Web3 安全入门避坑指南：假钱包与私钥助记词泄露风险

Web3 安全入门避坑指南：假钱包与私钥助记词泄露风险

引用

腾讯

1.

https://new.qq.com/rain/a/20240520A05QXI00

在Web3世界中，钱包不仅是数字资产的存储工具，更是用户进行交易和访问DApp的必要工具。随着加密货币和区块链技术的普及，黑产也盯上了Web3用户的钱包安全。本文将探讨假钱包的风险和私钥助记词泄露问题，并提供一系列的安全建议，帮助用户保障资金安全。

为什么会出现假钱包？

由于很多手机不支持Google Play Store，或者因为网络问题，很多人会从其他途径下载钱包，比如第三方下载站如apkcombo、apkpure等。这些站点往往标榜自己的App是从Google Play Store镜像下载的，但其真实安全性如何呢？慢雾安全团队曾对Web3假钱包第三方源进行过调查分析，结果显示第三方下载站apkcombo提供的钱包版本实际上并不存在。一旦用户在开始界面创建钱包或导入钱包助记词，假钱包就会将助记词等信息发送到钓鱼网站的服务端。

假钱包的主要来源

• 搜索引擎：搜索引擎的结果排名是可以买到的，这也就导致出现过假官网排名还比真官网靠前的情况，因此不建议用户直接通过搜索引擎搜索钱包，然后点击排名靠前的链接来下载钱包，这样很有可能会进到一个假官网，然后下载到一个假钱包。用户在不清楚官网网址是什么的情况下，仅凭网站的展示页面很难判断出这是不是个假网站，因为骗子制作出的假网站与真官方网站极为相似，可以以假乱真，因此，也不建议用户在推特或其他平台上点击其他用户分享的链接，这种多为钓鱼链接。

• 亲友/杀猪盘：区块链黑暗森林里要保持零信任，你的亲友或许并没有要害你的想法，但是他们下载到钱包可能是假的，只是暂时还没有被盗，所以如果你通过他们分享的二维码/链接下载钱包，那么也有可能下载到假钱包。

• Telegram：在Telegram上，通过搜索知名钱包，我们发现了一些虚假官方建立的群组，骗子会自称该群是某钱包的官方频道，甚至在群内提醒广大用户认准唯一官方官网链接，然而这些链接都是假的。

• 应用商城：需要特别提醒的是，官方应用商城里的应用不一定安全，一些不法分子通过购买关键词排名引流等方式诱导用户下载欺诈App，请广大读者注意甄别。

如何避免下载到假钱包？

• 官网下载：找真官网的能力不仅在下载钱包时会用到，用户后续参与Web3项目时也会用到，所以我们在这里讲下如何找到正确的官网。用户或许会直接在推特上搜索项目方，然后根据关注人数、注册时间、有没有蓝标或金标来判断这是不是官方号，然而这些都是可以造假的，此前我们就在真假项目方 | 警惕评论区高仿号钓鱼这篇文章里给大家讲过出售高仿号的黑灰产。因此，建议新入门的小白先在推特上关注一些行业内的安全公司、安全从业者、知名媒体等，看看他们有没有关注你找到的官方号。

• 应用商城：用户可以通过官方应用商城如Apple Store，Google Play Store等下载钱包，但是在下载前，一定要先查看应用开发者信息，确保其与官方公布的开发者身份一致，还可以参考应用评分、下载量等信息。

• 官方版本校验：用户可以做文件一致性校验，这个操作是通过比较文件的哈希值来确定文件是否在传输或存储过程中发生了更改。用户只需要将之前下载到的apk文件拖入文件哈希验证工具中，这个工具就会使用哈希函数（如MD5、SHA-256等）生成文件的哈希值，如果这个值与官方给出的哈希值匹配，则是真钱包；如果不匹配，则是假钱包。

如何应对硬件钱包供应链攻击？

• 官方渠道购买：这是解决供应链攻击最有效的办法。不要从非官方渠道购买硬件钱包，如线上商城，代购，网友等。

• 检查外观：拿到钱包后先检查外包装是否有被破坏过的痕迹，这是最基本的，虽然黑客大概率不会在这一步就暴露。

• 官网真机验证：部分硬件钱包提供官网真机验证服务，用户初始化钱包时，设备会提示用户进行官网真机验证。如果运输过程中设备被篡改，将无法通过官网真机验证。

• 拆机自毁机制：可以选择购买带拆机自毁机制的硬件钱包，当有人试图打开硬件钱包并篡改内部组件时，会触发自毁机制，安全芯片内的敏感信息将全部自动擦除，设备也将无法继续使用。

如何避免私钥/助记词泄露？

• 保密不当：用户可能会把私钥/助记词告诉亲友，让他们帮忙保存，结果资金被亲友盗走。

• 网络存储或传输私钥/助记词：一些用户尽管知道私钥/助记词不应该被告诉给别人，但他们会通过微信收藏、拍照、截屏、云端存储、备忘录等方式来保存私钥/助记词。一旦这些平台账号被黑客收集并成功攻破，私钥/助记词很容易被盗取。

• 复制粘贴私钥/助记词：许多剪贴板工具和输入法会将用户的剪贴板记录上传到云端，使得私钥/助记词暴露在不安全的环境中。而且，木马软件也可以在用户复制私钥/助记词时盗取剪贴板中的信息，因此，不建议用户复制粘贴私钥/助记词，这个看似没有什么问题的行为实际上存在很大的泄露风险。

避免私钥/助记词泄露的建议

• 不要将私钥/助记词告诉任何人，包括亲友。

• 尽量选择物理介质保存私钥/助记词，避免黑客通过网络攻击等手段获取私钥/助记词。例如，将私钥/助记词抄写到质量好的纸上（还可以塑封）或者使用助记词密盒来保存。

• 设置多重签名、分散存储私钥/助记词等方式也可以提升私钥/助记词的安全性。关于如何备份私钥/助记词，大家可以阅读慢雾出品的《区块链黑暗森林自救手册》。

总结

本文主要讲解了下载/购买钱包时的风险，找到真官网和验证钱包真伪的方法，以及私钥/助记词的泄露风险。希望本期内容可以帮助大家走稳进入黑暗森林的第一步，下期我们将讲解使用钱包时的风险，如被钓鱼、签名、授权风险，欢迎追更。（Ps. 本文提到的品牌及图片，仅作辅助读者理解之用，不构成推荐与担保）