Guia de segurança da carteira de hardware: identificar ataques comuns e medidas de prevenção
No mundo das criptomoedas, a segurança é sempre a principal preocupação. Muitas pessoas optam por usar carteiras de hardware (também conhecidas como carteiras frias) para proteger os seus ativos digitais. Este é um dispositivo de segurança físico que pode gerar e armazenar chaves privadas offline.
A função principal da carteira de hardware é armazenar offline a chave privada que controla os seus tokens dentro de um chip seguro. Todas as confirmações e assinaturas de transações são realizadas internamente no dispositivo, e a chave privada nunca entra em contato com dispositivos conectados à internet. Isso reduz significativamente o risco de hackers roubarem a chave privada através de vírus ou trojans na rede.
No entanto, a premissa dessa segurança é: a carteira de hardware que você possui deve ser confiável e não ter sido adulterada. Se um atacante modificar maliciosamente a carteira de hardware antes de você a receber, então essa fortaleza que deveria proteger a segurança da chave privada perde sua proteção desde o início, tornando-se uma armadilha que os golpistas podem capturar a qualquer momento.
Este artigo irá apresentar dois tipos comuns de fraudes relacionadas a carteiras de hardware e fornecer um conjunto abrangente de diretrizes de segurança.
Tipos de fraudes de ataque a carteiras de hardware
Atualmente, os golpes de ataque a carteiras de hardware dividem-se principalmente em duas categorias: ataques técnicos e golpes de palavras-passe pré-definidas.
ataque técnico
O núcleo deste tipo de ataque reside na modificação da estrutura física da carteira de hardware.
Os atacantes utilizam meios técnicos, como a troca de chips internos ou a inserção de programas maliciosos que podem gravar ou enviar secretamente as palavras-chave. Esses dispositivos atacados podem parecer idênticos aos originais, mas sua funcionalidade central (ou seja, a geração offline e o armazenamento offline de chaves privadas) foi comprometida.
Como ocorrem as fraudes?
Os atacantes geralmente se disfarçam como equipes de projetos renomados, marcas de carteira de hardware ou influenciadores nas redes sociais, enviando carteiras de hardware comprometidas como "brindes" para as vítimas sob o pretexto de trocas gratuitas, sorteios ou compartilhamentos.
Em 2021, um utilizador relatou ter recebido uma "substituição gratuita" de uma carteira de hardware enviada por um suposto representante oficial de uma marca. Quando ele usou suas próprias palavras-passe para restaurar a carteira no dispositivo, tokens no valor de 78.000 dólares foram instantaneamente transferidos. A análise posterior revelou que este dispositivo havia sido infectado com um programa malicioso, capaz de roubar as palavras-passe do utilizador enquanto ele as inseria.
Aviso de segurança
Certifique-se de comprar a carteira de hardware através de canais oficiais, nunca utilize "carteiras gratuitas" de origem duvidosa.
Antes de comprar qualquer marca de carteira de hardware, certifique-se de verificar se o endereço da web está correto, a fim de evitar a compra de carteiras que tenham sido adulteradas ou que tenham palavras-passe predefinidas. Você pode determinar isso através dos seguintes métodos:
Método de três etapas para julgamento de canais oficiais:
Ir a partir do aplicativo da marca, esta é a forma mais segura;
Ao usar motores de busca, evite links de anúncios e verifique cuidadosamente se a grafia do domínio é a do site oficial;
Validação cruzada em múltiplas plataformas: verifique os links fixados das contas oficiais da marca nas principais plataformas de redes sociais.
Cuidado com estas fontes de links de alto risco:
Páginas da web de oferta gratuita ou de venda relâmpago a baixo preço
Links de compra recomendados em vídeos curtos ou redes sociais
Erros de ortografia no domínio, abreviações suspeitas, páginas sem bloqueio de segurança
esquema de palavras-passe pré-definidas
Este é o esquema mais comum atualmente e o mais fácil de enganar as pessoas. Ele não depende de tecnologia avançada, mas sim da discrepância de informações e da psicologia do usuário. O seu núcleo está em: o golpista já "preparou" um conjunto de palavras-chave para você antes de você receber a carteira de hardware, induzindo o usuário a usar essa carteira diretamente através de um manual falso e de falácias enganosas.
