jakiro
背景
ウォレットは、Web3の世界で重要な役割を果たします。これらは、デジタル資産のストレージツールであるだけでなく、ユーザーがDAPPを取引およびアクセスするために必要なツールでもあります。落とし穴を回避するためのWeb3セキュリティの紹介の前号では、主にウォレットの分類を導入し、読者が基本的なウォレットセキュリティの概念を形成するのを支援する共通のリスクポイントをリストしました。暗号通貨とブロックチェーンテクノロジーの普及により、Black MarketはWeb3ユーザーの資金にも照準を合わせています。 。 窃盗。したがって、この号では、偽の財布がダウンロード/購入される理由と、プライベートキー/ニーモニック語の単語のリスクが漏れている理由を調査し、ユーザーが資金のセキュリティを確保するのに役立つ一連のセキュリティ提案も提供します。
偽のウォレットにダウンロードしてください
多くの携帯電話はGoogle Playストアをサポートしていないか、ネットワークの問題のために、多くの人が次のような他のチャネルからウォレットをダウンロードします。
サードパーティのダウンロードサイト
一部のユーザーは、Apkcombo、Apkpureなどのサードパーティのダウンロードサイトからウォレットをダウンロードします。これらのサイトは、アプリがGoogle Playストアの画像からダウンロードされているとしばしば主張していますが、実際のセキュリティはどうですか?Slow Fog Securityチームは、偽のWeb3ウォレットのサードパーティソースの調査と分析を実施しており、結果は、サードパーティのダウンロードサイトApkcomboが提供するウォレットバージョンが実際には存在しないことを示しています。ユーザーがウォレットを作成したり、Startインターフェイスでウォレットニーモニックをインポートしたりすると、偽のウォレットはフィッシングWebサイトのサーバーにニーモニックやその他の情報を送信します。
検索エンジン
検索エンジンのランキングは、偽の公式ウェブサイトのランキングが実際の公式ウェブサイトよりも高くなっているという事実につながります。ウォレットをダウンロードするためのトップランクのリンク。ユーザーが公式のウェブサイトのアドレスが何であるかわからない場合、詐欺師が作成した偽のウェブサイトは実際の公式ウェブサイトに非常に似ており、できるので、これがウェブサイトの表示ページだけに基づいて偽のウェブサイトであるかどうかを知ることは困難です。偽造されるように偽造されるので、ユーザーがTwitterや他のプラットフォームで他のユーザーが共有するリンクをクリックすることをお勧めしません。これはほとんどフィッシングリンクです。
親族や友人/豚の殺人プレート
あなたの親relativeや友人があなたを傷つけることを考えていないかもしれませんが、彼らはそれをまだ盗まれていないので、あなたが使用している場合、彼らはそれを使用している場合にはゼロを維持します。 QRコードは、リンクでウォレットを共有/ダウンロードします。また、偽のウォレットにダウンロードすることもできます。
スローフォグセキュリティチームは、多くの盗まれた豚の殺害事件を受け取りました彼は彼の関係をだまされ、彼の資金を失った。したがって、ユーザーはネチズンに対して警戒する必要があります。特に、他の当事者があなたに不明なリンクを投資したり投稿したりするように誘う場合は、簡単に信頼しないでください。
電報
Telegramでは、よく知られている財布を検索することで、詐欺師がグループが特定のウォレットの公式チャンネルであると主張し、グループのユーザーに唯一の公式ウェブサイトのリンクを認識するように思い出させることができました。これらのリンクはすべて偽物です。
アプリケーションストア
公式のアプリケーションモールのアプリケーションは、必ずしも安全なものではないことに注意してください。
それで、ユーザーは偽の財布のダウンロードを避けることができますか?
