Antecedentes

Las billeteras juegan un papel vital en el mundo Web3. Son herramientas de almacenamiento para activos digitales y herramientas necesarias para que los usuarios realicen transacciones y accedan a DApps. En problema anterior Del Guía para principiantes de seguridad Web3 para evitar errores, principalmente presentamos la categorización de billeteras y enumeramos puntos de riesgo comunes para ayudar a los lectores a comprender los conceptos básicos de la seguridad de la billetera. Con la popularidad de la criptomoneda y la tecnología blockchain, los ciberdelincuentes también han apuntado a los fondos de los usuarios de Web3. Según el formulario de robo recibido por el equipo de seguridad de SlowMist, se puede ver que muchos usuarios han sido robados debido a la descarga/compra de billeteras falsas. Por lo tanto, en este número, exploraremos por qué los usuarios pueden descargar/comprar billeteras falsas y los riesgos de la filtración de la clave privada/frase semilla. Además, proporcionaremos una serie de recomendaciones de seguridad para ayudar a los usuarios a proteger sus fondos.

Descargar billeteras falsas

Dado que muchos teléfonos móviles no admiten Google Play Store o debido a problemas de red, muchas personas descargarán billeteras de otras formas, como:

Sitio de descarga de terceros

Algunos usuarios descargarán billeteras a través de sitios de descarga de terceros como apkcombo, apkpure, etc. Estos sitios a menudo anuncian que sus aplicaciones se descargan desde espejos de Google Play Store, pero ¿qué tan seguro es? El equipo de seguridad de SlowMist ha realizado una investigación y análisis de fuentes de terceros de billeteras Web3 falsas, y los resultados muestran que la versión de la billetera proporcionada por el sitio de descarga de terceros apkcombo no existe. Una vez que el usuario crea una billetera o importa una frase de semilla de billetera en la interfaz de inicio, la billetera falsa enviará la frase de semilla y otra información al servidor del sitio web de phishing.

motor de búsqueda

Las clasificaciones de resultados de motores de búsqueda pueden ser manipuladas, lo que lleva a casos en los que los sitios web oficiales falsos tienen un rango más alto que los genuinos. Por lo tanto, no se recomienda a los usuarios buscar directamente billeteras a través de motores de búsqueda y luego hacer clic en los enlaces de mayor rango para descargar billeteras. Hacerlo puede llevar muy probablemente a acceder a un sitio web oficial falso y descargar una billetera falsa. Cuando los usuarios no están seguros de la URL del sitio web oficial, es difícil determinar si se trata de un sitio web falso basándose únicamente en la apariencia de la página de visualización del sitio web. Esto se debe a que los estafadores crean sitios web falsos que se asemejan estrechamente a los sitios web oficiales genuinos, lo que hace difícil distinguir entre los dos. Por lo tanto, tampoco se recomienda a los usuarios hacer clic en enlaces compartidos por otros usuarios en plataformas como Twitter u otras plataformas, ya que a menudo son enlaces de phishing.

Familiares y amigos/Estafas de matanza de cerdos

En el oscuro bosque de blockchain, mantener la confianza cero es crucial. Si bien tus amigos y familiares pueden no tener intenciones maliciosas hacia ti, las billeteras que descargan podrían ser falsas, y es posible que aún no hayan sido comprometidas. Por lo tanto, si descargas una billetera a través del código QR/enlace que comparten, existe la posibilidad de descargar una billetera falsa.

El equipo de seguridad de SlowMist ha recibido numerosos informes de incidentes de estafa que involucran el robo de fondos. Los estafadores a menudo establecen confianza con las víctimas, las guían hacia inversiones en criptomonedas y luego comparten enlaces para descargar billeteras falsas. En última instancia, las víctimas no solo pierden sus fondos, sino también su confianza. Por lo tanto, los usuarios deben permanecer vigilantes al interactuar con conocidos en línea, especialmente cuando fomentan inversiones o envían enlaces sospechosos. No confíes en ellos en tales situaciones.

Telegram

En Telegram, al buscar billeteras conocidas, encontramos algunos grupos oficiales falsos. Los estafadores afirmarían que el grupo es el canal oficial de una billetera específica e incluso recordarían a los usuarios en el grupo que busquen el único enlace al sitio web oficial. Sin embargo, todos estos enlaces son falsos.

App Mall

Es importante recordarle que las aplicaciones en el centro comercial de aplicaciones oficial no son necesariamente seguras. Algunos delincuentes inducen a los usuarios a descargar aplicaciones fraudulentas comprando clasificaciones de palabras clave para desviar el tráfico. Se recomienda a los lectores que estén atentos.

Entonces, ¿qué pueden hacer los usuarios para evitar descargar billeteras falsas?

Descargue aplicaciones desde el sitio web oficial

La capacidad de encontrar el verdadero sitio web oficial no solo se utilizará al descargar la billetera, sino que también se utilizará cuando los usuarios participen posteriormente en el proyecto Web3, por lo que hablaremos sobre cómo encontrar el sitio web oficial correcto aquí.

