Безопасность аппаратных кошельков: риски и способы минимизации

Криптоэнтузиасты считают аппаратные кошельки одним из наиболее эффективных способов защиты цифровых активов от кражи. Однако у этих устройств есть свои недостатки.

В совместном материале с Mixer.money мы рассмотрим уникальную модель безопасности двух самых популярных аппаратных кошельков — Trezor и Ledger. Также мы расскажем, как поступить в случае компрометации или атаки на устройство.

Почему сообщество полагает, что аппаратные кошельки безопасны

Trezor и Ledger — это практически флеш-накопители с специальными программами и микроконтроллерами для шифрования информации. Их принцип работы можно описать следующим образом:

  1. Пользователь задает PIN-код.
  2. Устройство формирует сид-фразу для создания приватных ключей, а затем шифрует их, используя PIN-код в качестве пароля для расшифровки.
  3. Кошелек сохраняет ключи в постоянной памяти, не подверженной воздействию энергии.
  4. Специальное программное обеспечение считывает и дешифрует данные только после ввода соответствующего кода.

Аппаратные кошельки надежно защищены от наиболее распространенных хакерских атак:

  • Процедура снятия копии информации с чипа невозможна благодаря его спецификации.
  • Защита от перебора PIN-кода: после определенного числа неудачных попыток ввода PIN-кода, кошелек автоматически удаляет все сохраненные данные.
  • Попытка модификации контроллера приводит к удалению всех хранящихся на нем данных.
  • Программное обеспечение кошелька обеспечивает шифрование потока данных к компьютеру, чтобы предотвратить возможность доступа хакера через USB-кабель и перехват информации о приватном ключе.

Несмотря на предпринятые меры, злоумышленники находят способы получить доступ к приватному ключу.

Уязвимости контроллеров Trezor

Компания SatoshiLabs, производитель кошельков Trezor, открыла исходный код устройств, чтобы белые хакеры могли помочь в обнаружении уязвимостей. В 2020 году Джо Гранд обнаружил ошибку в контроллере Trezor Model One, позволяющую восстановить доступ к устройству пользователя, забывшему PIN-код. Для этого он перезагружал кошелек и подавал на контроллер специальное напряжение, обманывая систему безопасности.

В мае 2025 года компания Unciphered, специализирующаяся на восстановлении кошельков, сообщила о взломе Trezor Model T. Их сотрудники использовали аппаратную уязвимость контроллера STM32, чтобы скопировать данные на компьютер и извлечь сид-фразу.

SatoshiLabs подтверждают, что для использования указанных уязвимостей злоумышленнику необходимо иметь физический доступ к устройству, обладать специальными знаниями и использовать дорогостоящее оборудование. Это, в определенной степени, соответствует действительности: Джо Гранду потребовалось три месяца, чтобы взломать Trezor One.

Возможные уязвимости кошельков Ledger

Производитель Ledger не публикует исходный код прошивок. Кошельки работают на операционной системе BOLOS, которая запрещает осуществлять дамп памяти даже при непосредственном подключении к чипам. За всю историю компании, основанной в 2014 году, не было подтвержденных случаев взлома кошельков Ledger.

В мае 2025 года компания представила новую услугу под названием Ledger Recover, которая предназначена для восстановления потерянных кошельков. Чтобы воспользоваться этой услугой, пользователь должен будет пройти процедуру проверки личности KYC. После этого компания разделит сид-фразу на три части, зашифрует их и отправит доверенным хранителям во Франции, Британии и США. В случае, если владелец потеряет свое устройство, он сможет подтвердить свою личность, получить зашифрованные фрагменты и восстановить доступ к своему кошельку.

Введение этой новой функции вызвало неодобрение в сообществе, так как она подразумевает, что компания Ledger сможет получить доступ к сид-фразе без согласия владельца кошелька.

Прочие уязвимости аппаратных кошельков

В 2020 году произошла утечка базы данных клиентов Ledger, а год спустя стала доступна информация о пользователях Trezor на продажу.

Хакеры использовали имена, адреса и контактные данные покупателей для отправки персонализированных фишинговых сообщений, выдаваясь за службу поддержки Ledger или Trezor.

