Hintergrund

Wallets spielen eine wichtige Rolle in der Web3-Welt. Sie sind Speicherwerkzeuge für digitale Vermögenswerte und notwendige Werkzeuge für Benutzer, um Transaktionen durchzuführen und auf DApps zuzugreifen. In der vorheriges Problem Im Anfängerleitfaden zur Web3-Sicherheit, um Fallstricke zu vermeiden, haben wir hauptsächlich die Kategorisierung von Geldbörsen vorgestellt und häufige Risikopunkte aufgelistet, um den Lesern die Grundkonzepte der Geldbörsensicherheit näher zu bringen. Mit der Popularität von Kryptowährungen und Blockchain-Technologie haben auch Cyberkriminelle auf die Gelder von Web3-Benutzern abgezielt. Laut dem SlowMist Security Team wurde festgestellt, dass viele Benutzer aufgrund des Herunterladens/Kaufens gefälschter Geldbörsen bestohlen wurden. Daher werden wir in diesem Beitrag untersuchen, warum Benutzer möglicherweise gefälschte Geldbörsen herunterladen/kaufen und die Risiken eines Lecks von privaten Schlüsseln/Saatphrasen. Darüber hinaus werden wir eine Reihe von Sicherheitsempfehlungen geben, um Benutzern zu helfen, ihre Gelder zu schützen.

Fälschungen von Geldbörsen herunterladen

Da viele Mobiltelefone den Google Play Store nicht unterstützen oder aufgrund von Netzwerkproblemen, werden viele Leute Geldbörsen auf andere Weise herunterladen, wie zum Beispiel:

Drittanbieter-Download-Site

Einige Benutzer werden Wallets über Drittanbieter-Downloadseiten wie apkcombo, apkpure usw. herunterladen. Diese Seiten werben oft damit, dass ihre Apps von Google Play Store-Spiegeln heruntergeladen werden, aber wie sicher ist das? Das Sicherheitsteam von SlowMist hat eine Untersuchung und Analyse von Drittanbieterquellen gefälschter Web3-Wallets durchgeführt, und die Ergebnisse zeigen, dass die Wallet-Version, die von der Drittanbieter-Downloadseite apkcombo bereitgestellt wird, nicht existiert. Sobald der Benutzer ein Wallet erstellt oder ein Wallet-Sicherungswort auf der Startoberfläche importiert, sendet das gefälschte Wallet das Sicherungswort und andere Informationen an den Server der Phishing-Website.

Suchmaschine

Die Suchmaschinen-Ergebnisplatzierungen können manipuliert werden, was dazu führt, dass gefälschte offizielle Websites höher eingestuft werden als echte. Daher wird es den Benutzern nicht empfohlen, direkt über Suchmaschinen nach Wallets zu suchen und dann auf die Links mit der höchsten Platzierung zu klicken, um Wallets herunterzuladen. Dadurch ist es sehr wahrscheinlich, dass auf eine gefälschte offizielle Website zugegriffen wird und ein gefälschtes Wallet heruntergeladen wird. Wenn Benutzer sich unsicher über die URL der offiziellen Website sind, ist es schwierig zu bestimmen, ob es sich um eine gefälschte Website handelt, basierend ausschließlich auf dem Erscheinungsbild der Anzeigeseite der Website. Dies liegt daran, dass Betrüger gefälschte Websites erstellen, die echten offiziellen Websites sehr ähnlich sehen, was es schwer macht, zwischen den beiden zu unterscheiden. Daher wird es den Benutzern auch nicht empfohlen, auf Links zu klicken, die von anderen Benutzern auf Plattformen wie Twitter oder anderen Plattformen geteilt werden, da es sich dabei oft um Phishing-Links handelt.

Verwandte und Freunde/Schweineschlachtbetrug

Im dunklen Wald der Blockchain ist die Aufrechterhaltung von Null Vertrauen entscheidend. Während Ihre Freunde und Familie keine böswilligen Absichten gegenüber Ihnen haben, könnten die von ihnen heruntergeladenen Wallets gefälscht sein, und sie könnten noch nicht kompromittiert worden sein. Daher besteht die Möglichkeit, dass Sie beim Herunterladen eines Wallets über den von ihnen geteilten QR-Code/Link ein gefälschtes Wallet herunterladen.

Das SlowMist-Sicherheitsteam hat zahlreiche Berichte über Betrugsfälle erhalten, bei denen Gelder gestohlen wurden. Betrüger bauen oft Vertrauen zu Opfern auf, leiten sie zu Kryptowährungsinvestitionen an und teilen dann Links zum Herunterladen gefälschter Wallets. Letztendlich verlieren Opfer nicht nur ihre Gelder, sondern auch ihr Vertrauen. Daher sollten Benutzer wachsam bleiben, wenn sie mit Online-Bekanntschaften interagieren, insbesondere wenn sie zu Investitionen ermutigen oder verdächtige Links senden. Vertrauen Sie ihnen in solchen Situationen nicht.

