ลองนึกภาพว่าคุณเป็นผู้ถือที่มีความอดทนซึ่งสามารถต้านทานตลาดหมีที่ยาวนานและในที่สุดก็ถอน BTC ที่คุณหามาอย่างยากลำบากจาก CEX ไปยังกระเป๋าเงินฮาร์ดแวร์ที่คุณเพิ่งซื้อมาใหม่ โดยรู้สึกสบายใจว่าสินทรัพย์ของคุณอยู่ในมือของคุณอย่างแน่นอน

สองชั่วโมงต่อมาคุณเปิดแอปและกระเป๋าสตางค์ของคุณก็ว่างเปล่า

นี่ไม่ใช่สมมติฐาน แต่เป็นเหตุการณ์จริงที่เพิ่งเกิดขึ้น: นักลงทุนรายหนึ่งซื้อกระเป๋าเงินฮาร์ดแวร์บน JD.com และฝากเงิน 4.35 BTC เข้าไป เขาไม่รู้เลยว่าอุปกรณ์ดังกล่าวถูกตั้งค่าเริ่มต้นไว้ล่วงหน้าโดยเหล่ามิจฉาชีพ ทำให้เกิดระบบช่วยจำและแทรกคำแนะนำปลอมๆ เพื่อนำทางผู้ใช้ไปยังแอปพลิเคชันมือถือตามขั้นตอนที่วางไว้

กล่าวอีกนัยหนึ่ง ทันทีที่ผู้ใช้เปิดใช้งานกระเป๋าเงินของตน กระเป๋าเงินนั้นก็จะเป็นของแฮกเกอร์ทันที

น่าเสียดายที่นี่ไม่ใช่กรณีโดดเดี่ยว เมื่อไม่นานมานี้มีหลายกรณีที่ผู้คนถูกฉ้อโกงหรือแม้กระทั่งสูญเสียทรัพย์สินหลังจากซื้อกระเป๋าสตางค์ฮาร์ดแวร์บนแพลตฟอร์มอีคอมเมิร์ซอย่าง Douyin, JD.com และ Amazon หากเราวิเคราะห์เหตุการณ์ด้านความปลอดภัยที่คล้ายคลึงกันเมื่อเร็วๆ นี้อย่างละเอียด เราจะพบว่า "ห่วงโซ่การล่า" ที่ดำเนินการอย่างครอบคลุมเกี่ยวกับการขายกระเป๋าสตางค์ฮาร์ดแวร์กำลังก่อตัวขึ้นอย่างเงียบๆ

1. โซ่สีเทา "มือสอง" ที่ล่าเสี่ยวไป๋

กระเป๋าสตางค์ฮาร์ดแวร์คืออุปกรณ์ที่สร้างคีย์ส่วนตัวใน "สภาพแวดล้อมแบบออฟไลน์โดยสมบูรณ์" ในทางทฤษฎี ตราบใดที่วลีช่วยจำได้รับการสำรองข้อมูลอย่างถูกต้อง ระดับความปลอดภัยสำหรับการใช้งานประจำวันก็แทบจะสูงสุด นี่เป็นคำศัพท์ทางวิทยาศาสตร์ยอดนิยมที่ผู้เล่น Web 3 ส่วนใหญ่ต้องพบเจออยู่เป็นประจำทุกวัน

อย่างไรก็ตาม ความเสี่ยงที่แท้จริงมักจะไม่ได้อยู่ที่ตัวอุปกรณ์โดยตรง แต่เป็นกระบวนการซื้อและเปิดใช้งาน

ภายใต้การประชาสัมพันธ์ระยะยาว นักลงทุนจำนวนมากสร้างสูตรทางความคิดง่ายๆ ขึ้นมาได้อย่างง่ายดาย: "กระเป๋าเงินฮาร์ดแวร์ = ความปลอดภัยสูงสุด" คำแนะนำทางจิตวิทยานี้ทำให้หลายคนละเลยข้อกำหนดเบื้องต้นสำคัญหลายประการหลังจากได้อุปกรณ์มา:

บรรจุภัณฑ์อุปกรณ์สมบูรณ์หรือไม่? ซีลผิดปกติหรือไม่? ต้องสร้างวลีช่วยจำเองหรือไม่? ข้อมูลการเปิดใช้งานได้รับการยืนยันว่าเป็น "การใช้งานครั้งแรก" หรือ ไม่? ส่งผลให้ผู้ใช้จำนวนมากรอไม่ไหวที่จะโอนทรัพย์สินทันทีที่ได้รับอุปกรณ์ฮาร์ดแวร์วอลเล็ต ซึ่งทำให้มิจฉาชีพมีโอกาสฉวยโอกาสโดยไม่รู้ตัว

ไม่ว่าจะเป็นเหตุการณ์ก่อนหน้านี้ที่ TikTok ซื้อกระเป๋าสตางค์ฮาร์ดแวร์และขโมยสินทรัพย์ crypto มูลค่า 50 ล้านเหรียญ หรือเหตุการณ์ล่าสุดที่ JD.com ซื้อฮาร์ดแวร์ imKey และทำให้ BTC ถูกเคลียร์ โดยไม่มีข้อยกเว้น ปัญหาทั้งหมดเกิดขึ้นในกระบวนการซื้อและเปิดใช้งาน

การขายกระเป๋าสตางค์ฮาร์ดแวร์บนแพลตฟอร์มอีคอมเมิร์ซในประเทศได้สร้างเครือข่ายอุตสาหกรรมสีเทาที่เติบโตเต็มที่แล้ว

ในทางทฤษฎี จีนได้รักษาจุดยืนกดดันคริปโทเคอร์เรนซีมาโดยตลอด ตั้งแต่ปี 2014 เป็นต้นมา แพลตฟอร์มอีคอมเมิร์ซได้สั่งห้ามการขายคริปโทเคอร์เรนซีโดยตรง ต่อมาในวันที่ 4 กันยายน 2017 ธนาคารประชาชนจีนและกระทรวงอื่นๆ อีก 7 กระทรวงได้ร่วมกันออก "ประกาศเกี่ยวกับการป้องกันความเสี่ยงจากการออกและจัดหาโทเคน" ซึ่งกำหนดอย่างชัดเจนว่าแพลตฟอร์มในประเทศจะต้องไม่ให้บริการซื้อขาย แลกเปลี่ยน กำหนดราคา เป็นตัวกลาง และบริการอื่นๆ ที่เกี่ยวข้องกับคริปโทเคอร์เรนซี

จากความหมายตามตัวอักษร "บริการตัวกลางและบริการอื่นๆ" นั้นกว้างพอแล้ว กระเป๋าสตางค์ฮาร์ดแวร์ ซึ่งเป็นเครื่องมือสำหรับจัดเก็บคีย์ส่วนตัว ในทางทฤษฎีแล้วอยู่ในพื้นที่สีเทาที่ห้ามจำหน่าย ดังนั้น แพลตฟอร์มอย่าง Taobao, JD.com และ Pinduoduo จึงไม่รองรับการค้นหาคีย์เวิร์ดที่ "เกี่ยวข้องกับสกุลเงิน" ใดๆ

แต่ความเป็นจริงมันแตกต่างออกไปอย่างสิ้นเชิง

ณ วันที่ 29 กรกฎาคม ผู้เขียนได้ทำการค้นหาคำหลักโดยตรงบนแพลตฟอร์ม Taobao, JD.com, Pinduoduo และ Douyin สำหรับผลิตภัณฑ์กระเป๋าสตางค์ฮาร์ดแวร์ 5 รายการ ได้แก่ Ledger, Trezor, SafePal, OneKey และ imKey (imToken) และพบว่าช่องทางการซื้อและการขายค่อนข้างราบรื่น

แพลตฟอร์ม Douyin มีข้อเสนอที่ครอบคลุมที่สุด โดยมี Ledger, Trezor, SafePal, OneKey และ imKey จำหน่ายในร้านค้า

อันดับสองคือ JD.com ซึ่งสามารถหาซื้อกระเป๋าสตางค์ฮาร์ดแวร์ได้ โดยค้นหา Ledger, Trezor, SafePal และ OneKey ร้านค้าที่เกี่ยวข้องกับ imKey ควรจะถูกลบออกจากชั้นวางเนื่องจากเหตุการณ์ด้านความปลอดภัย

Taobao ค่อนข้างเข้มงวด และพบร้านค้าที่ขาย imKey เพียงร้านเดียวเท่านั้น Xiaohongshu ไม่มีบริการค้นหาร้านค้าโดยตรง แต่สามารถค้นหาโพสต์ของตัวแทนขายและตัวแทนจัดซื้อมือสองได้ทั่วไป