Как защитить средства на аппаратном кошельке

Не смотря на возможные опасности, аппаратные кошельки остаются одним из наиболее безопасных решений для хранения криптовалюты.

Для уменьшения рисков кражи и потери доступа к цифровым активам необходимо следовать нескольким правилам:

  • покупайте кошельки только у официальных производителей или их представителей;
  • не используйте простые PIN-коды, такие как дата рождения, 0000 или 1234;
  • установите дополнительный пароль для сид-фразы, чтобы затруднить извлечение ключа при краже кошелька.

В случае потери устройства, восстановите доступ с помощью сид-фразы, а затем переведите криптовалюты на новые адреса.

При фишинге, переместите активы на другой кошелек с помощью биткоин-миксеров, например, Mixer.money. Таким образом, вы разорвете ончейн-связь между криптовалютой и личностью владельца монет.

Запомните: теоретически любое устройство можно взломать. Не следует хранить все деньги на одном кошельке, даже если он кажется безопасным.

Подписывайтесь на ForkLog в социальных сетях

Если вы нашли ошибку в тексте, выделите ее и нажмите CTRL+ENTER

Рассылки ForkLog: будьте в курсе событий в мире биткоина!

Почему финансовый регулятор не видит незаконные операции через «киви-кошельки»

В известной советской сказке про Мальчише-Кибальчиша враги «буржуины» нашли пятую колонну, то есть предателя, в лице Мальчиша-Плохиша, который был готов на все ради банки варенья и коробки печенья. Однако система обмена товарами осталась в прошлом, а последние двадцать лет все желающие заплатить за «все плохое» активно используют онлайн-кошельки.

Со стартом Системы Виртуальных Облигаций (СВО) «кошельки» нашли новые возможности использования: злоумышленники начали набирать подростков для осуществления саботажных акций против государственных органов власти, при этом используя популярный и проверенный метод оплаты.

Террористы поколения тиктока

Для этой цели также используются крипто-кошельки, однако они доступны не для всех и требуют более высокого уровня владения технологиями, тогда как привычные киви-кошельки доступны почти всем. Как сообщает Life.ru, объявления с «заданиями» и целью атаки, обычно являющейся военкоматом, и суммой вознаграждения размещаются в Даркнете, закрытых чатах или на «серых» форумах. После нахождения исполнителя, общение переходит в мессенджер, где обсуждается сумма гонорара. В среднем поджог военкомата, как предоставила SHOT, оценивается в несколько минимальных размеров оплаты труда (МРОТ). Чаще всего молодые люди думают, что не будут найдены, и поэтому они участвуют в подобных акциях ради «легких денег», не понимая серьезности возможных наказаний. Более того, часто сами поджигатели фиксируют свои действия на видео, чтобы предоставить отчет о выполнении задания. После отправки «видеоотчета» заказчик сохраняет медиафайлы и сразу же удаляет всю переписку по безопасности. Он также использует безымянную сим-карту и включает VPN, чтобы не быть вычисленным. Для безопасности переводы также осуществляются через систему Qiwi.

В течение мая прошлого года СМИ сообщали о нескольких случаях, которые вызвали общественное возмущение. Например, 11 мая двух 16-летних подростков задержала полиция. Эти парни 7 мая бросили коктейль Молотова в военкомат в Череповце. В ноябре того же года они были приговорены к исправительным работам. Аналогичные преступления произошли 4 мая в Нижневартовске, 9 мая в Балашихе, 13 мая в Омске, в тот же день в Ростовской области, 14 мая в Пронске (под Рязанью) и 15 мая в Волгограде. Недавно под Санкт-Петербургом был задержан 16-летний подросток, который пытался поджечь военкомат. А неделей ранее суд в Петербурге заключил под стражу аспиранта Академического университета имени Ж. И. Алферова РАН Владимира Миронова. Он разбил окно в здании местного военкомата и оставил на стене антивоенный лозунг. Явно видно, что это уже не единичные акции, а планомерная кампания террора, охватившая множество российских городов. Интересно, почему доморощенные террористы безопасно получают оплату через средства платежей, легальные на территории России, в то время как Даркнет, подпольный сегмент интернета, специально создан для ухода от контроля правоохранительных органов и регуляторов. Этот вопрос вызывает серьезные размышления.