Telegram

Auf Telegram haben wir durch die Suche nach bekannten Wallets einige gefälschte offizielle Gruppen gefunden. Betrüger würden behaupten, dass die Gruppe der offizielle Kanal eines bestimmten Wallets ist und sogar die Benutzer in der Gruppe daran erinnern, nur den offiziellen Website-Link zu suchen. Diese Links sind jedoch alle gefälscht.

App-Mall

Es ist wichtig, Sie daran zu erinnern, dass die Apps im offiziellen App-Mall nicht unbedingt sicher sind. Einige Kriminelle verleiten Benutzer dazu, betrügerische Apps herunterzuladen, indem sie Keyword-Rankings kaufen, um den Verkehr umzuleiten. Es wird empfohlen, vorsichtig zu sein.

Also, was können Benutzer tun, um zu vermeiden, gefälschte Wallets herunterzuladen?

Apps von der offiziellen Website herunterladen

Die Fähigkeit, die wahre offizielle Website zu finden, wird nicht nur beim Herunterladen der Wallet verwendet, sondern auch, wenn Benutzer anschließend am Web3-Projekt teilnehmen, daher werden wir hier darüber sprechen, wie man die richtige offizielle Website findet.

Benutzer können direkt auf Twitter nach der Projektpartei suchen und dann anhand der Anzahl der Follower, der Registrierungszeit und der Frage, ob es sich um ein blaues oder goldenes Label handelt, beurteilen, ob es sich um ein offizielles Konto handelt. Diese können jedoch alle gefälscht sein. Im Artikel "Authentische und gefälschte Projektbeteiligte | Seien Sie vorsichtig bei gefälschten Konten, die im Kommentarbereich aufgetaucht sindIch habe Ihnen von den schwarzen und grauen Produkten erzählt, die hohe Nachahmungszahlen verkaufen. Daher wird empfohlen, dass Anfänger zunächst einigen Sicherheitsunternehmen, Sicherheitspraktikern, bekannten Medien usw. in der Branche auf Twitter folgen, um zu sehen, ob sie dem offiziellen Account folgen, den Sie gefunden haben.

(https://twitter.com/DefiLlama)

Durch die obige Methode haben Benutzer eine hohe Wahrscheinlichkeit, den echten offiziellen Twitter-Account zu finden, aber wir müssen dennoch mehrere Überprüfungen durchführen. Schließlich ist es nicht ungewöhnlich, dass offizielle Twitter-Accounts gehackt werden, und Hacker werden auch den offiziellen Website-Link auf dem offiziellen Account durch einen Link zur gefälschten offiziellen Website ersetzen, sodass Benutzer den offiziellen Website-Link, den sie gerade gefunden haben, mit Links vergleichen müssen, die über andere Kanäle gefunden wurden (wie DefiLlama, CoinGecko, CoinMarketCap, usw.).

(https://defillama.com/)

(https://landing.coingecko.com/links/)

Nachdem Sie den offiziellen Website-Link gefunden und bestätigt haben, wird empfohlen, dass Benutzer den Link zu Lesezeichen hinzufügen, damit sie den richtigen Link beim nächsten Mal direkt aus den Lesezeichen finden können, ohne ihn jedes Mal erneut suchen und bestätigen zu müssen, was die Wahrscheinlichkeit verringert, auf eine gefälschte offizielle Website zu gelangen.

App-Mall

Benutzer können die Wallet über offizielle Anwendungsgeschäfte wie Apple Store, Google Play Store usw. herunterladen, aber bevor Sie dies tun, sollten Sie zuerst die Informationen des Anwendungsentwicklers überprüfen, um sicherzustellen, dass sie mit der offiziellen Entwickleridentität übereinstimmen. Sie können auch Informationen wie Anwendungsbewertungen und Downloads überprüfen.

Offizielle Versionsverifizierung

Einige Leser, die dies sehen, fragen sich vielleicht: Wie überprüfen Sie, ob das heruntergeladene Wallet ein echtes Wallet ist? Benutzer können die Dateikonsistenzüberprüfung durchführen, die bestimmt, ob sich die Datei während der Übertragung oder Speicherung geändert hat, indem sie den Hash-Wert der Datei vergleicht. Benutzer müssen nur die zuvor heruntergeladene APK-Datei in das Datei-Hash-Überprüfungstool ziehen. Dieses Tool verwendet eine Hash-Funktion (wie MD5, SHA-256 usw.), um den Hash-Wert der Datei zu generieren. Wenn dieser Wert mit dem offiziellen Hash-Wert übereinstimmt, handelt es sich um ein echtes Wallet. Wenn er nicht übereinstimmt, handelt es sich um ein gefälschtes Wallet. Was sollte ein Benutzer tun, wenn er feststellt, dass sein Wallet gefälscht ist?