ไม่ต้องสงสัยเลยว่า ร้านค้าข้างต้นส่วนใหญ่เป็นเพียงร้านค้าปลีกขนาดเล็กจากช่องทางที่ไม่เป็นทางการ ยกเว้นตัวแทนจำหน่ายจำนวนเล็กน้อย พวกเขาไม่ได้รับอนุญาตจากแบรนด์ให้เข้าไป และไม่สามารถรับประกันความปลอดภัยของกระบวนการหมุนเวียนอุปกรณ์ได้

หากมองอย่างเป็นกลาง ระบบตัวแทน/จัดจำหน่ายกระเป๋าสตางค์ฮาร์ดแวร์มีอยู่ทั่วโลก รวมถึงแบรนด์อย่าง SafePal, OneKey และ imKey ซึ่งได้รับความนิยมมากกว่าในภูมิภาคที่ใช้ภาษาจีน ระบบการขายของทั้งสองแบรนด์ก็คล้ายคลึงกัน:

• การซื้อโดยตรงอย่างเป็นทางการ: คุณสามารถสั่งซื้อผลิตภัณฑ์กระเป๋าสตางค์ฮาร์ดแวร์รุ่นต่างๆ ได้จากเว็บไซต์อย่างเป็นทางการ
• ช่องทางอีคอมเมิร์ซ: ในประเทศจีน มักจับคู่กับร้านค้า WeChat เช่น Youzan ในขณะที่ต่างประเทศ จะใช้แพลตฟอร์มอย่างเป็นทางการ เช่น Amazon
• ตัวแทนจำหน่ายประจำภูมิภาค: ตัวแทนจำหน่ายที่ได้รับอนุญาตในหลายประเทศ/ภูมิภาคจะมอบช่องทางการซื้อสินค้าเฉพาะพื้นที่ให้แก่ผู้ใช้ และสามารถตรวจสอบความถูกต้องได้บนเว็บไซต์อย่างเป็นทางการ ตัวอย่างเช่น SafePal มีหน้าสอบถามตัวแทนจำหน่ายทั่วโลกบนเว็บไซต์อย่างเป็นทางการ

อย่างไรก็ตาม ในระบบนิเวศอีคอมเมิร์ซในประเทศ ผู้ใช้ส่วนใหญ่ยังคงซื้อสินค้าผ่านช่องทางที่ไม่เป็นทางการซึ่งไม่สามารถตรวจสอบและติดตามได้ ซึ่งถือเป็นแหล่งเพาะพันธุ์ตามธรรมชาติของ "กับดักวลีจำที่ตั้งไว้ล่วงหน้า" ของตลาดสีเทา

อุปกรณ์เหล่านี้หลายชิ้นอาจเป็น "อุปกรณ์มือสอง/มือสาม" หรือแม้กระทั่ง "อุปกรณ์ปลอม" จึงไม่อาจตัดความเป็นไปได้ที่อุปกรณ์บางชิ้นจะถูกแกะซีล ตั้งค่าเริ่มต้น และตั้งค่าล่วงหน้าด้วยตัวช่วยจำระหว่างกระบวนการขายต่อ เมื่อผู้ใช้เปิดใช้งานอุปกรณ์ ทรัพย์สินจะเข้ากระเป๋าเงินของมิจฉาชีพโดยตรง

ดังนั้น ปัญหาที่สำคัญที่สุดก็คือ นอกเหนือจากด้านการขาย แล้ว ผู้ใช้สามารถตรวจสอบตนเองและป้องกันความเสี่ยงบนอุปกรณ์ฮาร์ดแวร์ที่ซื้อเพื่อให้แน่ใจว่าความเสี่ยงที่เกี่ยวข้องทั้งหมดจะถูกกำจัดหรือไม่

2. ช่องโหว่ด้านผู้ใช้และกลไก "การยืนยันตนเอง"

พูดอย่างตรงไปตรงมาก็คือ เหตุผลที่กระเป๋าเงินฮาร์ดแวร์ประเภทนี้ประสบความสำเร็จอย่างมากนั้น ไม่ใช่เพราะมีข้อบกพร่องทางเทคนิคในตัวอุปกรณ์เอง แต่เนื่องจากกระบวนการหมุนเวียนและการใช้งานทั้งหมดเผยให้เห็นช่องโหว่ที่สามารถใช้ประโยชน์ได้หลายจุด