公式ウェブサイトのダウンロード
実際の公式ウェブサイトを見つける機能は、ウォレットをダウンロードするときだけでなく、ユーザーが将来Web3プロジェクトに参加するときにも使用されるため、ここで正しい公式ウェブサイトを見つける方法について説明します。
ユーザーは、Twitterでプロジェクトパーティーを直接検索し、これはフォロワーの数、登録時間、および青いラベルがあるかどうかを判断することができますコメント領域で「模倣数釣り」という記事に注意してください。したがって、Twitterの業界では、いくつかのセキュリティ会社、セキュリティ実務家、有名なメディアなどに、あなたが見つけた公式アカウントに従っているかどうかを確認するために、新しい初心者に注意を払うことをお勧めします。
(https://twitter.com/defillama)
上記の方法を通じて、ユーザーは実際の公式のTwitterアカウントを見つける可能性がありますが、結局マルチパーティ検証を行う必要があります。偽の公式ウェブサイトのリンクを使用しているため、ユーザーは他のチャネル(Defillama、Coingecko、Coinmarketcapなど)を介して見つかった公式Webサイトリンクを比較する必要があります。
(https://defilama.com/)
(https://landing.coingecko.com/links/)
公式ウェブサイトのリンクを見つけて確認した後、ユーザーはブックマークへのリンクを保存して、毎回再ファインドして確認することなく、ブックマークから正しいリンクを直接見つけることができるようにすることをお勧めします。偽の公式ウェブサイトに入る。
アプリケーションストア
ユーザーは、Apple Store、Google Play Storeなどの公式アプリストアからウォレットをダウンロードできますが、ダウンロードする前に、最初にアプリケーション開発者情報を確認して、公式開発者のアイデンティティと一致していることを確認する必要があります。アプリケーションスコアとダウンロードなど。
公式バージョン検証
これを見る読者の中には、ダウンロードしたウォレットが本物の財布であるかどうかを確認する方法を疑問に思うかもしれません。ユーザーは、ファイルの一貫性の確認を行うことができます。この操作は、ファイルのハッシュ値を比較して、送信中にファイルが変更されたかどうかを判断することができます。ユーザーは、以前にファイルハッシュ検証ツールにダウンロードしたAPKファイルのみをドラッグする必要があります公式のハッシュ値が一致すると、それが一致しない場合、それは偽の財布です。ユーザーが自分の財布が偽物であることを確認した場合はどうすればよいですか?
1.最初に、漏れの範囲を確認する必要がありますが、秘密のキー/ニーモニックワードを入力しないでください。
2.秘密のキー/ニーモニックワードが偽のウォレットにインポートされている場合、秘密のキー/ニーモニック語が漏れていることを意味します。譲渡可能な資産をすばやく転送するための新しいアドレス。
3.残念ながら暗号通貨が盗まれている場合は、分類ガイドライン(盗まれた資金/詐欺/詐欺ランサムウェア)に従ってフォームを提出する必要がある場合にのみ、ケース評価のために無料のコミュニティ支援サービスを提供します。同時に、提出したハッカーアドレスは、リスク制御のためにInmist Threat Intelligence Coporation Networkに同期されます。(注:中国のフォームはhttps://aml.slowmist.com/cn/Recovery-funds.htmlに提出され、英語のフォームはhttps://aml.slowmist.com/Recovery-funds.htmlに提出されます)
偽のハードウェアウォレットを購入します
上記の状況は、偽の財布と解決策をダウンロードする理由です。
一部のユーザーは、ハードウェアウォレットをオンラインモールで購入することを選択しますが、非公式の認定ストアのこの種のハードウェアウォレットには非常に大きなセキュリティリスクがあります。これらはすべて不確実です。内部コンポーネントに改ざんされている場合、外観と機能から問題を確認することは困難です。
(https://www.kaspersky.com/blog/fake-trezor-hardware-crypto-wallet/48155/)
