Холодные кошельки часто считаются одним из самых безопасных способов хранения криптовалюты. Поскольку они не подключены к интернету, теоретически они избегают риска хакерских атак. Однако недавний отчет Coindesk раскрыл шокирующий инцидент: Опытный специалист в индустрии криптовалют имел цифровые активы на сумму 400 000 долларов, хранившиеся в холодном кошельке, которые легко были похищены мошенниками.Еще более удивительно, что это не было результатом взлома высокотехнологичной безопасности; это была на самом деле тщательно спланированная атака социальной инженерии.

Вы, возможно, не знакомы с атаками методом социальной инженерии. Простыми словами, это когда жертва, не имея технических уязвимостей в своей системе, обманывается через цепочку ошибочного доверия и принимаемых решений, в конечном итоге теряя все свои сбережения.

Оливье Акуна, жертва

Статья не углубляется в подробности мошенничества, кажется, скрывая некоторые важные аспекты. После обширных исследований мне удалось раскрыть всю историю, и я поделюсь деталис вами в ближайшее время.

Вы можете подумать, что если даже опытный журналист может попасться на уловку, как обычному человеку защитить себя? Это может заставить вас почувствовать, что риски в сфере блокчейн слишком велики, и вы можете решить держаться от нее подальше. Но если вы так поступите, то позволите страху помешать вам включиться. На самом деле, избегать мошенничества довольно просто. К концу этой статьи я покажу вам самый простой способ оставаться в безопасности и лишить мошенников власти над вами.

Давайте начнем с того, кто такой ветеранский журналист и как именно он попал в ловушку.

1. Опытный журналист обманут

Жертва, Оливье Акуна, является опытным журналистом, который ранее занимался расследованием наркокартелей и коррупции в правительстве Мексики. После десятилетий работы в журналистике он перешел в индустрию криптовалют, став опытным специалистом. Он работал директором по связям с общественностью в блокчейн-компании IoTeX, где управлял внешними коммуникациями компании и продвигал использование блокчейн-технологии.

Зарплата и бонусы Акуны были оплачены токеном IoTeX, IOTX, и хранились в аппаратном кошельке Ledger. Известный своим оффлайн хранением, этот холодный кошелек добавил дополнительный уровень безопасности. Акуна доверял технологии блокчейн, считая, что ее децентрализованная природа может бороться с коррупцией и цензурой. Однако его доверие в конечном итоге привело к тому, что он опустил бдительность перед мошенничеством.

1.1 Проблема

Проблемы Акуны начались с попытки вывести средства. После двухлетней работы в IoTeX он хранил свои токены IOTX в аппаратном кошельке Ledger, который считается безопасным методом хранения криптовалюты из-за своего оффлайнового характера. Однако, когда он попытался вывести средства - деньги, которые он планировал использовать на пенсию - у него возникла проблема с приложением кошелька.

Несмотря на несколько попыток, Акунья не смог завершить вывод. Постоянно появлялись сообщения об ошибке. Как непрофессионал, он не понимал причину проблемы, что привело к растущему раздражению и беспокойству. Ему срочно нужны были деньги, но казалось, что кошелек был непроницаемым барьером.

1.2 Поиск помощи

Оказавшись в тупике, Акуна решил обратиться за внешней помощью. Он опубликовал комментарий на социальной платформе X (ранее известной как Twitter), под постом об обновлении приложения Ledger, описывая проблему и просил официальной поддержки.

Вскоре появился «спаситель» — аккаунт с голубой галочкой, утверждая, что это официальное обслуживание клиентов Ledger. Они связались с Акуньей лично, говоря профессиональным и восторженным тоном, говоря, что они понимали его проблему и были готовы помочь.

Ему сказали, что его проблема очень распространена и может быть исправлена путем обновления приложения кошелька. Они отправили ему ссылку на то, что они утверждали, что это "официальный инструмент восстановления". Страница выглядела крайне профессионально, идеально повторяя официальный сайт Ledger, от макета до иконок. Акунья ничего не заподозрил и перешел по ссылке, скачав так называемый инструмент восстановления, как ему было указано.

После установки они направили его дальше, сказав, что для проверки его учетной записи ему нужно будет ввести свою мнемоническую фразу. Мнемоническая фраза является ключевым ключом для криптовалютных кошельков, состоящей из 12-24 слов, используемых для восстановления или доступа к активам в кошельке. Они мягко и твердо заверили его, что это последний шаг к решению вопроса. Однако ожидаемое сообщение «проблема решена» так и не появилось.

1.3 Попадание в ловушку

Через несколько минут, когда Акуня попытался снова получить доступ к своему кошельку, он обнаружил, что баланс пустой. Его токены IOTX на сумму $400,000 были переведены практически мгновенно на неизвестный адрес. Он попытался отследить средства через исследователь блокчейнов, но увидел, что они быстро были разделены по нескольким адресам кошельков и в конечном итоге переведены на Binance, крупнейшую в мире криптовалютную биржу.