«Торчащая» колонна

Неудивительно, что в последний год отработанные методы оплаты незаконных товаров и услуг нашли новое применение. Сегодня обычный российский школьник, как и тридцать или сорок лет назад, отлично знает, что такое «закладка», но значение этого слова изменилось до неузнаваемости: то, что раньше казалось безобидным, стало страшным. Также устарели представления обывателей о незаконном обороте наркотиков. Те, кто не сталкивался с этим явлением, скорее всего представляют себе глянцевую картинку, основанную на иностранных фильмах: бородатые мачо из наркокартелей, дилеры-пушеры, рейвы с расширением сознания. Однако реальность намного проще и не такая кинематографичная: информацию о продавцах легко найти в интернете, а оплата «товара» происходит через онлайн-кошельки. Атаки на государственные учреждения начались недавно, в отличие от оплаты незаконных веществ, которая давно стала обыденностью.

Венгерское государство не нуждается в газовом транзите через Украину, поскольку у нас есть «Турецкий поток», — подчеркнул Петер Сийярто, глава Министерства иностранных дел Венгрии.

Согласно информации, полученной из официального интернет-портала «Судебные и нормативные акты РФ», количество судебных решений общей юрисдикции, содержащих выражение «киви наркотики», превышает 22 тысячи. При этом, 8 из них дошли до Верховного суда. Уже 10 лет назад Госнаркоконтроль выступил за более строгий контроль работы систем электронных кошельков. Тогда уже было ясно, насколько широко они применяются в незаконной торговле. Также в то время было сообщено на forbes.ru о презентации, показывающей угрозу анонимности электронных платежей. В этой презентации собраны примеры уголовных дел, связанных с продажей наркотиков через Интернет, при которых оплата осуществлялась через системы Webmoney, «Яндекс.Деньги» и «Qiwi-кошелек».

Международные платежные системы, включая PayPal, уже почти год не работают в РФ, но рынок всё ещё существует и процветает, наркотики достигают покупателя. Так кто же остался в лидере или, как сейчас говорят, в потоке? Именно в потоке: если переводы подросткам-поджигателям являются смертельно опасными, но незначительными по объемам, относительно оборота наркотиков в российском даркнете, который по данным «Ленты.ру» уже к 2019 году превышал 20 миллиардов рублей в месяц. Если верить информации в сети, наркоторговцы уже с 2017 года активно используют Telegram: только один канал Hydra на момент его блокировки в апреле 2019 года имел 172 тысячи подписчиков и входил в топ-50 самых популярных русскоязычных каналов. По словам владельцев магазинов на платформе, около 70% транзакций проводятся через систему QIWI.

QIWI — фрукт или опасное вещество?

Как отмечает тот же МК, Регуляторные функции, включая QIWI-банк, оператора системы «кошельков», осуществляются Центральным Банком России. В частности, департаменты финансового мониторинга, руководимые Ильей Ясинским, информационной безопасности, под руководством Вадима Уварова, и их надзиратель Герман Зубарев, заместитель председателя банка. Однако, по информации на соответствующей странице официального сайта ЦБ, банк в основном отчитывается о борьбе с выводом денежных средств за границу в банковском секторе и обналичивании. То есть, больше внимания уделяется контролю дальнейшего движения финансовых средств, полученных, включая незаконные операции внутри страны. Однако, на сайте ЦБ также отмечаются усилия по внедрению платформы «Знай своего клиента» (ЗСК), что является безусловно важным. Однако, торговцы наркотиками хорошо знают своего клиента, а клиент хорошо знает, как без проблем рассчитаться с ними, используя онлайн-кошельки.