Los usuarios pueden buscar directamente la parte del proyecto en Twitter, y luego juzgar si se trata de una cuenta oficial en función del número de seguidores, el tiempo de registro y si tiene una etiqueta azul o dorada. Sin embargo, todo esto puede ser falsificado. En el artículo "Partes de proyectos auténticas y falsas | Ten cuidado con el phishing de cuentas falsas en el área de comentariosTe conté sobre los productos negros y grises que venden números de alta imitación. Por lo tanto, se recomienda que los principiantes primero sigan a algunas empresas de seguridad, profesionales de seguridad, medios conocidos, etc. de la industria en Twitter para ver si siguen la cuenta oficial que encontraste.

(https://twitter.com/DefiLlama)

A través del método anterior, los usuarios tienen una alta probabilidad de encontrar la cuenta real oficial de Twitter, pero aún necesitamos hacer múltiples verificaciones. Después de todo, no es raro que las cuentas oficiales de Twitter sean hackeadas, y los hackers también reemplazarán el enlace del sitio web oficial en la cuenta oficial con un enlace falso del sitio web oficial, por lo que los usuarios necesitan comparar el enlace del sitio web oficial que acaban de encontrar con los enlaces encontrados a través de otros canales (como DefiLlama, CoinGecko, CoinMarketCap, etc.).

(https://defillama.com/)

(https://landing.coingecko.com/links/)

Después de encontrar y confirmar el enlace al sitio web oficial, se recomienda que los usuarios guarden el enlace en marcadores para que puedan encontrar el enlace correcto directamente desde los marcadores la próxima vez sin tener que buscarlo y confirmarlo nuevamente cada vez, reduciendo la probabilidad de ingresar a un sitio web oficial falso.

Centro de aplicaciones

Los usuarios pueden descargar la billetera a través de tiendas de aplicaciones oficiales como Apple Store, Google Play Store, etc., pero antes de descargar, asegúrese de verificar primero la información del desarrollador de la aplicación para asegurarse de que sea consistente con la identidad del desarrollador oficial. También puede consultar información como calificaciones y descargas de la aplicación.

Verificación de versión oficial

Algunos lectores que vean esto pueden estar preguntándose: ¿cómo verificar si la billetera que descargaron es una billetera real? Los usuarios pueden realizar la verificación de consistencia de archivos, que determina si el archivo ha cambiado durante la transmisión o el almacenamiento al comparar el valor hash del archivo. Los usuarios solo necesitan arrastrar el archivo APK previamente descargado a la herramienta de verificación de hash de archivos. Esta herramienta utilizará una función hash (como MD5, SHA-256, etc.) para generar el valor hash del archivo. Si este valor es consistente con el valor hash oficial, es una billetera real; si no coincide, es una billetera falsa. ¿Qué debe hacer un usuario si verifica que su billetera es falsa?

1. Primero confirma el alcance de la fuga. Si solo descargaste la billetera falsa pero no ingresaste la clave privada/frase semilla, simplemente elimina la aplicación y vuelve a descargar la versión oficial.

2. Si la clave privada/frase semilla ha sido importada a la billetera falsa, significa que la clave privada/frase semilla ha sido filtrada. Por favor, vaya al sitio web oficial para descargar la billetera genuina e importar la clave privada/frase semilla, y crear una nueva dirección para transferir fondos transferibles rápidamente.

3. Si su criptomoneda es robada desafortunadamente, puede utilizar nuestros servicios gratuitos de asistencia comunitaria para la evaluación del caso. Solo necesita enviar un formulario de acuerdo con las pautas de clasificación (fondos robados/fraude/extorsión). Al mismo tiempo, la dirección del hacker que envíe también se sincronizará a la red de cooperación de inteligencia de amenazas InMist para el control de riesgos. (Nota: Envíe el formulario en chino ahttps://aml.slowmist.com/cn/recovery-funds.html, y enviar el formulario en inglés a https://aml.slowmist.com/recovery-funds.html)

Comprar una billetera de hardware falsa

La situación mencionada anteriormente es por qué se descargan billeteras falsas y las soluciones. Hablemos sobre por qué se compran billeteras de hardware falsas.

Algunos usuarios eligen comprar billeteras de hardware en centros comerciales en línea, pero las billeteras de hardware de dichas tiendas no oficiales autorizadas tienen riesgos de seguridad muy grandes, porque antes de que la billetera esté en manos del usuario, ¿cuántas personas pasarán por ella y si los componentes internos han sido manipulados, son inciertos. Si los componentes internos han sido manipulados, será difícil detectar el problema desde la apariencia y la función.

(https://www.kaspersky.com/blog/fake-trezor-hardware-crypto-wallet/48155/)

Aquí hay algunas de las formas en que ofrecemos para hacer frente a los ataques a la cadena de suministro de la billetera de hardware:

Compra desde canales oficiales: Esta es la forma más efectiva de abordar los ataques a la cadena de suministro. No compre billeteras de hardware desde canales no oficiales, como centros comerciales en línea, agentes de compra, internautas, etc.

