Guide de sécurité du portefeuille matériel : identifier les attaques courantes et les mesures de prévention
Dans le monde des cryptomonnaies, la sécurité est toujours une préoccupation primordiale. Beaucoup de gens choisissent d'utiliser un portefeuille matériel (également appelé portefeuille froid) pour protéger leurs actifs numériques. C'est un dispositif de sécurité physique capable de générer et de stocker des clés privées hors ligne.
La fonction principale d'un portefeuille matériel est de stocker hors ligne les clés privées qui contrôlent vos jetons dans une puce sécurisée. Toutes les confirmations et signatures de transactions sont effectuées à l'intérieur de l'appareil, les clés privées n'étant jamais exposées à des appareils connectés. Cela réduit considérablement le risque que des pirates volent des clés privées par le biais de virus ou de chevaux de Troie.
Cependant, cette sécurité repose sur le fait que le portefeuille matériel que vous avez en main doit être fiable et non modifié. Si un attaquant a apporté des modifications malveillantes à votre portefeuille matériel avant que vous ne l'obteniez, alors cette forteresse censée protéger la sécurité de la clé privée perd dès le départ son rôle de protection et devient plutôt un piège que les escrocs peuvent exploiter à tout moment.
Cet article présentera deux types courants d'escroqueries liées aux portefeuilles matériels et fournira un ensemble complet de conseils de sécurité.
Types de scams d'attaques de portefeuille matériel
Actuellement, les escroqueries liées aux attaques de portefeuilles matériels se divisent principalement en deux catégories : les attaques techniques et les escroqueries par mots de passe prédéfinis.
attaque technique
Le cœur de cette attaque réside dans la modification de la structure physique du portefeuille matériel.
Les attaquants utilisent des méthodes techniques, telles que le remplacement de puces internes ou l'implantation de programmes malveillants capables d'enregistrer ou d'envoyer discrètement des phrases mnémotechniques, etc. Ces appareils compromis peuvent sembler identiques aux originaux, mais leurs fonctions essentielles (à savoir la génération hors ligne et le stockage hors ligne des clés privées) ont été altérées.
Comment se produisent les arnaques ?
Les attaquants se déguisent généralement sur les réseaux sociaux en équipes de projets connus, en marques de portefeuilles matériels ou en influenceurs, afin d'envoyer des portefeuilles matériels compromis comme "cadeaux" aux victimes sous prétexte de remplacements gratuits ou de tirages au sort.
En 2021, des utilisateurs ont signalé avoir reçu un portefeuille matériel "gratuit" prétendument envoyé par la marque officielle. Lorsqu'il a utilisé sa propre phrase de récupération pour restaurer le portefeuille sur l'appareil, des jetons d'une valeur de 78 000 $ ont été instantanément transférés. Une analyse ultérieure a révélé que cet appareil avait été infecté par un logiciel malveillant capable de voler la phrase de récupération de l'utilisateur au moment de sa saisie.
Alerte de sécurité
Il est impératif d'acheter un portefeuille matériel par des canaux officiels et de ne jamais utiliser de "portefeuille gratuit" d'origine douteuse.
Avant d'acheter un portefeuille matériel de n'importe quelle marque, assurez-vous de vérifier si l'URL est correcte afin d'éviter d'acheter un portefeuille avec des mots de passe modifiés ou préconfigurés. Vous pouvez utiliser les méthodes suivantes pour le déterminer :
Méthode en trois étapes pour évaluer les canaux officiels :
Passer par l'application de la marque, c'est le moyen le plus sûr ;
Lors de l'utilisation d'un moteur de recherche, évitez les liens publicitaires et vérifiez soigneusement l'orthographe du nom de domaine pour vous assurer qu'il s'agit du site officiel ;
Validation croisée sur plusieurs plateformes : consultez les liens épinglés des comptes officiels de la marque sur les principales plateformes de médias sociaux.
Soyez prudent avec ces sources de liens à haut risque :
Pages web de dons gratuits ou de ventes flash à bas prix
Liens d'achat recommandés dans des vidéos courtes ou sur les réseaux sociaux
Erreurs de frappe dans le nom de domaine, abréviations suspectes, pages web sans cadenas de sécurité
Arnaque des mots de passe préétablis
C'est l'escroquerie actuelle la plus courante et la plus susceptible de tromper les gens. Elle ne repose pas sur une technologie avancée, mais utilise l'écart d'information et la psychologie des utilisateurs. Son cœur réside dans le fait que l'escroc a déjà "préconfiguré" un ensemble de mots de passe pour vous avant que vous ne receviez votre portefeuille matériel, en utilisant de faux manuels et des discours de fraude pour inciter les utilisateurs à utiliser directement ce portefeuille.
