Холодні гаманці часто вважаються одними з найбезпечніших способів зберігання криптовалюти. Оскільки вони не підключені до Інтернету, теоретично вони уникнуть ризику хакерських атак. Однак останній звіт Coindesk розкрив шокуючий інцидент: Досвідній фахівець у галузі криптовалют мав цифрові активи на суму 400 000 доларів, збережені в холодному гаманці, які було легко викрадено шахраями.Що ще більше дивує, це те, що це не було результатом вторгнення хакерів, які обійшли високотехнологічну безпеку; це насправді було ретельно спланованим атакою соціального інженерінгу.

Ви, можливо, не знайомі з атаками соціального інженерінгу. Простими словами, це той випадок, коли жертва, не маючи жодних технічних слабкостей в своїй системі, обманюється через ряд помилкового довіри та рішень, в результаті чого втрачає всі свої заощадження.

Олів'є Акунья, Жертва

Стаття не деталізує шахрайство, здається, приховуючи деякі важливі аспекти. Після великого дослідження мені вдалося розкрити повну історію, і я поділюся неюдеталіз вами незабаром.

Ви, можливо, думаєте, що якщо навіть досвідчений журналіст може потрапити в обман, то як звичайній людині захистити себе? Це може здатися вам, що ризики в галузі блокчейну надто великі, і ви можете вирішити утриматися від цього. Але якщо це ваш підхід, ви дозволите страху зупинити вас від участі. Насправді уникнути шахрайства досить просто. До кінця цього статті я покажу вам найпростіший спосіб залишатися в безпеці і робити шахраїв безсилими перед вами.

Давайте спочатку подивимося, хто такий ветеранський журналіст і як він саме втратився.

1. Досвідчений журналіст обманутий

Потерпілий Олів'є Акуна - ветеранський журналіст, який раніше розслідував наркокартелі та корупцію в уряді Мексики. Після десятиліть у журналістиці він перейшов до індустрії криптовалют, ставши досвідченим фахівцем. Він працював директором з громадських зв'язків у блокчейн-компанії IoTeX, де він керував зовнішніми комунікаціями компанії та просував використання технології блокчейн.

Зарплата та бонуси Акуни були виплачені у токені IoTeX, IOTX, та зберігалися в апаратному гаманці Ledger. Відомий своєю офлайн зберіганням, цей холодний гаманець додав додатковий шар безпеки. Акуна довіряв технології блокчейну, вірячи, що його децентралізований характер може боротися з корупцією та цензурою. Однак його довіра в кінцевому підсумку призвела до того, що він розслабився перед шахраєм.

1.1 Проблема

Проблеми Акуни почалися з простої спроби виведення коштів. Після дворічної роботи в IoTeX він зберіг свої токени IOTX у апаратному гаманці Ledger, який вважається безпечним методом зберігання криптовалюти через його офлайн-характер. Однак, коли він спробував вивести кошти - гроші, які він планував використовувати на старість - він зіткнувся з проблемою у додатку гаманця.

Незважаючи на кілька спроб, Акуна не зміг завершити виведення. Помилкові повідомлення продовжували з'являтися. Як людина, що не має технічної освіти, він не розумів причину проблеми, що призводило до зростаючого роздратування та тривоги. Йому терміново потрібні були гроші, але здавалося, що гаманець є непроникною бар'єром.

1.2 Звернення за допомогою

Втративши напрям, Акуна вирішив звернутися за допомогою до зовнішньої допомоги. Він залишив коментар на соціальній мережі X (раніше відомій як Twitter), під постом про оновлення додатку Ledger, описуючи проблему та проханням про офіційну підтримку.

Незабаром з'явився "спаситель" - обліковий запис з галочкою синього кольору, який стверджував, що є офіційним обслуговуванням клієнтів Ledger. Вони зв'язалися з Акунья особисто, говорячи професійним і ентузіазмом, кажучи, що розуміють його проблему і готові допомогти.

Їм сказали Акуньї, що його проблему дуже поширено і можна виправити, оновивши додаток гаманця. Вони вислали йому посилання на те, що вони стверджували, є "офіційним інструментом для виправлення". Сторінка виглядала дуже професійно, ідеально повторюючи офіційний веб-сайт Ledger, від макету до піктограм. Акунья нічого не підозрював і натиснув на посилання, завантажуючи так званий інструмент для виправлення, як йому вказано.

Після встановлення вони провели його далі, кажучи, що для підтвердження його облікового запису йому потрібно буде ввести свою мнемонічну фразу. Мнемонічна фраза є важливим ключем для криптовалютних гаманців, яка складається з 12 до 24 слів, що використовуються для відновлення або доступу до активів у гаманці. Вони ніжно й твердо запевнили його, що це був останній крок у вирішенні проблеми. Однак очікуване повідомлення «проблема вирішена» так і не з'явилося.

1.3 Отримання обману

Кілька хвилин пізніше, коли Акуна спробував знову отримати доступ до свого гаманця, він виявив, що баланс порожній. Його $400,000 вартість токенів IOTX була майже миттєво переведена на невідому адресу. Він намагався відстежити кошти за допомогою дослідника блокчейну, але побачив, що вони швидко розповсюдилися по кількох адресах гаманців і врешті-решт перейшли на Binance, найбільшу криптовалютну біржу у світі.