Como ocorrem os golpes?
Os golpistas costumam vender carteiras de hardware a preços baixos através de canais não oficiais (como redes sociais, plataformas de e-commerce ao vivo ou mercados de segunda mão). Assim que os usuários negligenciam a verificação ou se deixam levar por preços baixos, é fácil serem enganados.
Os golpistas compram antecipadamente carteiras de hardware originais através de canais oficiais, e após receberem a carteira, abrem a embalagem para executar operações maliciosas — ativando o dispositivo, gerando e registrando a frase de recuperação da carteira, alterando o manual e o cartão do produto. Em seguida, utilizam equipamentos e materiais de embalagem profissionais para reembalar, disfarçando como uma "carteira de hardware nova e não aberta" para venda em plataformas de e-commerce.
Atualmente, observam-se dois métodos de golpe com palavras-passe pré-definidas:
Palavras-passe pré-definidas: A embalagem inclui diretamente um cartão de palavras-passe impresso, incentivando os usuários a usar essa palavra-passe para restaurar a Carteira.
PIN pré-definido: Fornece um cartão raspadinha, alegando que ao raspar a camada pode-se ver o "PIN" ou "código de ativação do dispositivo" único, e afirma falsamente que a carteira de hardware não precisa de palavras-chave.
Uma vez que o utilizador se depara com o "esquema de palavras-passe pré-definidas", na superfície, o utilizador possui uma carteira de hardware, mas na realidade não detém o verdadeiro controlo da carteira; o controlo da carteira (palavras-passe) continua nas mãos do golpista. Depois, o utilizador realiza operações de transferência de todos os tokens para essa carteira, o que equivale a enviar os tokens diretamente para o bolso do golpista.
Aviso de segurança
Um carteira de hardware legítima "nunca" pré-configurará informações sensíveis, incluindo, mas não se limitando a, frases de recuperação, códigos PIN, códigos de ligação, etc. Se o manual da carteira pré-configurar tais informações sensíveis, existe um risco de fraude.
O usuário deve "gerar e anotar" a frase de recuperação na carteira de hardware.
Casos de Utilizador
Um usuário comprou um dispositivo de carteira de hardware em uma plataforma de vídeos curtos.
Após receber o dispositivo, a embalagem estava intacta e o selo de segurança parecia estar em perfeitas condições. Este usuário abriu a embalagem e descobriu que o manual o orientava a usar um PIN pré-definido para desbloquear o dispositivo. Ele ficou um pouco confuso: "Por que não posso definir o meu próprio PIN? E durante todo o processo não houve nenhuma indicação para eu fazer backup da frase-semente?"
Ele imediatamente entrou em contato com o atendimento ao cliente da loja para perguntar. O atendimento explicou: "Esta é a nossa nova geração de carteira de hardware sem frase-semente, que utiliza a mais recente tecnologia de segurança. Para facilitar os usuários, configuramos um código PIN de segurança único para cada dispositivo, que pode ser usado após desbloqueio, tornando-o mais conveniente e seguro."
Este discurso dissipou as dúvidas dos usuários. Ele seguiu as orientações do manual, usou o PIN predefinido para concluir o emparelhamento e, gradualmente, transferiu os fundos para a nova Carteira.
Nos primeiros dias, o recebimento/enviar estava tudo normal. No entanto, quase no momento em que ele transferiu um grande montante de tokens, todos os tokens na Carteira foram transferidos para um endereço desconhecido.
Os usuários ficaram perplexos e, após entrar em contato com o atendimento ao cliente oficial da marca para verificar, finalmente perceberam: o que ele havia comprado era um dispositivo que tinha sido ativado previamente e configurado com uma frase mnemônica. Assim, essa carteira de hardware nunca foi dele, mas sempre esteve sob o controle dos golpistas. O chamado "cold wallet de nova geração sem frase mnemônica" não passa de uma mentira usada pelos golpistas para enganar as pessoas.
Como proteger a sua carteira de hardware
Para prevenir riscos desde a origem até o uso, consulte a seguinte lista de verificação de segurança.
Usando o processo de verificação de segurança de abertura de uma carteira de hardware de uma determinada marca como exemplo:
Primeiro passo: comprar e verificar a caixa através de canais oficiais
Mantenha-se nos canais oficiais: certifique-se de comprar apenas através dos canais oficiais listados no site oficial da marca.