Comment une arnaque se produit-elle ?
Les escrocs vendent souvent des portefeuilles matériels à bas prix par le biais de canaux non officiels (comme les réseaux sociaux, les plateformes de commerce en direct ou les marchés de seconde main). Une fois que les utilisateurs négligent de vérifier ou cherchent à faire des économies, ils risquent d'être trompés.
Les escrocs achètent à l'avance des portefeuilles matériels authentiques par le biais de canaux officiels, puis, après avoir ouvert le portefeuille, ils effectuent des actions malveillantes : activer l'appareil, générer et enregistrer les mots de passe du portefeuille, falsifier le mode d'emploi et la carte produit. Ensuite, ils utilisent un équipement et des matériaux d'emballage professionnels pour le reconditionner, le déguisant en "portefeuille matériel entièrement neuf et non ouvert" pour le vendre sur des plateformes de commerce électronique.
Actuellement, deux types d'escroqueries liées aux phrases mnémotechniques prédéfinies ont été observés :
Mots de passe prédéfinis : Une carte mnémotechnique imprimée est directement fournie dans l'emballage, incitant les utilisateurs à utiliser ce mot de passe pour restaurer leur portefeuille.
Code PIN prédéfini : Fournit une carte à gratter, prétendant que gratter le revêtement révèle le "code PIN" ou "code d'activation de l'appareil" unique, et mentant en disant que le portefeuille matériel n'a pas besoin de phrase de passe.
Une fois qu'un utilisateur est victime de la "fraude des mots de passe prédéfinis", en apparence, l'utilisateur possède un portefeuille matériel, mais en réalité, il ne détient pas vraiment le contrôle du portefeuille. Le contrôle de ce portefeuille (mots de passe) reste entre les mains des escrocs. Par la suite, les opérations de transfert de tous les tokens vers ce portefeuille ne sont guère différentes que de donner directement les tokens dans la poche de l'escroc.
Alerte de sécurité
Un portefeuille matériel régulier "ne préconfigurera jamais" d'informations sensibles, y compris mais sans s'y limiter les mots de passe, les codes PIN, les codes de liaison, etc. Si le manuel du portefeuille contient de telles informations sensibles préconfigurées, il existe un risque de fraude.
L'utilisateur doit "générer et noter" la phrase mnémonique sur son portefeuille matériel.
Cas d'utilisateur
Un utilisateur a acheté un portefeuille matériel sur une plateforme de courtes vidéos.
Une fois l'appareil reçu, l'emballage est intact et le label de sécurité semble également intact. Cet utilisateur a ouvert l'emballage et a découvert que le manuel l'orientait pour utiliser un code PIN prédéfini pour déverrouiller l'appareil. Il se sent un peu confus : "Pourquoi ce n'est pas moi qui définis le code PIN ? Et pendant tout le processus, il n'y a eu aucune indication pour sauvegarder la phrase de récupération ?"
Il a immédiatement contacté le service client du magasin pour poser des questions. Le service client a expliqué : "C'est notre nouveau portefeuille matériel sans phrase mnémotechnique, qui utilise les dernières technologies de sécurité. Pour faciliter l'utilisation, nous avons attribué un code PIN de sécurité unique à chaque appareil, qui peut être utilisé après déverrouillage, rendant l'utilisation plus pratique et sécurisée."
Ces paroles ont dissipé les doutes des utilisateurs. Il a suivi les instructions du manuel, utilisé le code PIN prédéfini pour terminer le couplage, et a progressivement transféré des fonds dans le nouveau Portefeuille.
Au début, tout fonctionnait normalement pour les paiements/les transferts. Cependant, presque au moment où il a transféré un gros montant de jetons, tous les jetons dans le portefeuille ont été transférés vers une adresse inconnue.
L'utilisateur était perplexe et ce n'est qu'après avoir contacté le véritable service client de la marque pour vérification qu'il a réalisé : ce qu'il avait acheté était un appareil déjà activé et préconfiguré avec une phrase mnémotechnique. Par conséquent, ce portefeuille matériel ne lui appartenait pas depuis le début, mais était toujours sous le contrôle des escrocs. Le prétendu "portefeuille froid de nouvelle génération sans phrase mnémotechnique" n'est qu'un mensonge utilisé par les escrocs pour tromper les gens.
Comment protéger votre portefeuille matériel
Pour prévenir les risques tout au long du processus, de la source à l'utilisation, veuillez consulter la liste de vérification de sécurité ci-dessous.