Акуна негайно зв'язався з Binance, сподіваючись заморозити кошти, але біржа вказала, що лише поліцейське втручання може спровокувати дії. Потім він повідомив про інцидент іспанську поліцію, але їхня реакція була набагато повільнішою, ніж здатність шахраїв переказати кошти. На момент початку розслідування токени вже давно зникли.

У цій трагедії Акуна вдалося відновити лише невелику частину — приблизно на $20,000 вартістю стейблкоїнів — тоді як решта на $400,000 вартістю токенів IOTX була повністю знищена. Ці кошти, спочатку призначені для його пенсії, тепер були втрачені шахраями, втрата, яку ніколи не можна було відновити.

2. Що пішло не так?

Досвід Акуни підкреслює основний механізм атак соціальної інженерії: використання людських слабкостей через психологічну маніпуляцію. Зокрема, успіх цього шахрайства був не чисто залежний від технічних засобів, а від кількох ключових помилок, які зробив Акуна під час події:

2.1 Викладення особистої інформації через коментарі в соціальних мережах

Акуна публічно прокоментував у соціальній мережі X (раніше відомій як Twitter), описуючи проблему, з якою він зіткнувся під час спроби зняти свої кошти. Його намір полягав у пошуку допомоги, але ця дія фактично відкрила двері для шахраїв. Згадуючи ключові слова, такі як "апаратний гаманець", "збій у виведенні" та "зберігання токенів", він навмисно привернув увагу шахраїв, особливо в криптосфері, де шахрайство є поширеним.

Шахраї використали цю інформацію, щоб визначити скрутну ситуацію Акуни та прикинутися офіційними представниками служби підтримки. Якби Акуна вирішив звернутися за допомогою через офіційні канали або обмежив свої комунікації до приватної спільноти, його, можливо, не спробували б обманути шахраї.

2.2 Довіряючи перевірці з блакитним позначенням та помиляючись у ситуації

Акаунт афериста мав перевірку на синю позначку, що було однією з ключових причин, через які Акуна опустив свою гордість.

Підтвердження з блакитним прапорцем спочатку використовувалося X (раніше Twitter) для позначення довірених облікових записів, таких як ті від знаменитостей або організацій, допомагаючи користувачам розрізняти справжні облікові записи від фальшивих. Однак, оскільки платформа ввела платну послугу передплати, будь-хто, хто сплачував щомісячний внесок, міг отримати блакитний прапорець, що зробило підтвердження менш надійним.

Шахраї скористалися цим зміщенням у системі верифікації платформи, успішно видаючись за офіційний обліковий запис. Акунья, очевидно, не впізнав цієї зміни і не зміг додатково перевірити обліковий запис. Якби він перевірив історію твітів облікового запису або перевірив ідентичність обслуговування клієнтів через офіційні канали, він міг би розкрити шахрайство.

2.3 Клацання посилання, наданого незнайомцем

Посилання, відправлене аферистом, було дотепно створеною фішинговою веб-сайтом, який повністю реплікував офіційний сайт Ledger, від макету до піктограм, зробивши його майже невідрізним від реальної речі. Фішингові веб-сайти є поширеними інструментами у соціальних інженерних атаках, призначеними для обману жертв, що вони взаємодіють з офіційним сервісом.

Без подальшої перевірки Акуна клікнув по посиланню та завантажив так зване "інструмент відновлення". Потім він ввів свою мнемонічну фразу, ключовий елемент його холодного гаманця. Якщо мнемонічна фраза виявляється, це дає шахраям повний контроль над гаманцем, значне порушення безпеки в криптосвіті.

Якби Акуна зрозумів, що офіційне обслуговування клієнтів ніколи не надсилатиме посилання через приватні повідомлення у соціальних мережах, ані не буде запитувати мнемонічні фрази, ця трагедія могла б бути уникнена.

2.4 Загальний огляд

Зверніть увагу, що весь процес обману був ретельно спланованою послідовністю, де кожен крок відіграв важливу роль. Ми не можемо винуватити Акунью в тому, що він необережно ввів свою мнемонічну фразу, оскільки вона була на його місцевому пристрої. Ми також не можемо його винуватити за те, що він шукав допомоги в соціальних мережах, оскільки будь-яка звичайна людина це зробила б. Ми звичайно не можемо винуватити його за довіру до перевірки з галочкою, оскільки це все ще було знаком довіри для більшості користувачів, і ця зміна не була широко відомою.

Так отже, чи немає нічого, що ми можемо зробити, щоб запобігти таким шахраївствам? \
Є. І не просто є спосіб, але він також досить простий.

3. Як уникнути шахрайства?

Коротко кажучи: ніколи, ні при яких обставинах, не діліться своєю мнемонічною фразою (або приватним ключем) з ким-небудь — це стосується всіх видів програмного забезпечення та веб-сайтів.

Чому?