ハードウェアウォレットサプライチェーン攻撃に対処するために提供する方法のいくつかを以下に示します。
公式チャネル購入:これは、サプライチェーン攻撃の最も効果的なソリューションです。オンラインモール、購買エージェント、ネチズンなどの非公式チャネルからハードウェアウォレットを購入しないでください。
外観を確認してください:ウォレットを取得した後、これが最も基本的なものであるかどうかを確認してください。
公式ウェブサイトの実質機械検証:一部のハードウェアウォレットは、ユーザーがウォレットを初期化すると、ユーザーに公式のリアルタイムマシン検証を実行するように促します。輸送中に機器が改ざんされている場合、公式ウェブサイトでは検証されません。
マシンの解体と自己破壊メカニズム:分解された自己破壊メカニズムを備えたハードウェアウォレットを購入することができます。 、そしてデバイスはそれを引き続き使用することができません。
秘密鍵/ニーモニック語の漏れのリスク
上記のコンテンツを通じて、誰もが本物のウォレットをダウンロードまたは購入する方法を学ぶ必要があります。したがって、秘密のキー/ニーモニックの単語を保持する方法は別の問題です。秘密キー/ニーモニックは、ウォレットを復元して資産を制御するための唯一のバウチャーです。秘密鍵は、文字と数字で構成される64ビットの16進数文字列ですが、ニーモニック語は一般に12ワードで構成されています。ここのスローフォグセキュリティチームは、秘密のキー/ニーモニック語が漏れている場合、財布/ニーモニック語の漏れのいくつかの一般的な理由を見てみましょう。
不適切な機密性:ユーザーは、親relativeや友人に秘密の鍵/ニーモニックな言葉を伝え、彼らを救うのを助けるように頼むかもしれませんが、資金は親relativeや友人によって盗まれます。
ネットワークストレージまたはプライベートキー/ニーモニックワードの転送:一部のユーザーは、プライベートキー/ニーモニック語を他の人に伝えるべきではないことを知っていますが、WeChatコレクション、写真、スクリーンショット、クラウドストレージ、メモなどを通じてプライベートキー/ニーモニック語を保存します。これらのプラットフォームアカウントがハッカーによって収集され、正常に侵害されると、秘密のキー/ニーモニック語は簡単に盗まれます。
秘密鍵/ニーモニック語をコピーして貼り付けます。多くのクリップボードツールと入力メソッドユーザーのクリップボードレコードをクラウドにアップロードし、プライベートキー/ニーモニックを安全でない環境に公開します。さらに、トロイの木馬ソフトウェアは、ユーザーが秘密のキー/ニーモニックな単語をコピーするときに、クリップボードから情報を盗むこともできます。漏れの大きなリスク。
では、秘密鍵/ニーモニック語の漏れを避ける方法は?
まず、親relativeや友人を含む秘密のキー/ニーモニックな言葉を誰にも伝えないでください。第二に、ハッカーがサイバー攻撃やその他の手段を通じてプライベートキー/ニーモニック語を取得するのを防ぐために、プライベートキー/ニーモニック語を保存する物理メディアを選択してみてください。たとえば、プライベートキー/ニーモニックワードを高品質の紙にコピーする(プラスチック製の密閉も可能)か、ニーモニック語を使用して保存します。さらに、複数の署名を設定し、プライベートキー/ニーモニックを保存することで、プライベートキー/ニーモニックのセキュリティを改善することもできます。プライベートキー/ニーモニックワードのバックアップ方法については、スローミスト:https://github.com/slowmist/blockchain-dark-forest-selfguard book/blobが作成した「ブロックチェーンダークフォレスト自己レスキューマニュアル」を読むことができます。 /main /readme_cn.md。
要約します
この記事のこの問題は、財布をダウンロード/購入する際のリスク、ウォレットの信頼性を見つけ、財布の信ity性を検証する方法、およびプライベートキー/ニーモニックな単語の漏れのリスクを主に説明しています。この問題が、次の問題に入るための最初の一歩を踏み出すことを願っています。(詩。この記事で言及されているブランドと写真は、読者の理解のみを支援する目的であり、推奨または保証を構成するものではありません)。
