Guia de segurança para carteiras de hardware: evite as armadilhas comuns, proteja seus ativos digitais
No campo das criptomoedas, a segurança é sempre a principal preocupação. Para proteger os ativos digitais, muitas pessoas optam por usar carteiras de hardware (também conhecidas como carteiras frias) — um dispositivo de segurança física que pode gerar e armazenar chaves privadas offline.
A função principal da carteira de hardware é armazenar as chaves privadas que controlam os seus ativos digitais offline em um chip seguro. Todas as confirmações e assinaturas de transações são realizadas internamente no dispositivo, e as chaves privadas nunca entram em contato com smartphones ou computadores conectados à internet. Isso reduz significativamente o risco de hackers roubarem as chaves privadas através de vírus de rede, trojans e outros meios.
No entanto, a premissa dessa segurança é: a carteira de hardware que você possui é confiável e não foi adulterada. Se um atacante já manipulou a carteira de hardware antes de você recebê-la, então esta fortaleza que deveria proteger a segurança da chave privada perdeu sua função desde o início, tornando-se em vez disso uma armadilha que os golpistas podem ativar a qualquer momento.
Este artigo apresentará dois tipos comuns de ataques a carteiras de hardware e fornecerá um guia abrangente de segurança.
Tipos de lavagem os olhos de ataque a carteiras de hardware
Atualmente, os ataques a carteiras de hardware dividem-se principalmente em duas categorias: ataques técnicos e esquemas de palavras-passe pré-definidas.
ataque técnico
O cerne deste ataque reside na alteração da estrutura física da carteira de hardware. Os atacantes utilizam técnicas, como a substituição do chip interno ou a inserção de programas maliciosos que podem gravar ou enviar secretamente a frase de recuperação. Esses dispositivos atacados podem parecer idênticos aos originais, mas suas funções principais (ou seja, geração offline e armazenamento offline de chaves privadas) foram comprometidas.
lavar os olhos geralmente ocorre em plataformas de mídia social, onde os atacantes se passam por projetos conhecidos, marcas de carteira de hardware ou influenciadores, sob o pretexto de troca gratuita, sorteios de compartilhamento, entre outros, enviando carteiras de hardware comprometidas como "brindes" para as vítimas.
Em 2021, houve relatos de que usuários receberam uma "substituição gratuita" de uma carteira de hardware enviada por supostos representantes de uma marca oficial. Quando usaram suas palavras-chave para restaurar a carteira no dispositivo, tokens no valor de 78.000 dólares foram transferidos instantaneamente. Análises posteriores descobriram que o dispositivo tinha um programa malicioso instalado, capaz de roubar as palavras-chave do usuário quando estas eram inseridas.
lavar os olhos de palavras-passe pré-definidas
Este é o tipo de lavagens os olhos mais comum e também o mais fácil de enganar as pessoas. Ele não depende de tecnologia complexa, mas sim de diferenças de informação e fraquezas psicológicas dos usuários. O núcleo é: o golpista já "pré-configurou" um conjunto de palavras-passe para você antes de você receber a carteira de hardware, induzindo o usuário a usar diretamente essa carteira através de manuais falsificados e conversas enganosas.
Os golpistas geralmente vendem carteiras de hardware a preços baixos através de canais não oficiais (como plataformas sociais, comércio ao vivo ou mercados de segunda mão). Uma vez que os usuários se descuidam na verificação ou procuram economizar, é fácil cair na armadilha.
Os golpistas compram carteiras de hardware originais através de canais oficiais, abrem-nas e realizam operações maliciosas — ativam o dispositivo, geram e registram a frase de recuperação da carteira, alteram o manual e o cartão do produto. Em seguida, usam equipamentos e materiais de embalagem profissionais para reembalá-las, disfarçando-as como "novas e não abertas" carteiras de hardware para venda em plataformas de e-commerce.
Atualmente, foram observadas duas táticas do esquema de lavagem os olhos de palavras-passe pré-definidas:
Fornecer diretamente uma frase mnemônica pré-definida: a embalagem inclui um cartão de frase mnemônica impresso, orientando o usuário a usar essa frase para recuperar a carteira.
Oferece um PIN pré-definido: vem com um cartão raspadinha, alegando que ao raspar a camada pode-se ver o "PIN" ou "código de ativação do dispositivo" único, e afirma falsamente que a carteira de hardware não precisa de palavras-passe.