Акунья немедленно связался с Binance в надежде заморозить средства, но биржа заявила, что только вмешательство полиции может вызвать действие. Затем он сообщил о происшествии испанской полиции, но время их реагирования было значительно медленнее, чем способность мошенников передавать средства. К моменту начала расследования токены давно исчезли.

В этой трагедии Акунья удалось восстановить лишь небольшую часть — около $20,000 стабильных монет — в то время как оставшиеся $400,000 токенов IOTX были полностью уничтожены. Эти деньги, изначально предназначенные для его пенсии, теперь потеряны для мошенников, их утрата никогда не будет возмещена.

2. Что пошло не так?

Опыт Акуны подчеркивает основной механизм атак социальной инженерии: эксплуатацию человеческих слабостей через психологическое воздействие. В частности, успех этого мошенничества не зависел исключительно от технических средств, а от нескольких ключевых ошибок, допущенных Акуной во время инцидента:

2.1 Раскрытие личной информации через комментарии в социальных сетях

Акунья публично прокомментировал в социальной сети X (ранее Twitter), описав проблему, с которой он столкнулся при попытке вывести свои средства. Несмотря на то, что он намеревался обратиться за помощью, это действие фактически открыло дверь для мошенников. Упомянув такие ключевые слова, как «аппаратный кошелек», «сбой при выводе средств» и «хранение токенов», он невольно привлек внимание мошенников, особенно в криптопространстве, где мошенничество процветает.

Мошенники использовали эту информацию, чтобы определить положение Акуньи и выдавали себя за официальных представителей службы поддержки. Если бы Акунья выбрал обратиться за помощью через официальные каналы или ограничил свое общение с частным сообществом, его, возможно, не стали бы целиться мошенники.

2.2 Доверие к проверке синего чека и неправильная оценка ситуации

Аккаунт мошенника был подтвержден голубой галочкой, что было одной из основных причин, по которой Акуна опустил бдительность.

Верификация синей галочки изначально использовалась X (ранее Twitter) для пометки доверенных аккаунтов, таких как те, которые принадлежат знаменитостям или организациям, помогая пользователям отличить подлинные аккаунты от фейковых. Однако, поскольку платформа представила платную подписку, любой, кто платил ежемесячную плату, мог получить синюю галочку, что сделало верификацию менее надежной.

Мошенники воспользовались этим изменением в системе верификации платформы и успешно выдавали себя за официальный аккаунт. Акуна явно не узнал об этом изменении и не смог дополнительно верифицировать аккаунт. Если бы он проверил историю твитов аккаунта или верифицировал личность обслуживания клиентов через официальные каналы, он мог бы раскрыть мошенничество.

2.3 Нажатие на ссылку, предоставленную незнакомцем

Ссылка, отправленная мошенником, была тщательно созданным фишинговым веб-сайтом, полностью повторяющим официальный сайт Ledger, от макета до значков, что делает его почти неотличимым от реального. Фишинговые веб-сайты являются распространенным инструментом в атаках методом социальной инженерии, предназначенным для обмана жертв, заставляя их думать, что они взаимодействуют с официальным сервисом.

Без дополнительной верификации Акунья кликнул по ссылке и загрузил так называемый «инструмент восстановления». Затем он ввел свою мнемоническую фразу, ключ критический для его холодного кошелька. Как только мнемоническая фраза раскрывается, мошенники получают полный контроль над кошельком, что представляет собой значительный пробел в безопасности в мире криптовалют.

Если бы Акуна осознал, что официальное обслуживание клиентов никогда не отправляет ссылки через прямые сообщения в социальных сетях и не запрашивает мнемонические фразы, эта трагедия могла бы быть избежана.

2.4 Summary

Обратите внимание, что весь процесс мошенничества был тщательно спланированной последовательностью, где каждый шаг играл решающую роль. Мы не можем винить Акунью за небрежный ввод своей мнемонической фразы, поскольку она находилась на его местном устройстве. Мы также не можем упрекнуть его за поиск помощи в социальных сетях, так как это делал бы любой обычный человек. Мы определенно не можем его обвинить за доверие к верификации с голубой галочкой, поскольку для большинства пользователей это был признак доверия, и эти изменения были мало известны.

Итак, есть ли что-нибудь, что мы можем сделать, чтобы предотвратить такие мошеннические схемы? \
Есть. Не только есть способ, но он также довольно прост.

3. Как избежать мошенничества?

Коротко: Никогда, ни при каких обстоятельствах, не делитесь своей мнемонической фразой (или приватным ключом) ни с кем — это включает в себя все виды программного обеспечения и веб-сайтов.

Почему?