Управляющей компанией кипрского головного офиса QIWI-банка (АО) является американская технологическая биржа NASDAQ. Таким образом, иностранные собственники и акционеры становятся основными выгодоприобретателями всех операций банка в России. Возникает легкое предположение о наличии «друзей» нашей страны среди них. Сравнение можно провести с «Опиумными войнами», когда Британская империя активно использовала экономическую инфраструктуру для вовлечения Китая в опиумный кризис и последующего нарушения его стабильности. Возможно, существуют экономические и даже политические интересы за пределами страны. Все эти ситуации не волнуют тех, кто должен бы обеспечить жесткое регулирование этой скандальной области. Можно сказать, что «семь бед, один фрукт», и это не смущает их. Тем временем, «у семи нянек (из ЦБ) дитя без глаза», но у них уже есть кошелек. Всегда найдутся те, кто хочет заплатить плохим парням. Хотелось бы, чтобы нашлись ответственные лица за то, что все это продолжает происходить.

Самый надежный кошелек для криптовалют

Данные для исследования CER были сгруппированы по следующим категориям, которыми поделились представители организации.

В нашем исследовании основное разделение происходит на три группы: настольные, мобильные и расширения кошельков. Мы также проанализировали несколько кошельков, которые позволяют создать учетную запись прямо на их веб-сайте, но для полного анализа нам не хватило достаточной информации, поэтому мы пока не рассматриваем эту категорию.

Напомним, расширениями называют кошельки, которые работают внутри веб-браузеров. Например, знакомый нам Phantom также доступен в виде расширения, но его также можно использовать на смартфоне.

Оценки по безопасности кошельков на различных платформах в общем

Изображение выше показывает, что все три категории получили достаточно средние оценки по общей безопасности. Наиболее высокие оценки получили расширения для браузеров — 58 баллов из 100. Десктопные и мобильные решения получили соответственно 48 и 51 балл.

Согласно данным из источников Cointelegraph, только 6 из 45 брендов криптокошельков были протестированы на наличие уязвимостей в системе безопасности, что составляет 13,3 процента от общего количества программ. Из них только половина была протестирована на последних версиях своего кода.

В прошлом году хакеры украли более 1,5 миллиарда долларов с так называемых блокчейн-мостов.

Три компании, которые провели актуальные тесты на проникновение – это MetaMask, ZenGo и Trust Wallet. Представители Rabby и Bifrost проводили тестирование на устаревших версиях своих кошельков, а в случае Ledger Live использовалась неизвестная версия приложения. Все остальные участники отчета не предоставили никаких доказательств проведения подобных тестов. Аналитики также составили общий рейтинг защищенности каждого кошелька: лидерами стали MetaMask, ZenGo, Rabby, Trust Wallet и Coinbase Wallet.

ВСЁ САМОЕ ИНТЕРЕСНОЕ НАЙДЕШЬ У НАС В ЯНДЕКС.ДЗЕНЕ!

В отчете аналитиков также упомянут инцидент с взломом кошелька Atomic Wallet, произошедший в начале июня. Вот соответствующая цитата на эту тему.

В Atomic Wallet имеется множество уязвимостей, но ситуация можно было бы предотвратить. По информации, полученной от Least Authority, аудиторской компании, в 2022 году было заявлено о недостатках в программном обеспечении кошелька. Однако команда Atomic Wallet проигнорировала это и не информировала о наличии проблемы.

По частоте инцидентов в кошельках с открытым и закрытым кодом

В этом аспекте Atomic Wallet значительно отличается от своих конкурентов схожих масштабов. Аналитики отметили, что самые популярные кошельки получили наивысшие оценки в рейтинге. Как и в случае с Atomic Wallet, у них большая база пользователей и возможность проводить регулярные аудиты. Однако разработчики пострадавшего от атаки кошелька несерьезно отнеслись к пентестингу, поэтому Atomic Wallet получил низкую оценку безопасности от CER.

Важность регулярной проверки безопасности криптовалютных кошельков очевидна. Мы вспоминаем ситуацию из августа 2022 года, когда пользователи кошельков Phantom, Slope и TrustWallet в сетях Solana и Эфириума столкнулись с неожиданной потерей средств со своих счетов. Впоследствии стало известно, что виновники — разработчики Slope, чья программа передавала сид-фразы на серверы компании в незашифрованном виде неоправданно. Это позволило хакерам получить доступ к содержимому кошельков множества пользователей и без труда их обчистить.