Оскільки мнемонічна фраза (або приватний ключ) - це "життєва кров" ваших цифрових активів. Якщо вона витікає, це схоже на те, що ви віддаєте всі ключі, паролі, навіть власні документи на будинок незнайомцю. Їм потрібно лише кілька хвилин, щоб спорожнити ваш "цифровий банківський рахунок". І цей процес не потребує вашого підпису, вам не потрібно натискати жодну кнопку підтвердження, і вам не буде ніякої можливості "забрати назад" - як тільки транзакція відбудеться в блокчейні, вона незворотня.

Уявіть, що у вас є сейф з усіма вашими заощадженнями всього життя всередині. У сейфа є лише один ключ, а мнемонічна фраза - це ключ. Хтось каже вам: "Ей, дозволь мені виправити ваш сейф, не хвилюйтеся, просто дайте мені ключ, і я позайманюся цим!" Що б ви зробили? Чи ви просто віддадите ключ? В реальному житті ви, напевно, цього не зробили б, оскільки це очевидний ризик. Але в цифровому світі цей "ключ" прихований під виглядом набору видимо безшкідних слів (мнемонічна фраза), і багато людей розслабляються через це.

Тепер ви повинні розуміти, наскільки серйозними є наслідки, якщо ваша мнемонічна фраза (приватний ключ) витікає. Це абсолютний контроль над вашими цифровими активами. Якщо ви його втратите, ви втрачаєте все.

Щоб забезпечити, що ви ніколи не розійдетеся зі своєю мнемонічною фразою, ось 4 речі, які вам потрібно зробити:

1. Пам'ятайте: офіційні джерела ніколи не попросять вашу мнемонічну фразу. Будь-хто, хто стверджує, що він офіційний служба підтримки або технічна підтримка, незалежно від того, наскільки «професійно» або «невідкладно» вони звучать, це 100% шахрай, якщо вони просять вашу мнемонічну фразу. Пам'ятайте, справжня служба підтримки ніколи не потребує вашої мнемонічної фрази, щоб вирішити будь-які проблеми.

2. Будьте обережні з посиланнями та уникайте рибальських сайтів. Ніколи не клікайте на посилання, відправлені іншими, і абсолютно ніколи не вводьте свою мнемонічну фразу на незнайомих веб-сайтах. Якщо ви абсолютно повинні ввести свою мнемонічну фразу, переконайтеся, що вона знаходиться в офіційному додатку вашого апаратного гаманця та що вона знаходиться в автономному режимі.

3. Зберігайте активи окремо, щоб уникнути однієї точки відмови. Не зберігайте всі свої активи в одному гаманці, особливо в тому, який повністю покладається лише на одну мнемонічну фразу. Багаторівневе зберігання може ефективно зменшити ризик втрат.

4. Завжди зберігайте свою мнемонічну фразу в автономному режимі. Ви можете написати його на папері або вигравірувати на металевій пластині, але ніколи не зберігайте його на електронних пристроях. Хакери можуть віддалено отримувати доступ до інформації на електронних пристроях, але шматок паперу або металева пластина – це те, до чого вони не можуть доторкнутися. Якщо вашими активами є біткойн, ось безкоштовний посібник з створення холодного гаманця без потреби технічних знань.

На завершення, просто запам'ятайте це одним реченням: Ваш фраза-мнемоніка - це "життєва кров" ваших цифрових активів - ніколи, ніколи не передавайте її комусь.

Висновок

Світ блокчейну схожий на невіддану дикість, наповнений можливостями, але також прихований хитрими пастками. Історія Олів'єра Акуни навчає нас тому, що, незважаючи на те, наскільки розвинена технологія, людська природа залишається найбільшою вразливістю. Однак трагедію можна перетворити на урок, і цей урок може привести нас до мудрішого майбутнього.

На цьому децентралізованому цифровому кордоні кожен є своїм власним опікуном активів і першою лінією оборони від ризиків. Ми не можемо покладатися на інших, але можемо покладатися на правила та здоровий глузд. Головний висновок такий: ніколи, ні в якому разі не діліться своєю мнемонічною фразою.

Аферисти еволюціонують, і нам теж потрібно розвиватися. Тільки підточуючи наше усвідомлення безпеки, ми можемо впевнено навігувати цим цифровим безоднем. Вартість блокчейну виходить далеко за межі заробляння грошей - це про революцію довіри та свободи. Захист вашого багатства - це не лише базовий навик для приєднання до цієї революції, але й вихідна точка для яскравого майбутнього.

Пам'ятайте: ваш холодний гаманець може бути «холодним», але ваша обережність щодо безпеки завжди має бути «гарячою».

Відмова від відповідальності:

1. Цю статтю було перепостовано зДзеркало], з авторським правом, що належить оригінальному авторові [Daii]. Якщо у вас є які-небудь питання щодо перепосту, будь ласка, зв'яжіться зGate Learnкоманда, і вони вирішать питання відповідно до відповідних процедур.
2. Відмова від відповідальності: Погляди та думки, висловлені в цій статті, представляють лише особисті погляди автора і не становлять жодних інвестиційних порад.
3. Інші мовні версії цієї статті були перекладені командою Gate Learn. Цю статтю не можна копіювати, поширювати або плагіатити, якщо не зазначено інше.