Uma vez que o utilizador enfrenta um esquema de palavras-passe predefinidas, à primeira vista o utilizador possui uma carteira de hardware, mas na realidade não tem o verdadeiro controlo da carteira, pois o controlo desta carteira (palavras-passe) continua nas mãos do golpista. Depois, todos os tokens que o utilizador transfere para essa carteira são, na verdade, transferidos diretamente para o golpista.
Casos de Utilizadores
Um usuário comprou um dispositivo de carteira de hardware em uma plataforma de vídeo. Quando o dispositivo chegou, a embalagem estava intacta e o rótulo de segurança parecia normal. Ao abrir a embalagem, o manual o orientou a usar um PIN pré-definido para desbloquear o dispositivo. Ele ficou confuso: "Por que não sou eu que configuro o PIN? E durante todo o processo não houve nenhuma indicação para eu fazer backup da frase de recuperação?"
Após consultar o atendimento ao cliente, recebi a resposta: "Esta é a nossa nova geração de carteira de hardware sem frase de recuperação, que utiliza a mais recente tecnologia de segurança. Para facilitar os usuários, definimos um código PIN de segurança único para cada dispositivo, que pode ser usado após desbloquear, tornando-o ainda mais conveniente e seguro."
Esta explicação dissipou as dúvidas dos usuários. Ele seguiu as instruções do manual, utilizou o PIN pré-definido para completar o emparelhamento e, gradualmente, transferiu os fundos para a nova Carteira.
Nos primeiros dias, tudo funcionava normalmente para receber e transferir. No entanto, no momento em que ele transferiu um grande montante de tokens, todos os tokens na Carteira foram transferidos.
Após entrar em contato com o serviço de atendimento ao cliente oficial da verdadeira marca para verificar, ele finalmente percebeu: ele havia comprado um dispositivo que foi ativado antecipadamente e tinha uma frase mnemônica pré-definida. Portanto, essa carteira de hardware nunca foi dele desde o início, mas sempre esteve sob o controle de golpistas. O chamado "novo tipo de carteira fria sem frase mnemônica" é apenas uma mentira que os golpistas usam para enganar as pessoas.
Como proteger a sua carteira de hardware
Para prevenir riscos desde a origem até o uso, consulte a seguinte lista de verificação de segurança:
Primeira etapa: compra e verificação através de canais oficiais.
Persistir na compra de carteira de hardware através de canais oficiais.
Após receber o dispositivo, verifique cuidadosamente se a embalagem externa, os selos e o conteúdo estão completos e sem danos.
Insira o número de série do dispositivo no site oficial da marca para verificar o estado de ativação do dispositivo. Dispositivos novos devem exibir "Dispositivo ainda não ativado".
Segunda etapa: gerar e fazer backup da frase de recuperação de forma independente.
Na primeira utilização, é imperativo que complete pessoalmente e de forma independente todo o processo de ativação do dispositivo, configuração e backup do PIN e código de ligação, criação e backup da frase de recuperação.
Faça backup das palavras-chave fisicamente (como escrevê-las em papel) ou em uma caixa de memorização e armazene-as em um local seguro, separado da carteira de hardware. Nunca tire fotos, faça capturas de tela ou armazene em qualquer dispositivo eletrônico.
Atenção: Ao conectar pela primeira vez uma carteira de hardware a uma carteira de software, se aparecer o aviso "não é a primeira utilização, o dispositivo já foi emparelhado, a frase de recuperação já foi salva", tenha muito cuidado! Se não for uma operação pessoal, isso indica que o dispositivo apresenta riscos, e você deve parar imediatamente de usar e entrar em contato com o suporte ao cliente oficial.
Terceiro passo: teste de tokens de baixo valor
Antes de depositar um grande montante de tokens, é aconselhável completar um teste de recepção e transferência com um pequeno montante de tokens.
Ao conectar a carteira de software para assinar a transferência, verifique cuidadosamente as informações na tela do dispositivo de hardware (como moeda, quantidade de transferência, endereço do destinatário) para garantir que sejam consistentes com o que é exibido no aplicativo. Após confirmar que os tokens foram transferidos com sucesso, prossiga com as operações de armazenamento de grandes quantidades.
Conclusão
A segurança da carteira de hardware não depende apenas do seu design tecnológico central, mas também da segurança dos canais de compra e dos hábitos corretos de operação dos usuários. A segurança em nível físico é uma parte absolutamente inegável da proteção dos ativos digitais.