Prenons comme exemple le processus de vérification de sécurité lors du déballage d'un portefeuille matériel d'une certaine marque :
Étape 1 : Achat via des canaux officiels et vérification à l'ouverture
Respectez les canaux officiels : assurez-vous d'acheter uniquement par les canaux officiels listés sur le site officiel de la marque.
Vérifiez l'emballage : après avoir reçu l'appareil, vérifiez si l'emballage extérieur, le sceau et le contenu sont intacts.
Vérifier l'état d'activation de l'appareil : saisissez le code SN (numéro de série du produit) sur le site officiel de la marque pour vérifier la date d'activation de l'appareil. Un nouvel appareil doit indiquer "L'appareil n'est pas encore activé".
Deuxième étape : générer et sauvegarder indépendamment la phrase mnémonique
Complétez l'ensemble du processus de manière autonome : lors de la première utilisation du portefeuille matériel, assurez-vous de l'activer, de configurer et de sauvegarder le code PIN et le code de liaison, ainsi que de créer et de sauvegarder la phrase de récupération vous-même et de manière indépendante.
Conservez correctement l'appareil et la phrase de récupération : assurez-vous de sauvegarder la phrase de récupération physiquement (par exemple, en l'écrivant sur du papier) ou dans une boîte de phrase de récupération, et rangez-la dans un endroit sûr, séparé du portefeuille matériel. Ne prenez jamais de photo, de capture d'écran ou de stockage sur un appareil électronique.
Attention : Lors de la première connexion d'un portefeuille matériel avec l'application, si l'application indique "votre appareil n'est pas utilisé pour la première fois, un appareil a déjà été apparié, les mots de passe de sauvegarde du portefeuille matériel ont été sauvegardés", soyez vigilant ! Si ce n'est pas vous qui avez effectué cette opération, cela signifie que cet appareil présente un risque ! Veuillez cesser immédiatement de l'utiliser et contacter le service client de la marque.
Troisième étape : test des petits tokens
Avant de déposer des jetons de grande valeur, il est conseillé de d'abord effectuer un test complet de réception et de transfert avec une petite quantité de jetons.
Lors de la connexion d'un portefeuille logiciel pour signer un transfert, vérifiez attentivement les informations affichées sur l'écran de l'appareil matériel (comme le type de crypto-monnaie, le montant du transfert, l'adresse du destinataire) pour vous assurer qu'elles correspondent à celles affichées dans l'App. Une fois que vous avez confirmé que le jeton a été transféré avec succès, procédez aux opérations de stockage de gros montants.
Si vous avez des questions, veuillez contacter le service client officiel de la marque dans les plus brefs délais.
Conclusion
La sécurité du portefeuille matériel dépend non seulement de la conception de sa technologie de base, mais aussi des canaux d'achat sécurisés et des bonnes habitudes d'utilisation des utilisateurs. La sécurité au niveau physique est un élément absolument incontournable dans la protection des jetons numériques.
Dans le monde cryptographique où opportunités et risques coexistent, il est essentiel d'adopter une approche de sécurité "zéro confiance" – ne croyez jamais aux canaux, personnes ou dispositifs non vérifiés par des sources officielles. Restez extrêmement vigilant face à tout "déjeuner gratuit", c'est la première et la plus importante ligne de défense pour protéger vos jetons.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
12 J'aime
Récompense
12
4
Reposter
Partager
Commentaire
0/400
ForkMonger
· Il y a 8h
mdr le matériel n'est en réalité qu'une sécurité légère dans une boîte tbh
Voir l'originalRépondre0
CryptoPhoenix
· 08-11 15:14
Résister à toutes les tempêtes, la reconstruction de l'état d'esprit est la véritable clé.
Guide d'utilisation sécurisée du portefeuille matériel : déjouer les escroqueries aux phrases mnémoniques
Guide de sécurité du portefeuille matériel : identifier les attaques courantes et les mesures de prévention
Dans le monde des cryptomonnaies, la sécurité est toujours une préoccupation primordiale. Beaucoup de gens choisissent d'utiliser un portefeuille matériel (également appelé portefeuille froid) pour protéger leurs actifs numériques. C'est un dispositif de sécurité physique capable de générer et de stocker des clés privées hors ligne.
La fonction principale d'un portefeuille matériel est de stocker hors ligne les clés privées qui contrôlent vos jetons dans une puce sécurisée. Toutes les confirmations et signatures de transactions sont effectuées à l'intérieur de l'appareil, les clés privées n'étant jamais exposées à des appareils connectés. Cela réduit considérablement le risque que des pirates volent des clés privées par le biais de virus ou de chevaux de Troie.