Оценки безопасности кошелька MetaMask в разных интернет-браузерах

Хотя большинство разработчиков кошельков не проводит собственное тестирование на проникновение, CER заявила, что многие из них всё же полагаются на программное обеспечение для поиска уязвимостей, разработанное сообществом. Это стимулирует любителей криптовалют и разработчиков находить ошибки в проектах и получать за это вознаграждение.

Такая стратегия продолжает оставаться эффективной в сфере защиты от возможных хакерских атак. Как показал недавний инцидент с Curve Finance, даже самые популярные и крупные платформы не могут гарантировать безопасность.

Кажется, пользователям цифровых активов следует более осторожно выбирать программы, которые они используют. Кроме того, традиционно лучше хранить монеты в аппаратных кошельках для долгосрочного хранения. И, конечно же, не следует подключать такие устройства к смарт-контрактам, чтобы избежать возможных ошибок разработчиков.

В нашем крипточате бывших миллионеров есть еще больше интересного. Там мы обсуждаем и другие темы, которые приближают нас к новому взлету на рынке цифровых активов.

Разговоры о безопасности кошелька QIWI

Важно понимать, что мошенники чаще всего используют невнимательность или незнание пользователей. Существуют разные способы взлома QIWI-кошелька: атака через терминал с использованием фальшивых квитанций, настоящий хакерский взлом с помощью вредоносных программ и вирусов, а также другие возможности.

Какими методами пользуются мошенники

Например, вы сами можете предоставить доступ мошенникам, если доверитесь сообщению по СМС или электронной почте, отправленному с похожего на контакты службы поддержки адреса. Обычно в таком письме просят сообщить пароль и логин, предлагая это сделать для разблокировки аккаунта.

Более изощренный способ — это использование зараженных вложений с кейлоггерами. Кейлоггеры — это программы, которые записывают все нажатия клавиш и отправляют их на специальный сервер. Всегда обратите внимание на адрес отправителя письма и на вкладки, которые открываются при переходе по ссылкам. Помните, что администраторы никогда не попросят вас предоставить логин и пароль.

Например, если вы используете простой пароль, его легко подобрать даже без использования посторонних программ. Следуйте указаниям системы и создавайте сложные пароли, содержащие буквы и цифры, тем более что сейчас существуют программы, которые помогут вам сгенерировать и хранить такие пароли.

Будьте внимательны при использовании мобильного клиента. Хотя он защищен паролем, это не означает, что он полностью безопасен, так как каждый год мошенники придумывают новые ухищрения.

Наиболее распространенным вариантом, когда вы сами переводите деньги, можно считать так называемые магические кошельки — отправили 50 рублей и получили 100, но когда вы вложили серьезные деньги в третий или четвертый раз, возврата уже не будет.

Экзотическим вариантом можно считать метод, когда владелец кошелька звонит на номер, через который была проведена регистрация, затем звонит оператору и восстанавливает номер, получая доступ к чужому профилю.

Список использования взломанных кошельков довольно обширен: вывод средств, нелегальный перевод заработанных денег и другие действия, которые являются противозаконными.

Кто контролирует порядок

Работа службы безопасности отличается от функций общей технической поддержки системы. Она специализируется на вопросах, связанных с паролями, возвратами средств и другими ситуациями, указанными в отдельном разделе обращения. Чтобы обратиться в службу безопасности, необходимо перейти в раздел «Помощь» на любой странице онлайн-кошелька.

Эта служба также поможет вам заблокировать QIWI-кошелек мошенника. После перехода на страницу помощи, выберите службу безопасности и указывайте все подробности произошедшего.

Как заблокировать QIWI кошелек мошенника

QIWI кошельки обладают многоуровневой системой безопасности, которая практически полностью исключает несанкционированный доступ к счету третьим лицам. Однако, даже такая система может иметь уязвимости, которыми пользуются мошенники…

Методы мошенников, позволяющие взломать Киви-кошельки

QIWI, чтобы обеспечить сохранность счетов своих клиентов, использует сложную систему безопасности, практически непреодолимую. Взлом Киви кошелька является очень сложной задачей. Но иногда все же возникают ситуации…

Служба безопасности Qiwi кошелька

Сегодня системы электронных платежей становятся все более популярными. С помощью виртуального счета можно оплачивать товары и услуги, пополнять счета телефонов, переводить деньги…

Что делать, если пароль Qiwi Wallet просрочен

В настоящее время практически каждый знает о платежной системе Qiwi. Она является одной из самых популярных служб, позволяющих оплачивать товары, пополнять счета, переводить деньги…

Стоит ли указывать в QIWI серию и номер паспорта

Для завершения первоначальной регистрации в системе пользователь должен указать только номер своего личного мобильного телефона. Оператор связи должен быть зарегистрирован в стране, где проживает пользователь постоянно. Не требуется предоставлять дополнительную информацию.