Поскольку мнемоническая фраза (или частный ключ) является «жизненной силой» ваших цифровых активов. Если она утекает, это похоже на то, что вы отдали все ключи, пароли, а даже свидетельства о собственности вашего дома незнакомцу. Ему понадобится всего несколько минут, чтобы опустошить ваш «цифровой банковский счет». При этом не требуется вашей подписи, вам не надо нажимать никакую кнопку подтверждения, и у вас не будет возможности «забрать это обратно» — как только происходит транзакция в блокчейне, она необратима.

Представьте, что у вас есть сейф со всеми вашими жизненными сбережениями внутри. В этом сейфе есть только один ключ, и мнемоническая фраза - это ключ. Кто-то говорит вам: “Эй, позвольте мне починить ваш сейф, не волнуйтесь, просто дайте мне ключ, и я позабочусь об этом!” Что бы вы сделали? Вы бы небрежно передали ключ? В реальной жизни вы, вероятно, бы этого не сделали, потому что это очевидный риск. Но в цифровом мире этот “ключ” маскируется под набор кажущихся безобидными слов (мнемоническая фраза), и многие люди расслабляются в результате.

Теперь вы должны понимать, насколько серьезны последствия, если ваша мнемоническая фраза (личный ключ) утекает. Это абсолютный контроль над вашими цифровыми активами. Как только вы потеряете его, вы потеряете все.

Чтобы гарантировать, что вы никогда не утекаете свою мнемоническую фразу, вот 4 вещи, которые вам нужно сделать:

1. Помните: официальные источники никогда не попросят вашу мнемоническую фразу. Любой, кто утверждает, что является официальным службой поддержки или технической поддержкой, независимо от того, насколько они звучат "профессионально" или "срочно", является мошенником на 100%, если они просят вашу мнемоническую фразу. Помните, настоящей службе поддержки никогда не нужна ваша мнемоническая фраза для решения любых проблем.

2. Будьте осторожны с ссылками и избегайте фишинговых сайтов. Никогда не нажимайте на ссылки, отправленные другими, и никогда не вводите свою мнемоническую фразу на незнакомых веб-сайтах. Если вам абсолютно необходимо ввести свою мнемоническую фразу, убедитесь, что это происходит в официальном приложении вашего аппаратного кошелька и что оно находится в автономном режиме.

3. Храните активы отдельно, чтобы избежать единой точки отказа. Не храните все свои активы в одном кошельке, особенно в том, который полностью полагается на одну мнемоническую фразу. Многоуровневое хранение может эффективно снизить риск потери.

4. Всегда храните свою мнемоническую фразу в оффлайне. Вы можете записать ее на бумаге или выгравировать на металлической пластине, но никогда не храните ее на электронных устройствах. Хакеры могут удаленно получить доступ к информации на электронных устройствах, но лист бумаги или металлическая пластина - это то, что они не могут тронуть. Если ваши активы - Bitcoin, вот бесплатное руководство по созданию холодного кошелька без необходимости технических знаний.

В заключение, просто запомните это одним предложением: Ваша мнемоническая фраза - это "жизненная сила" ваших цифровых активов — никогда, ни за что не передавайте её кому-либо.

Заключение

Мир блокчейна похож на необузданную дикую природу, полный возможностей, но также скрытых ловушек. История Оливье Акуны учит нас, что, несмотря на передовые технологии, человеческая природа остается самым большим уязвимым местом. Однако трагедию можно превратить в урок, и этот урок может привести нас к мудрому будущему.

На этой децентрализованной цифровой границе каждый является своим собственным защитником активов и первой линией обороны от рисков. Мы не можем полагаться на других, но мы можем полагаться на правила и здравый смысл. Основной вывод: никогда, ни в коем случае не делитесь своей мнемонической фразой.

Мошенники совершенствуются, и нам тоже нужно развиваться. Только отточивая наше понимание безопасности, мы можем уверенно ориентироваться в этой цифровой дикой местности. Ценность блокчейна далеко заходит за рамки заработка денег — это революция доверия и свободы. Охрана вашего богатства — не только базовый навык для участия в этой революции, но и отправная точка для светлого будущего.

Помните: ваш холодный кошелек может быть «холодным», но ваше осознание безопасности всегда должно быть «горячим».

Отказ от ответственности:

1. Эта статья была опубликована заново из [ Зеркало], с авторскими правами, принадлежащими оригинальному автору [Daii]. Если у вас есть какие-либо вопросы относительно повторной публикации, пожалуйста, свяжитесь сGate Learnкоманда, и они рассмотрят вопрос в соответствии с применимыми процедурами.
2. Отказ от ответственности: Взгляды и мнения, выраженные в этой статье, представляют только личные взгляды автора и не являются инвестиционными советами.
3. Другие языковые версии этой статьи были переведены командой Gate Learn. Статью нельзя копировать, распространять или плагиатировать, если не указано иное.