Verifique la apariencia: Después de recibir la billetera, primero verifique si el empaque exterior ha sido dañado. Esto es lo más básico, aunque es probable que los hackers no se expongan en este paso.

Autenticación: Algunas billeteras de hardware proporcionan servicios de verificación de dispositivos físicos del sitio web oficial. Cuando el usuario inicializa la billetera, el dispositivo solicitará al usuario que realice la verificación física del dispositivo del sitio web oficial. Si el dispositivo ha sido manipulado durante el transporte, no podrá pasar la verificación del dispositivo real en el sitio web oficial.

Mecanismo de desmontaje y autodestrucción: Puedes optar por comprar una billetera de hardware con un mecanismo de desmontaje y autodestrucción. Cuando alguien intenta abrir la billetera de hardware y manipular los componentes internos, se activará el mecanismo de autodestrucción. Toda la información sensible en el chip de seguridad se borrará automáticamente y el dispositivo ya no podrá utilizarse.

Riesgo de fuga de clave privada/frase semilla

A través del contenido anterior, todos deberían aprender cómo descargar o adquirir una Billetera real, pero cómo mantener la clave privada/frase semilla es otro problema. La clave privada/frase semilla es la única credencial para recuperar la Billetera y controlar los activos. La clave privada es una cadena hexadecimal de 64 bits compuesta por letras y números, y la frase semilla generalmente consta de 12 palabras. El equipo de seguridad de SlowMist desea recordarles que si la clave privada/frase semilla se filtra, es muy probable que los activos de la Billetera sean robados. Echemos un vistazo a algunas razones comunes que llevan a la filtración de la clave privada/frase semilla:

Confidencialidad inadecuada: los usuarios pueden contarle a familiares y amigos la clave privada/frase semilla y pedirles que los ayuden a guardarla. Como resultado, los fondos son robados por familiares y amigos.

Almacenamiento en red o transmisión de claves privadas/frase semilla: Aunque algunos usuarios saben que la clave privada/frase semilla no debe ser compartida con otros, guardarán la clave privada/frase semilla a través de favoritos de WeChat, tomando fotos, capturas de pantalla, almacenamiento en la nube, notas, etc. Una vez que estas cuentas de plataformas son recopiladas y hackeadas con éxito por piratas informáticos, las claves privadas/frases semilla pueden ser fácilmente robadas.

Copia y pega la clave privada/frase semilla: Muchas herramientas de portapapeles y métodos de entrada subirán los registros del portapapeles del usuario a la nube, dejando expuesta la clave privada/frase semilla en un entorno inseguro. Además, el software troyano también puede robar la información en el portapapeles cuando el usuario copia la clave privada/frase semilla. Por lo tanto, no se recomienda que los usuarios copien y peguen la clave privada/frase semilla. Este comportamiento aparentemente inofensivo en realidad puede representar un gran riesgo de fuga.

Entonces, ¿cómo evitar la fuga de la clave privada/frase semilla?

En primer lugar, no le digas a nadie, ni siquiera a tus amigos y familiares, tu clave privada/frase semilla. En segundo lugar, intente elegir un medio físico para guardar la clave privada/frase semilla para evitar que los piratas informáticos la obtengan a través de ataques de red y otros medios. Por ejemplo, copie la clave privada/frase semilla en papel de buena calidad (también puede sellarla en plástico) o use una caja de frase semilla para almacenarla. Además, la configuración de firmas múltiples y el almacenamiento descentralizado de claves privadas/frases semilla también pueden mejorar la seguridad de las claves privadas/frases semilla. Con respecto a cómo hacer una copia de seguridad de la clave privada/frase semilla, puede leer el "Manual de autorescate de Blockchain Dark Forest" producido por SlowMist: https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md.

Resumen

Este artículo explica principalmente los riesgos al descargar/comprar una billetera, cómo encontrar el sitio web oficial real y verificar la autenticidad de la billetera, y el riesgo de filtración de la clave privada/frase semilla. Esperamos que el contenido de este número pueda ayudar a todos a dar el primer paso en web3. En el próximo número, explicaremos los riesgos al usar billeteras, como el phishing, la firma y los riesgos de autorización. Bienvenidos a seguirnos. (PD. Las marcas e imágenes mencionadas en este artículo solo se utilizan para ayudar a la comprensión de los lectores y no constituyen recomendaciones o garantías)

1. Este artículo es una reimpresión de [Cuenta oficial de WeChat: SlowMist Technology]. Todos los derechos de autor pertenecen al autor original [Equipo de seguridad de SlowMist]. Si hay objeciones a esta reimpresión, por favor contacte al Aprender en Gateequipo y lo resolverán rápidamente.
2. Descargo de responsabilidad: Las opiniones expresadas en este artículo son únicamente las del autor y no constituyen ningún consejo de inversión.
3. Las traducciones del artículo a otros idiomas son realizadas por el equipo de Gate Learn. A menos que se mencione, está prohibido copiar, distribuir o plagiar los artículos traducidos.