Как хакеры взламывают Киви-кошельки: применяемые методы

Благодаря развитию электронных технологий, мошенники постоянно находят новые способы для осуществления своих махинаций. Если вы узнаете, как взломать Киви-кошелек, вы сможете эффективно защититься от их действий. Распространенные мифы…

Что означает верификация QIWI кошелька

Современные электронные платежные сервисы предлагают широкий выбор возможностей. В силу требований безопасности личных денежных средств, клиенты всегда обращают внимание на удобство использования платежных сервисов…

Взлом Киви кошелька сейчас почти невозможен. В большинстве случаев виновниками несанкционированного доступа являются сами владельцы кошельков, которые игнорируют требования безопасности. Поэтому наиболее уязвимым местом в системе платежей…

Как заблокировать мошеннический QIWI кошелек

Возможности использования интернета постоянно расширяются. Для некоторых людей это дает возможность развития и доступа к информационным ресурсам, а для других — общение и…

Зачем нужна идентификация QIWI кошелька

С начала этого года Правительством России были установлены ограничения на количество переводов и сумму денежных средств. Такие меры были приняты для борьбы с мошенничеством и легализацией доходов…

Ваши деньги всегда под надежной защитой

Статистика прошлого года говорит сама за себя.

  • Поддержка 437 миллионов пользователей
  • Остановлено 437 миллионов кибератак
  • Блокировано 106 миллионов уникальных вредоносных ссылок
  • Защищено от 106 миллионов уникальных вредоносных ссылок
  • Нейтрализовано 112 миллионов уникальных вредоносных объектов
  • Обезврежено 112 миллионов уникальных вредоносных объектов

Надежность в цифровом мире

У нас есть решение для всех – для тех, кто ищет базовую защиту и для тех, кто желает обеспечить полную безопасность своей семьи

Kaspersky Plus – лучше, чем Internet Security

Kaspersky Standard – лучше, чем Antivirus

  • Поддержка операционных систем: Windows, macOS, Android, iOS, Linux

Антивирусная защита в режиме реального времени

БЕСПЛАТНЫЙ ПОДАРОК — Kaspersky Safe Kids НА 1 ГОД

Качество Kaspersky Premium лучше, чем Total Security

Пользуйтесь Kaspersky Standard вместо Antivirus

  • Windows®
  • macOS®
  • Android™
  • iOS®
  • Linux®

Эффективная антивирусная защита в режиме реального времени

Утилита определения номера звонящего

Сохранение цифровой идентичности

Удаление вирусов, производимое специалистами

Качество Kaspersky Premium лучше, чем Total Security

Kaspersky Plus производит лучшую защиту, чем Internet Security

  • Windows®
  • macOS®
  • Android™
  • iOS®
  • Linux®

Антивирусная защита в режиме реального времени

Утилита определения номера звонящего

Сохранение цифровой идентичности

Возможности экспертов по обнаружению и удалению вирусов

30-дневная гарантия возврата средств

Почему стоит выбрать продукты от «Лаборатории Касперского»?

Полная защита от всех угроз

Все программные продукты от Kaspersky оснащены передовыми технологиями искусственного интеллекта, которые способны обнаружить и нейтрализовать любую, даже неизвестную ранее онлайн-угрозу. Каждый раз при подключении к интернету они:

Безопасность для вашего Mac

Наши защитные решения нового поколения для macOS и iOS гарантируют вашу безопасность и спокойствие.

Советуем прочитать:  Руководство по ЛК ФСС
Понравилась статья? Поделиться с друзьями:
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

Adblock
detector