Verifique a embalagem: após receber o dispositivo, verifique se a embalagem externa, os selos e o conteúdo estão intactos.
Verificar o estado de ativação do dispositivo: insira o código SN (número de série do produto) no site oficial da marca para verificar a data de ativação do dispositivo. Um dispositivo novo deve mostrar "Dispositivo ainda não ativado".
Passo 2: Gerar e fazer backup das palavras-chave de forma independente.
Concluir todo o processo por conta própria: ao usar a carteira de hardware pela primeira vez, é imprescindível que você ative o dispositivo, configure e faça backup do PIN e do código de ligação, e crie e faça backup da frase de recuperação de forma independente.
Guarde adequadamente o dispositivo e as palavras-chave: certifique-se de fazer um backup das palavras-chave de forma física (como escrevê-las à mão em papel) ou em uma caixa de palavras-chave, e armazene-as em um local seguro separado da carteira de hardware. Nunca tire fotos, faça capturas de tela ou armazene em qualquer dispositivo eletrônico.
Atenção: Ao conectar pela primeira vez a carteira de hardware ao aplicativo, se o aplicativo indicar "o seu dispositivo não é o primeiro uso, já emparelhou um dispositivo, já fez backup da frase de recuperação da carteira de hardware", fique alerta! Se não for uma operação sua, isso indica que o dispositivo apresenta riscos! Por favor, pare imediatamente de usar e entre em contato com o suporte ao cliente da marca.
Terceiro passo: teste de tokens de baixo valor
Antes de depositar grandes quantidades de tokens, é aconselhável realizar um teste completo de recebimento e transferência com uma pequena quantia de tokens.
Ao assinar a transferência com a carteira de software, verifique cuidadosamente as informações na tela do dispositivo de hardware (como moeda, quantidade de transferência, endereço do destinatário) para garantir que sejam consistentes com as exibidas no aplicativo. Após confirmar que o token foi transferido com sucesso, prossiga com as operações de armazenamento de grandes quantias.
Se tiver alguma dúvida, entre em contacto com o serviço de atendimento ao cliente oficial da marca.
Conclusão
A segurança da carteira de hardware não depende apenas do seu design tecnológico central, mas também de canais de compra seguros e dos hábitos corretos de operação dos usuários. A segurança em nível físico é uma parte absolutamente essencial na proteção de tokens digitais.
No mundo cripto, onde oportunidades e riscos coexistem, é imprescindível adotar uma mentalidade de segurança de "zero confiança" — nunca confie em canais, pessoas ou dispositivos não verificados oficialmente. Mantenha uma vigilância rigorosa sobre qualquer "almoço grátis"; esta é a primeira e mais importante linha de defesa para proteger os seus tokens.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
13 Curtidas
Recompensa
13
5
Repostar
Compartilhar
Comentário
0/400
EthMaximalist
· 2h atrás
novato uma olhada e entende~
Ver originalResponder0
ForkMonger
· 23h atrás
lmao hardware é apenas segurança suave numa caixa para ser sincero
Ver originalResponder0
CryptoPhoenix
· 08-11 15:14
Resistir a todas as tempestades, a reconstrução da mentalidade é que é verdadeira.
Guia de uso seguro da carteira de hardware: desmascarar o esquema da frase mnemónica
Guia de segurança da carteira de hardware: identificar ataques comuns e medidas de prevenção
No mundo das criptomoedas, a segurança é sempre a principal preocupação. Muitas pessoas optam por usar carteiras de hardware (também conhecidas como carteiras frias) para proteger os seus ativos digitais. Este é um dispositivo de segurança físico que pode gerar e armazenar chaves privadas offline.
A função principal da carteira de hardware é armazenar offline a chave privada que controla os seus tokens dentro de um chip seguro. Todas as confirmações e assinaturas de transações são realizadas internamente no dispositivo, e a chave privada nunca entra em contato com dispositivos conectados à internet. Isso reduz significativamente o risco de hackers roubarem a chave privada através de vírus ou trojans na rede.