No mundo cripto onde oportunidades e riscos coexistem, é imprescindível estabelecer uma mentalidade de segurança de "zero confiança" — não confie em quaisquer canais, pessoas ou dispositivos não verificados oficialmente. Mantenha uma alta vigilância em relação a qualquer "almoço grátis"; esta é a primeira e mais importante linha de defesa para proteger seu ativo digital.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
10 Curtidas
Recompensa
10
4
Repostar
Compartilhar
Comentário
0/400
DegenWhisperer
· 28m atrás
剁手冲动型idiotas
Ver originalResponder0
ParallelChainMaxi
· 8h atrás
Campo de concentração de lixo, quem entende, entende.
Ver originalResponder0
wrekt_but_learning
· 8h atrás
Carteira de instituições oficiais não é atraente?
Ver originalResponder0
WalletAnxietyPatient
· 8h atrás
Não mencione a palavra carteira, isso me deixa nervoso.
carteira de hardware segurança攻略:识别 lavar os olhos保护 ativo digital
Guia de segurança para carteiras de hardware: evite as armadilhas comuns, proteja seus ativos digitais
No campo das criptomoedas, a segurança é sempre a principal preocupação. Para proteger os ativos digitais, muitas pessoas optam por usar carteiras de hardware (também conhecidas como carteiras frias) — um dispositivo de segurança física que pode gerar e armazenar chaves privadas offline.
A função principal da carteira de hardware é armazenar as chaves privadas que controlam os seus ativos digitais offline em um chip seguro. Todas as confirmações e assinaturas de transações são realizadas internamente no dispositivo, e as chaves privadas nunca entram em contato com smartphones ou computadores conectados à internet. Isso reduz significativamente o risco de hackers roubarem as chaves privadas através de vírus de rede, trojans e outros meios.
No entanto, a premissa dessa segurança é: a carteira de hardware que você possui é confiável e não foi adulterada. Se um atacante já manipulou a carteira de hardware antes de você recebê-la, então esta fortaleza que deveria proteger a segurança da chave privada perdeu sua função desde o início, tornando-se em vez disso uma armadilha que os golpistas podem ativar a qualquer momento.
Este artigo apresentará dois tipos comuns de ataques a carteiras de hardware e fornecerá um guia abrangente de segurança.
Tipos de lavagem os olhos de ataque a carteiras de hardware
Atualmente, os ataques a carteiras de hardware dividem-se principalmente em duas categorias: ataques técnicos e esquemas de palavras-passe pré-definidas.
ataque técnico
O cerne deste ataque reside na alteração da estrutura física da carteira de hardware. Os atacantes utilizam técnicas, como a substituição do chip interno ou a inserção de programas maliciosos que podem gravar ou enviar secretamente a frase de recuperação. Esses dispositivos atacados podem parecer idênticos aos originais, mas suas funções principais (ou seja, geração offline e armazenamento offline de chaves privadas) foram comprometidas.
lavar os olhos geralmente ocorre em plataformas de mídia social, onde os atacantes se passam por projetos conhecidos, marcas de carteira de hardware ou influenciadores, sob o pretexto de troca gratuita, sorteios de compartilhamento, entre outros, enviando carteiras de hardware comprometidas como "brindes" para as vítimas.
Em 2021, houve relatos de que usuários receberam uma "substituição gratuita" de uma carteira de hardware enviada por supostos representantes de uma marca oficial. Quando usaram suas palavras-chave para restaurar a carteira no dispositivo, tokens no valor de 78.000 dólares foram transferidos instantaneamente. Análises posteriores descobriram que o dispositivo tinha um programa malicioso instalado, capaz de roubar as palavras-chave do usuário quando estas eram inseridas.
lavar os olhos de palavras-passe pré-definidas
Este é o tipo de lavagens os olhos mais comum e também o mais fácil de enganar as pessoas. Ele não depende de tecnologia complexa, mas sim de diferenças de informação e fraquezas psicológicas dos usuários. O núcleo é: o golpista já "pré-configurou" um conjunto de palavras-passe para você antes de você receber a carteira de hardware, induzindo o usuário a usar diretamente essa carteira através de manuais falsificados e conversas enganosas.
Os golpistas geralmente vendem carteiras de hardware a preços baixos através de canais não oficiais (como plataformas sociais, comércio ao vivo ou mercados de segunda mão). Uma vez que os usuários se descuidam na verificação ou procuram economizar, é fácil cair na armadilha.