1. Bestätigen Sie zunächst den Umfang des Lecks. Wenn Sie nur die gefälschte Geldbörse heruntergeladen, aber nicht den privaten Schlüssel/Samenphrase eingegeben haben, dann löschen Sie einfach die App und laden Sie die offizielle Version erneut herunter.

2. Wenn der private Schlüssel/Samenphrase in die gefälschte Brieftasche importiert wurde, bedeutet dies, dass der private Schlüssel/Samenphrase durchgesickert ist. Bitte gehen Sie auf die offizielle Website, um die echte Brieftasche herunterzuladen und den privaten Schlüssel/Samenphrase zu importieren und eine neue Adresse zu erstellen, um übertragbare Mittel schnell zu übertragen.

3. Wenn Ihre Kryptowährung leider gestohlen wird, können Sie unsere kostenlosen Community-Hilfsdienste zur Fallbewertung nutzen. Sie müssen nur ein Formular gemäß den Klassifizierungsrichtlinien einreichen (gestohlene Gelder/Betrug/Erpressung). Gleichzeitig wird die von Ihnen eingereichte Hackeradresse auch in das InMist-Bedrohungsabwehrnetzwerk zur Risikokontrolle synchronisiert. (Hinweis: Das chinesische Formular einreichenhttps://aml.slowmist.com/cn/recovery-funds.html, und reichen Sie das englische Formular ein https://aml.slowmist.com/recovery-funds.html)

Kaufe eine gefälschte Hardware Wallet

Die oben genannte Situation ist der Grund, warum gefälschte Wallets heruntergeladen werden und die Lösungen. Lassen Sie uns darüber sprechen, warum gefälschte Hardware Wallets gekauft werden.

Einige Benutzer entscheiden sich dafür, Hardware-Wallets in Online-Malls zu kaufen, aber Hardware-Wallets aus solchen inoffiziellen autorisierten Geschäften haben sehr hohe Sicherheitsrisiken, da bevor die Wallet in die Hände des Benutzers gelangt, wie viele Personen wird sie durchlaufen und ob die internen Komponenten manipuliert wurden, ist ungewiss. Wenn die internen Komponenten manipuliert wurden, wird es schwierig sein, das Problem am Aussehen und der Funktion zu erkennen.

(https://www.kaspersky.com/blog/fake-trezor-hardware-crypto-wallet/48155/)

Hier sind einige der Möglichkeiten, die wir anbieten, um mit Angriffen auf die Lieferkette von Hardware-Wallets umzugehen:

Kaufe von offiziellen Kanälen: Dies ist der effektivste Weg, um Angriffe auf die Lieferkette zu bekämpfen. Kaufen Sie keine Hardware-Wallets von inoffiziellen Kanälen wie Online-Malls, Einkaufsagenten, Netizens usw.

Überprüfen Sie das Erscheinungsbild: Nach Erhalt des Wallets überprüfen Sie zuerst, ob die äußere Verpackung beschädigt wurde. Dies ist zwar das Grundlegendste, obwohl Hacker höchstwahrscheinlich nicht in diesem Schritt entlarvt werden.

Authentifizierung: Einige Hardware-Wallets bieten auf ihrer offiziellen Website physische Geräteverifizierungsdienste an. Wenn der Benutzer das Wallet initialisiert, wird das Gerät den Benutzer auffordern, die physische Geräteverifizierung auf der offiziellen Website durchzuführen. Wenn das Gerät während des Transports manipuliert wird, wird es die Echtheitsprüfung auf der offiziellen Website nicht bestehen können.

Demontage- und Selbstzerstörungsmechanismus: Sie können sich für den Kauf einer Hardware-Wallet mit Demontage- und Selbstzerstörungsmechanismus entscheiden. Wenn jemand versucht, die Hardware-Wallet zu öffnen und die internen Komponenten zu manipulieren, wird der Selbstzerstörungsmechanismus ausgelöst. Alle sensiblen Informationen im Sicherheitschip werden automatisch gelöscht und das Gerät kann nicht mehr verwendet werden.

