币圈子(120btc.CoM):小心冷钱包藏着洞!中国再爆出因为网购冷钱包而损失大笔加密资产的事件,一名加密用户在电商平台上购买号称imToken的硬件钱包后,把4.35枚比特币存入,两小时内即被黑客分批转走,总损失超过51万美元。
京东购买冷钱包遭黑
X平台用户@0xdizai7月29日发文指出,女性友人26日在京东以618元人民币购入标榜「官方正品」的imToken冷钱包,28日将4.35枚比特币转入。
短短两小时后,黑客便启动转移流程,整体动作持续六小时,最终资产分散至TRON链上四个地址。受害者直到29日才察觉资产已消失,显示黑客早在钱包到手之前就掌握助记词或私钥,或是内建程序后门。
先前,加密市场已出现多起相似案例,例如有加密投资人在抖音电商购买遭改装的Ledger钱包,损失高达数百万美元。
冷钱包「供应链攻击」
硬件钱包在制造、运输与销售过程都可能被插手。攻击者常见做法包括:在韧体中植入恶意程序、预先生成并抄录助记词、直接替换整台设备后重新封膜,或干脆制造高仿假货混入正规通路。一旦用户依照「预留」的助记词初始化钱包,黑客即可在远端监控并转走资产。
在上面的案例中,用户在京东并未挑选冷钱包厂商自己营运的官方销售帐号,是最大的风险点,也警醒了我们,买冷钱包一定要从官方销售管道取得。
购买与使用前后要注意什么?
购买前,如果看到价格明显低于官方建议售价、封条有破损或防伪贴纸残胶,都属高风险警讯。开盒时,若钱包内已出现预设PIN码、随包附赠印有助记词的卡片,更是直接证据,应立即停止使用并向原厂求证。
使用后,若发现钱包频繁要求连网或出现未知韧体更新提示,也应提高警觉。
另一类潜在威胁是「地址投毒」。黑客会在系统剪贴簿植入近似地址,诱导使用者误贴错误目标。Ledger的官方教学已说明此手法与防范方式,可见官方文章。
几个冷钱包操作守则给你参考
归纳了几个使用硬件钱包的简单守则,帮助你减少冷钱包被盗的风险。
只从官方或授权通路购买硬件钱包。
格式化时必须离线,自行生成全新助记词,用纸笔或金属板抄写备份。
设定独一无二且复杂的PIN码,能用生物辨识就开启。
在大额汇入前,先做一次小额转入、转出与助记词恢复测试。
每次大量转帐前,再进行小额试验,确认地址与设备运作正常。
将钱包与助记词纸本分开存放,并选择不同安全位置。
定期查看冷钱包官方公告,在可信任的网络环境下更新软件。
避免在公共Wi-Fi或连接未知应用程序时操作。
留意被别人用「社交工程」诈骗,网上的帅哥美女不要信。