam as dúvidas dos usuários. Ele seguiu as instruções do manual, usou o PIN predefinido para concluir o emparelhamento e transferiu gradualmente os fundos para a nova Carteira.
Nos primeiros dias, os recebimentos e transferências decorreram normalmente. No entanto, no momento em que ele transferiu um grande montante de tokens, todos os tokens na carteira foram transferidos para um endereço desconhecido.
Após contatar o atendimento ao cliente oficial da verdadeira marca para verificação, o usuário percebeu que adquiriu um dispositivo que foi ativado antecipadamente e já tinha uma frase de recuperação predefinida. Esta carteira de hardware nunca pertenceu a ele, mas esteve sempre sob o controle dos golpistas. O chamado "nova geração de carteira fria sem frase de recuperação" não passa de uma mentira criada pelos golpistas para enganar.
Como proteger a sua carteira de hardware
Para prevenir riscos desde a origem até o uso, consulte a seguinte lista de verificação de segurança:
Primeira etapa: compra e verificação em canais oficiais
Segunda etapa: gerar e fazer backup das palavras-chave de forma independente.
Terceiro passo: teste de pequeno valor de token
Antes de depositar grandes quantidades de tokens, recomenda-se primeiro realizar um teste completo de recebimento e envio com uma pequena quantia de tokens.
Ao assinar a transferência com a carteira de software, verifique cuidadosamente as informações na tela do dispositivo de hardware (como moeda, quantidade a transferir, endereço de recebimento) para garantir que correspondam às exibidas no App. Após confirmar que o token foi transferido com sucesso, prossiga com as operações de armazenamento em grande quantia.
Conclusão
A segurança da carteira de hardware não depende apenas do design da sua tecnologia central, mas também de canais de compra seguros e dos hábitos de operação corretos dos usuários. A segurança em nível físico é uma parte absolutamente indispensável na proteção de tokens digitais.
No mundo cripto onde oportunidades e riscos coexistem, é imprescindível estabelecer uma mentalidade de segurança de "zero confiança" – nunca confie em canais, pessoas ou dispositivos que não tenham sido oficialmente verificados. Mantenha uma vigilância elevada sobre qualquer "almoço grátis", esta é a primeira e mais importante linha de defesa para proteger os seus tokens.