No entanto, a premissa dessa segurança é: a carteira de hardware que você possui deve ser confiável e não ter sido adulterada. Se um atacante modificar maliciosamente a carteira de hardware antes de você a receber, então essa fortaleza que deveria proteger a segurança da chave privada perde sua proteção desde o início, tornando-se uma armadilha que os golpistas podem capturar a qualquer momento.
Este artigo irá apresentar dois tipos comuns de fraudes relacionadas a carteiras de hardware e fornecer um conjunto abrangente de diretrizes de segurança.
Tipos de fraudes de ataque a carteiras de hardware
Atualmente, os golpes de ataque a carteiras de hardware dividem-se principalmente em duas categorias: ataques técnicos e golpes de palavras-passe pré-definidas.
ataque técnico
O núcleo deste tipo de ataque reside na modificação da estrutura física da carteira de hardware.
Os atacantes utilizam meios técnicos, como a troca de chips internos ou a inserção de programas maliciosos que podem gravar ou enviar secretamente as palavras-chave. Esses dispositivos atacados podem parecer idênticos aos originais, mas sua funcionalidade central (ou seja, a geração offline e o armazenamento offline de chaves privadas) foi comprometida.
Como ocorrem as fraudes?
Os atacantes geralmente se disfarçam como equipes de projetos renomados, marcas de carteira de hardware ou influenciadores nas redes sociais, enviando carteiras de hardware comprometidas como "brindes" para as vítimas sob o pretexto de trocas gratuitas, sorteios ou compartilhamentos.
Em 2021, um utilizador relatou ter recebido uma "substituição gratuita" de uma carteira de hardware enviada por um suposto representante oficial de uma marca. Quando ele usou suas próprias palavras-passe para restaurar a carteira no dispositivo, tokens no valor de 78.000 dólares foram instantaneamente transferidos. A análise posterior revelou que este dispositivo havia sido infectado com um programa malicioso, capaz de roubar as palavras-passe do utilizador enquanto ele as inseria.
Aviso de segurança
Certifique-se de comprar a carteira de hardware através de canais oficiais, nunca utilize "carteiras gratuitas" de origem duvidosa.
Antes de comprar qualquer marca de carteira de hardware, certifique-se de verificar se o endereço da web está correto, a fim de evitar a compra de carteiras que tenham sido adulteradas ou que tenham palavras-passe predefinidas. Você pode determinar isso através dos seguintes métodos:
Método de três etapas para julgamento de canais oficiais:
Cuidado com estas fontes de links de alto risco:
esquema de palavras-passe pré-definidas
Este é o esquema mais comum atualmente e o mais fácil de enganar as pessoas. Ele não depende de tecnologia avançada, mas sim da discrepância de informações e da psicologia do usuário. O seu núcleo está em: o golpista já "preparou" um conjunto de palavras-chave para você antes de você receber a carteira de hardware, induzindo o usuário a usar essa carteira diretamente através de um manual falso e de falácias enganosas.
Como ocorrem os golpes?
Os golpistas costumam vender carteiras de hardware a preços baixos através de canais não oficiais (como redes sociais, plataformas de e-commerce ao vivo ou mercados de segunda mão). Assim que os usuários negligenciam a verificação ou se deixam levar por preços baixos, é fácil serem enganados.
Os golpistas compram antecipadamente carteiras de hardware originais através de canais oficiais, e após receberem a carteira, abrem a embalagem para executar operações maliciosas — ativando o dispositivo, gerando e registrando a frase de recuperação da carteira, alterando o manual e o cartão do produto. Em seguida, utilizam equipamentos e materiais de embalagem profissionais para reembalar, disfarçando como uma "carteira de hardware nova e não aberta" para venda em plataformas de e-commerce.
Atualmente, observam-se dois métodos de golpe com palavras-passe pré-definidas:
Uma vez que o utilizador se depara com o "esquema de palavras-passe pré-definidas", na superfície, o utilizador possui uma carteira de hardware, mas na realidade não detém o verdadeiro controlo da carteira; o controlo da carteira (palavras-passe) continua nas mãos do golpista. Depois, o utilizador realiza operações de transferência de todos os tokens para essa carteira, o que equivale a enviar os tokens diretamente para o bolso do golpista.