จากมุมมองของอีคอมเมิร์ซในประเทศและเครือข่ายตัวแทนจำหน่าย ความเสี่ยงหลักจะกระจุกตัวอยู่ในสองด้าน:

• อุปกรณ์มือสองหรืออุปกรณ์ที่หมุนเวียนหลายมือ: ตลาดมืดจะเปิดผนึกและเริ่มต้นใช้งานอุปกรณ์มือสองหรืออุปกรณ์ที่หมุนเวียนอยู่ และตั้งค่าตัวช่วยจำหรือบัญชีไว้ล่วงหน้า เมื่อผู้ใช้ใช้งานอุปกรณ์โดยตรง สินทรัพย์จะถูกนำเข้าไปยังกระเป๋าเงินของมิจฉาชีพ
• อุปกรณ์ปลอมแปลงหรืออุปกรณ์ที่ถูกดัดแปลง: อุปกรณ์ปลอมอาจไหลเข้าสู่ช่องทางที่ไม่เป็นทางการ หรืออาจมีช่องโหว่ในตัว หลังจากที่ผู้ใช้โอนสินทรัพย์เข้าไปในอุปกรณ์ดังกล่าวแล้ว พวกเขาอาจเสี่ยงต่อการถูกขโมยยอดคงเหลือทั้งหมด

สำหรับผู้ใช้ Degen ที่คุ้นเคยกับกระเป๋าสตางค์ฮาร์ดแวร์อยู่แล้ว กับดักเหล่านี้แทบจะไม่เป็นอันตราย เพราะจะทำการตรวจสอบความปลอดภัยโดยอัตโนมัติในระหว่างขั้นตอนการซื้อ การเริ่มต้นใช้งาน และการเชื่อมต่อ อย่างไรก็ตาม สำหรับผู้ใช้กระเป๋าสตางค์ฮาร์ดแวร์มือใหม่ที่เพิ่งซื้อเป็นครั้งแรกหรือยังไม่มีประสบการณ์ โอกาสที่จะถูกหลอกนั้นสูงขึ้นอย่างมาก

ในเหตุการณ์ด้านความปลอดภัยล่าสุดนี้ มิจฉาชีพได้สร้างวอลเล็ตขึ้นมาล่วงหน้า แล้วติดตั้งคู่มือปลอมไว้ล่วงหน้า จากนั้นจึงสั่งให้ผู้ซื้อแกะกล่องผลิตภัณฑ์ เปิดใช้งานและใช้ imKey มือสองด้วยกระบวนการปลอม ส่งผลให้ทรัพย์สินถูกโอนไปโดยตรง จากการสื่อสารระหว่างผู้เขียนกับผู้ปฏิบัติงานที่เกี่ยวข้อง เราพบว่าเมื่อเร็วๆ นี้มีกรณีการแกะกล่องผลิตภัณฑ์และขายพร้อมคู่มือปลอมเพิ่มมากขึ้นเรื่อยๆ

ท้ายที่สุดแล้ว ผู้ใช้มือใหม่หลายคนมักมองข้ามความสมบูรณ์ของผลิตภัณฑ์ (เช่น บรรจุภัณฑ์ถูกเปิดออกแล้วหรือไม่ สติกเกอร์ป้องกันการปลอมแปลงเสียหายหรือไม่) ลืมเปรียบเทียบรายการสินค้าในบรรจุภัณฑ์ และไม่ทราบว่าสามารถยืนยัน "อุปกรณ์ใหม่/เก่า" ได้ในแอปพลิเคชันอย่างเป็นทางการ หากตรวจสอบข้อมูลนี้อย่างถูกต้อง ก็สามารถตรวจจับจุดบกพร่องส่วนใหญ่ได้ทันที

อาจกล่าวได้ว่า การออกแบบผลิตภัณฑ์กระเป๋าสตางค์ฮาร์ดแวร์สามารถครอบคลุมและสนับสนุนให้ผู้ใช้ทำการตรวจสอบตนเองได้อย่างเต็มที่หรือไม่ ถือเป็นประตูที่สำคัญที่สุดในการทำลายเครือข่ายการโจมตีตลาดสีเทา