Risiko eines Lecks des privaten Schlüssels/Saatphrasen

Durch den obigen Inhalt sollte jeder gelernt haben, wie man eine echte Brieftasche herunterlädt oder erwirbt, aber wie man den privaten Schlüssel/Saatphrase aufbewahrt, ist ein weiteres Problem. Der private Schlüssel/Saatphrase ist das einzige Anmeldeinformation, um die Brieftasche wiederherzustellen und die Vermögenswerte zu kontrollieren. Der private Schlüssel ist eine 64-Bit-Hexadezimalzeichenfolge, die aus Buchstaben und Zahlen besteht, und die Saatphrase besteht in der Regel aus 12 Wörtern. Das Sicherheitsteam von SlowMist möchte Sie daran erinnern, dass bei einem Leak des privaten Schlüssels/Saatphrase die Vermögenswerte der Brieftasche sehr wahrscheinlich gestohlen werden. Lassen Sie uns einige häufige Gründe für den Leak des privaten Schlüssels/Saatphrase betrachten:

Unzureichende Vertraulichkeit: Benutzer können Verwandten und Freunden den privaten Schlüssel/Wiederherstellungssatz mitteilen und sie bitten, ihn zu sichern. Als Ergebnis werden die Gelder von Verwandten und Freunden gestohlen.

Netzwerkspeicherung oder -übertragung von privaten Schlüsseln/Saatgutphrasen: Obwohl einige Benutzer wissen, dass der private Schlüssel/die Saatgutphrase nicht an andere weitergegeben werden sollte, werden sie den privaten Schlüssel/die Saatgutphrase über WeChat-Favoriten, Fotos, Screenshots, Cloud-Speicher, Memos usw. speichern. Sobald diese Plattformkonten von Hackern gesammelt und erfolgreich gehackt werden, können die privaten Schlüssel/Saatgutphrasen leicht gestohlen werden.

Kopieren und Einfügen des privaten Schlüssels/Wiederherstellungsphrase: Viele Zwischenablage-Tools und Eingabemethoden laden die Zwischenablageaufzeichnungen des Benutzers in die Cloud hoch, wodurch der private Schlüssel/die Wiederherstellungsphrase in einer unsicheren Umgebung freigelegt wird. Darüber hinaus können Trojaner auch die Informationen in der Zwischenablage stehlen, wenn der Benutzer den privaten Schlüssel/die Wiederherstellungsphrase kopiert. Daher wird es nicht empfohlen, dass Benutzer den privaten Schlüssel/die Wiederherstellungsphrase kopieren und einfügen. Dieses scheinbar harmlose Verhalten kann tatsächlich ein großes Risiko für einen Informationsleck darstellen.

Also, wie vermeidet man das Auslaufen des privaten Schlüssels/Seed-Phrases?

Erstens verraten Sie niemandem, einschließlich Freunden und Familie, Ihren privaten Schlüssel/Ihre Seed-Phrase nicht. Zweitens versuchen Sie, ein physisches Medium auszuwählen, um den privaten Schlüssel/die Seed-Phrase zu speichern, um zu verhindern, dass Hacker ihn durch Netzwerkangriffe und andere Mittel erhalten. Kopieren Sie zum Beispiel den privaten Schlüssel/die Seed-Phrase auf hochwertiges Papier (Sie können ihn auch in Plastik versiegeln) oder verwenden Sie eine Seed-Phrase-Box, um ihn zu speichern. Darüber hinaus können die Einrichtung von Multi-Signaturen und die dezentrale Speicherung von privaten Schlüsseln/Seed-Phrasen auch die Sicherheit von privaten Schlüsseln/Seed-Phrasen verbessern. In Bezug auf die Sicherung des privaten Schlüssels/der Seed-Phrase können Sie das von SlowMist produzierte „Blockchain Dark Forest Self-Rescue Handbook“ lesen.https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main /README_CN.md.

Zusammenfassung

Dieser Artikel erläutert hauptsächlich die Risiken beim Herunterladen/Kaufen einer Wallet, wie man die echte offizielle Website findet und die Echtheit der Wallet überprüft, sowie das Risiko des Offenlegens des privaten Schlüssels/Saatworts. Wir hoffen, dass der Inhalt dieses Themas jedem helfen kann, den ersten Schritt in Richtung Web3 zu unternehmen. Im nächsten Thema werden wir die Risiken beim Verwenden von Wallets erklären, wie z.B. Phishing, Signatur- und Autorisierungsrisiken. Folgen Sie uns gerne. (Hinweis: Die in diesem Artikel erwähnten Marken und Bilder dienen nur der Unterstützung des Verständnisses der Leser und stellen keine Empfehlungen oder Garantien dar)

1. Dieser Artikel wurde aus [ wiedergegebenWeChat public account: SlowMist Technology]. Alle Urheberrechte gehören dem Originalautor [ SlowMist Security Team]. Wenn es Einwände gegen diesen Nachdruck gibt, wenden Sie sich bitte an die Gate LernenTeam und sie werden es schnell bearbeiten.
2. Haftungsausschluss: Die in diesem Artikel geäußerten Ansichten und Meinungen sind ausschließlich die des Autors und stellen keine Anlageberatung dar.
3. Übersetzungen des Artikels in andere Sprachen werden vom Gate Learn-Team durchgeführt. Sofern nicht anders angegeben, ist das Kopieren, Verteilen oder Plagiieren der übersetzten Artikel untersagt.