Aviso de segurança
Um carteira de hardware legítima "nunca" pré-configurará informações sensíveis, incluindo, mas não se limitando a, frases de recuperação, códigos PIN, códigos de ligação, etc. Se o manual da carteira pré-configurar tais informações sensíveis, existe um risco de fraude.
O usuário deve "gerar e anotar" a frase de recuperação na carteira de hardware.
Casos de Utilizador
Um usuário comprou um dispositivo de carteira de hardware em uma plataforma de vídeos curtos.
Após receber o dispositivo, a embalagem estava intacta e o selo de segurança parecia estar em perfeitas condições. Este usuário abriu a embalagem e descobriu que o manual o orientava a usar um PIN pré-definido para desbloquear o dispositivo. Ele ficou um pouco confuso: "Por que não posso definir o meu próprio PIN? E durante todo o processo não houve nenhuma indicação para eu fazer backup da frase-semente?"
Ele imediatamente entrou em contato com o atendimento ao cliente da loja para perguntar. O atendimento explicou: "Esta é a nossa nova geração de carteira de hardware sem frase-semente, que utiliza a mais recente tecnologia de segurança. Para facilitar os usuários, configuramos um código PIN de segurança único para cada dispositivo, que pode ser usado após desbloqueio, tornando-o mais conveniente e seguro."
Este discurso dissipou as dúvidas dos usuários. Ele seguiu as orientações do manual, usou o PIN predefinido para concluir o emparelhamento e, gradualmente, transferiu os fundos para a nova Carteira.
Nos primeiros dias, o recebimento/enviar estava tudo normal. No entanto, quase no momento em que ele transferiu um grande montante de tokens, todos os tokens na Carteira foram transferidos para um endereço desconhecido.
Os usuários ficaram perplexos e, após entrar em contato com o atendimento ao cliente oficial da marca para verificar, finalmente perceberam: o que ele havia comprado era um dispositivo que tinha sido ativado previamente e configurado com uma frase mnemônica. Assim, essa carteira de hardware nunca foi dele, mas sempre esteve sob o controle dos golpistas. O chamado "cold wallet de nova geração sem frase mnemônica" não passa de uma mentira usada pelos golpistas para enganar as pessoas.
Como proteger a sua carteira de hardware
Para prevenir riscos desde a origem até o uso, consulte a seguinte lista de verificação de segurança.
Usando o processo de verificação de segurança de abertura de uma carteira de hardware de uma determinada marca como exemplo:
Primeiro passo: comprar e verificar a caixa através de canais oficiais
Passo 2: Gerar e fazer backup das palavras-chave de forma independente.
Atenção: Ao conectar pela primeira vez a carteira de hardware ao aplicativo, se o aplicativo indicar "o seu dispositivo não é o primeiro uso, já emparelhou um dispositivo, já fez backup da frase de recuperação da carteira de hardware", fique alerta! Se não for uma operação sua, isso indica que o dispositivo apresenta riscos! Por favor, pare imediatamente de usar e entre em contato com o suporte ao cliente da marca.
Terceiro passo: teste de tokens de baixo valor
Antes de depositar grandes quantidades de tokens, é aconselhável realizar um teste completo de recebimento e transferência com uma pequena quantia de tokens.
Ao assinar a transferência com a carteira de software, verifique cuidadosamente as informações na tela do dispositivo de hardware (como moeda, quantidade de transferência, endereço do destinatário) para garantir que sejam consistentes com as exibidas no aplicativo. Após confirmar que o token foi transferido com sucesso, prossiga com as operações de armazenamento de grandes quantias.
Se tiver alguma dúvida, entre em contacto com o serviço de atendimento ao cliente oficial da marca.
Conclusão
A segurança da carteira de hardware não depende apenas do seu design tecnológico central, mas também de canais de compra seguros e dos hábitos corretos de operação dos usuários. A segurança em nível físico é uma parte absolutamente essencial na proteção de tokens digitais.
No mundo cripto, onde oportunidades e riscos coexistem, é imprescindível adotar uma mentalidade de segurança de "zero confiança" — nunca confie em canais, pessoas ou dispositivos não verificados oficialmente. Mantenha uma vigilância rigorosa sobre qualquer "almoço grátis"; esta é a primeira e mais importante linha de defesa para proteger os seus tokens.