Cependant, cette sécurité repose sur le fait que le portefeuille matériel que vous avez en main doit être fiable et non modifié. Si un attaquant a apporté des modifications malveillantes à votre portefeuille matériel avant que vous ne l'obteniez, alors cette forteresse censée protéger la sécurité de la clé privée perd dès le départ son rôle de protection et devient plutôt un piège que les escrocs peuvent exploiter à tout moment.
Cet article présentera deux types courants d'escroqueries liées aux portefeuilles matériels et fournira un ensemble complet de conseils de sécurité.
Types de scams d'attaques de portefeuille matériel
Actuellement, les escroqueries liées aux attaques de portefeuilles matériels se divisent principalement en deux catégories : les attaques techniques et les escroqueries par mots de passe prédéfinis.
attaque technique
Le cœur de cette attaque réside dans la modification de la structure physique du portefeuille matériel.
Les attaquants utilisent des méthodes techniques, telles que le remplacement de puces internes ou l'implantation de programmes malveillants capables d'enregistrer ou d'envoyer discrètement des phrases mnémotechniques, etc. Ces appareils compromis peuvent sembler identiques aux originaux, mais leurs fonctions essentielles (à savoir la génération hors ligne et le stockage hors ligne des clés privées) ont été altérées.
Comment se produisent les arnaques ?
Les attaquants se déguisent généralement sur les réseaux sociaux en équipes de projets connus, en marques de portefeuilles matériels ou en influenceurs, afin d'envoyer des portefeuilles matériels compromis comme "cadeaux" aux victimes sous prétexte de remplacements gratuits ou de tirages au sort.
En 2021, des utilisateurs ont signalé avoir reçu un portefeuille matériel "gratuit" prétendument envoyé par la marque officielle. Lorsqu'il a utilisé sa propre phrase de récupération pour restaurer le portefeuille sur l'appareil, des jetons d'une valeur de 78 000 $ ont été instantanément transférés. Une analyse ultérieure a révélé que cet appareil avait été infecté par un logiciel malveillant capable de voler la phrase de récupération de l'utilisateur au moment de sa saisie.
Alerte de sécurité
Il est impératif d'acheter un portefeuille matériel par des canaux officiels et de ne jamais utiliser de "portefeuille gratuit" d'origine douteuse.
Avant d'acheter un portefeuille matériel de n'importe quelle marque, assurez-vous de vérifier si l'URL est correcte afin d'éviter d'acheter un portefeuille avec des mots de passe modifiés ou préconfigurés. Vous pouvez utiliser les méthodes suivantes pour le déterminer :
Méthode en trois étapes pour évaluer les canaux officiels :
Soyez prudent avec ces sources de liens à haut risque :
Arnaque des mots de passe préétablis
C'est l'escroquerie actuelle la plus courante et la plus susceptible de tromper les gens. Elle ne repose pas sur une technologie avancée, mais utilise l'écart d'information et la psychologie des utilisateurs. Son cœur réside dans le fait que l'escroc a déjà "préconfiguré" un ensemble de mots de passe pour vous avant que vous ne receviez votre portefeuille matériel, en utilisant de faux manuels et des discours de fraude pour inciter les utilisateurs à utiliser directement ce portefeuille.
Comment une arnaque se produit-elle ?
Les escrocs vendent souvent des portefeuilles matériels à bas prix par le biais de canaux non officiels (comme les réseaux sociaux, les plateformes de commerce en direct ou les marchés de seconde main). Une fois que les utilisateurs négligent de vérifier ou cherchent à faire des économies, ils risquent d'être trompés.
Les escrocs achètent à l'avance des portefeuilles matériels authentiques par le biais de canaux officiels, puis, après avoir ouvert le portefeuille, ils effectuent des actions malveillantes : activer l'appareil, générer et enregistrer les mots de passe du portefeuille, falsifier le mode d'emploi et la carte produit. Ensuite, ils utilisent un équipement et des matériaux d'emballage professionnels pour le reconditionner, le déguisant en "portefeuille matériel entièrement neuf et non ouvert" pour le vendre sur des plateformes de commerce électronique.
Actuellement, deux types d'escroqueries liées aux phrases mnémotechniques prédéfinies ont été observés :
Une fois qu'un utilisateur est victime de la "fraude des mots de passe prédéfinis", en apparence, l'utilisateur possède un portefeuille matériel, mais en réalité, il ne détient pas vraiment le contrôle du portefeuille. Le contrôle de ce portefeuille (mots de passe) reste entre les mains des escrocs. Par la suite, les opérations de transfert de tous les tokens vers ce portefeuille ne sont guère différentes que de donner directement les tokens dans la poche de l'escroc.