Os golpistas compram carteiras de hardware originais através de canais oficiais, abrem-nas e realizam operações maliciosas — ativam o dispositivo, geram e registram a frase de recuperação da carteira, alteram o manual e o cartão do produto. Em seguida, usam equipamentos e materiais de embalagem profissionais para reembalá-las, disfarçando-as como "novas e não abertas" carteiras de hardware para venda em plataformas de e-commerce.
Atualmente, foram observadas duas táticas do esquema de lavagem os olhos de palavras-passe pré-definidas:
Uma vez que o utilizador enfrenta um esquema de palavras-passe predefinidas, à primeira vista o utilizador possui uma carteira de hardware, mas na realidade não tem o verdadeiro controlo da carteira, pois o controlo desta carteira (palavras-passe) continua nas mãos do golpista. Depois, todos os tokens que o utilizador transfere para essa carteira são, na verdade, transferidos diretamente para o golpista.
Casos de Utilizadores
Um usuário comprou um dispositivo de carteira de hardware em uma plataforma de vídeo. Quando o dispositivo chegou, a embalagem estava intacta e o rótulo de segurança parecia normal. Ao abrir a embalagem, o manual o orientou a usar um PIN pré-definido para desbloquear o dispositivo. Ele ficou confuso: "Por que não sou eu que configuro o PIN? E durante todo o processo não houve nenhuma indicação para eu fazer backup da frase de recuperação?"
Após consultar o atendimento ao cliente, recebi a resposta: "Esta é a nossa nova geração de carteira de hardware sem frase de recuperação, que utiliza a mais recente tecnologia de segurança. Para facilitar os usuários, definimos um código PIN de segurança único para cada dispositivo, que pode ser usado após desbloquear, tornando-o ainda mais conveniente e seguro."
Esta explicação dissipou as dúvidas dos usuários. Ele seguiu as instruções do manual, utilizou o PIN pré-definido para completar o emparelhamento e, gradualmente, transferiu os fundos para a nova Carteira.
Nos primeiros dias, tudo funcionava normalmente para receber e transferir. No entanto, no momento em que ele transferiu um grande montante de tokens, todos os tokens na Carteira foram transferidos.
Após entrar em contato com o serviço de atendimento ao cliente oficial da verdadeira marca para verificar, ele finalmente percebeu: ele havia comprado um dispositivo que foi ativado antecipadamente e tinha uma frase mnemônica pré-definida. Portanto, essa carteira de hardware nunca foi dele desde o início, mas sempre esteve sob o controle de golpistas. O chamado "novo tipo de carteira fria sem frase mnemônica" é apenas uma mentira que os golpistas usam para enganar as pessoas.
Como proteger a sua carteira de hardware
Para prevenir riscos desde a origem até o uso, consulte a seguinte lista de verificação de segurança:
Primeira etapa: compra e verificação através de canais oficiais.
Segunda etapa: gerar e fazer backup da frase de recuperação de forma independente.
Atenção: Ao conectar pela primeira vez uma carteira de hardware a uma carteira de software, se aparecer o aviso "não é a primeira utilização, o dispositivo já foi emparelhado, a frase de recuperação já foi salva", tenha muito cuidado! Se não for uma operação pessoal, isso indica que o dispositivo apresenta riscos, e você deve parar imediatamente de usar e entrar em contato com o suporte ao cliente oficial.
Terceiro passo: teste de tokens de baixo valor
Antes de depositar um grande montante de tokens, é aconselhável completar um teste de recepção e transferência com um pequeno montante de tokens.
Ao conectar a carteira de software para assinar a transferência, verifique cuidadosamente as informações na tela do dispositivo de hardware (como moeda, quantidade de transferência, endereço do destinatário) para garantir que sejam consistentes com o que é exibido no aplicativo. Após confirmar que os tokens foram transferidos com sucesso, prossiga com as operações de armazenamento de grandes quantidades.
Conclusão
A segurança da carteira de hardware não depende apenas do seu design tecnológico central, mas também da segurança dos canais de compra e dos hábitos corretos de operação dos usuários. A segurança em nível físico é uma parte absolutamente inegável da proteção dos ativos digitais.
No mundo cripto onde oportunidades e riscos coexistem, é imprescindível estabelecer uma mentalidade de segurança de "zero confiança" — não confie em quaisquer canais, pessoas ou dispositivos não verificados oficialmente. Mantenha uma alta vigilância em relação a qualquer "almoço grátis"; esta é a primeira e mais importante linha de defesa para proteger seu ativo digital.