Alerte de sécurité
Un portefeuille matériel régulier "ne préconfigurera jamais" d'informations sensibles, y compris mais sans s'y limiter les mots de passe, les codes PIN, les codes de liaison, etc. Si le manuel du portefeuille contient de telles informations sensibles préconfigurées, il existe un risque de fraude.
L'utilisateur doit "générer et noter" la phrase mnémonique sur son portefeuille matériel.
Cas d'utilisateur
Un utilisateur a acheté un portefeuille matériel sur une plateforme de courtes vidéos.
Une fois l'appareil reçu, l'emballage est intact et le label de sécurité semble également intact. Cet utilisateur a ouvert l'emballage et a découvert que le manuel l'orientait pour utiliser un code PIN prédéfini pour déverrouiller l'appareil. Il se sent un peu confus : "Pourquoi ce n'est pas moi qui définis le code PIN ? Et pendant tout le processus, il n'y a eu aucune indication pour sauvegarder la phrase de récupération ?"
Il a immédiatement contacté le service client du magasin pour poser des questions. Le service client a expliqué : "C'est notre nouveau portefeuille matériel sans phrase mnémotechnique, qui utilise les dernières technologies de sécurité. Pour faciliter l'utilisation, nous avons attribué un code PIN de sécurité unique à chaque appareil, qui peut être utilisé après déverrouillage, rendant l'utilisation plus pratique et sécurisée."
Ces paroles ont dissipé les doutes des utilisateurs. Il a suivi les instructions du manuel, utilisé le code PIN prédéfini pour terminer le couplage, et a progressivement transféré des fonds dans le nouveau Portefeuille.
Au début, tout fonctionnait normalement pour les paiements/les transferts. Cependant, presque au moment où il a transféré un gros montant de jetons, tous les jetons dans le portefeuille ont été transférés vers une adresse inconnue.
L'utilisateur était perplexe et ce n'est qu'après avoir contacté le véritable service client de la marque pour vérification qu'il a réalisé : ce qu'il avait acheté était un appareil déjà activé et préconfiguré avec une phrase mnémotechnique. Par conséquent, ce portefeuille matériel ne lui appartenait pas depuis le début, mais était toujours sous le contrôle des escrocs. Le prétendu "portefeuille froid de nouvelle génération sans phrase mnémotechnique" n'est qu'un mensonge utilisé par les escrocs pour tromper les gens.
Comment protéger votre portefeuille matériel
Pour prévenir les risques tout au long du processus, de la source à l'utilisation, veuillez consulter la liste de vérification de sécurité ci-dessous.
Prenons comme exemple le processus de vérification de sécurité lors du déballage d'un portefeuille matériel d'une certaine marque :
Étape 1 : Achat via des canaux officiels et vérification à l'ouverture
Deuxième étape : générer et sauvegarder indépendamment la phrase mnémonique
Attention : Lors de la première connexion d'un portefeuille matériel avec l'application, si l'application indique "votre appareil n'est pas utilisé pour la première fois, un appareil a déjà été apparié, les mots de passe de sauvegarde du portefeuille matériel ont été sauvegardés", soyez vigilant ! Si ce n'est pas vous qui avez effectué cette opération, cela signifie que cet appareil présente un risque ! Veuillez cesser immédiatement de l'utiliser et contacter le service client de la marque.
Troisième étape : test des petits tokens
Avant de déposer des jetons de grande valeur, il est conseillé de d'abord effectuer un test complet de réception et de transfert avec une petite quantité de jetons.
Lors de la connexion d'un portefeuille logiciel pour signer un transfert, vérifiez attentivement les informations affichées sur l'écran de l'appareil matériel (comme le type de crypto-monnaie, le montant du transfert, l'adresse du destinataire) pour vous assurer qu'elles correspondent à celles affichées dans l'App. Une fois que vous avez confirmé que le jeton a été transféré avec succès, procédez aux opérations de stockage de gros montants.
Si vous avez des questions, veuillez contacter le service client officiel de la marque dans les plus brefs délais.
Conclusion
La sécurité du portefeuille matériel dépend non seulement de la conception de sa technologie de base, mais aussi des canaux d'achat sécurisés et des bonnes habitudes d'utilisation des utilisateurs. La sécurité au niveau physique est un élément absolument incontournable dans la protection des jetons numériques.
Dans le monde cryptographique où opportunités et risques coexistent, il est essentiel d'adopter une approche de sécurité "zéro confiance" – ne croyez jamais aux canaux, personnes ou dispositifs non vérifiés par des sources officielles. Restez extrêmement vigilant face à tout "déjeuner gratuit", c'est la première et la plus importante ligne de défense pour protéger vos jetons.