หากใช้กระเป๋าเงินฮาร์ดแวร์ X1 ที่ใช้พลังงาน Bluetooth ของ SafePal เป็นตัวอย่าง เส้นทางการตรวจสอบตนเองบนฝั่งผู้ใช้จะค่อนข้างสมบูรณ์:

• คำเตือนการผูกครั้งแรก: เมื่อเปิดใช้งานกระเป๋าเงินฮาร์ดแวร์และผูกแอป คุณจะได้รับคำเตือนว่า "อุปกรณ์ได้รับการเปิดใช้งานแล้ว มันถูกควบคุมโดยฉันหรือเปล่า"
• การแสดงข้อมูลการเปิดใช้งานในประวัติ: มีรายงานว่าอินเทอร์เฟซ SafePal จะแสดงเวลาของการเปิดใช้งานอุปกรณ์ครั้งแรกและว่าเป็นการเชื่อมต่อครั้งแรกของโทรศัพท์หรือไม่ ช่วยให้ผู้ใช้ระบุได้ทันทีว่าอุปกรณ์นี้เป็นเครื่องใหม่หรือได้รับการเริ่มต้นโดยผู้อื่น

นอกจากนี้ จากประสบการณ์การใช้งานจริงของฉัน ไม่ว่าจะเป็น SafePal S 1 และ S 1 Pro ที่ใช้กลไกการโต้ตอบด้วยรหัส QR หรือ SafePal X 1 ที่ใช้ Bluetooth สำหรับการโต้ตอบข้อมูล ทั้งสองรุ่นนี้ ช่วยให้ผู้ใช้สามารถดูรหัส SN และประวัติเวลาเปิดใช้งานของฮาร์ดแวร์วอลเล็ตที่เกี่ยวข้องได้ตลอดเวลาหลังจากผูกกับแอป SafePal (ตามที่แสดงในภาพด้านล่าง) เพื่อยืนยันแหล่งที่มาและสถานะการใช้งานของอุปกรณ์เพิ่มเติม

เนื่องจากกระเป๋าสตางค์ฮาร์ดแวร์ของ SafePal จะเขียน SN ลงในอุปกรณ์แต่ละเครื่องเมื่อออกจากโรงงาน และข้อมูลลายนิ้วมือฮาร์ดแวร์ของอุปกรณ์ฮาร์ดแวร์นี้จะถูกผูกไว้กับ SN นี้และบันทึกไว้ในพื้นหลังของ SafePal เพื่อยืนยันแหล่งที่มาและสถานะการใช้งานของอุปกรณ์ต่อไป

นั่นหมายความว่าเมื่อผู้ใช้ใช้งานกระเป๋าเงินฮาร์ดแวร์นี้เป็นครั้งแรก พวกเขาจะต้องเปิดใช้งานก่อนจึงจะสามารถสร้างกระเป๋าเงินได้ ระหว่างการเปิดใช้งาน แอปพลิเคชันมือถือจะส่ง SN และลายนิ้วมือของกระเป๋าเงินฮาร์ดแวร์ที่เชื่อมต่อกลับไปยังระบบหลังบ้านของ SafePal เพื่อตรวจสอบความถูกต้อง เมื่อข้อมูลตรงกัน ผู้ใช้จึงจะได้รับแจ้งว่าสามารถใช้งานกระเป๋าเงินฮาร์ดแวร์ต่อไปได้ และจะมีการบันทึกเวลาการเปิดใช้งานไว้

เมื่ออุปกรณ์เคลื่อนที่อื่นๆ เชื่อมโยงกับกระเป๋าสตางค์ฮาร์ดแวร์นี้อีกครั้ง ผู้ใช้จะได้รับแจ้งว่าฮาร์ดแวร์ได้รับการเปิดใช้งานแล้วและไม่ได้ใช้งานเป็นครั้งแรก และผู้ใช้จะถูกขอให้ยืนยันอีกครั้ง

ด้วยขั้นตอนการตรวจยืนยันเหล่านี้ ผู้ใช้แทบจะระบุกับดักมือสองหรืออุปกรณ์ปลอมได้ตั้งแต่ครั้งแรกที่สัมผัสกับอุปกรณ์ดังกล่าว จึงตัดขั้นตอนแรกของห่วงโซ่การโจมตีทั่วไปของตลาดสีเทาได้

สำหรับผู้ใช้กระเป๋าสตางค์ฮาร์ดแวร์ครั้งแรก กลไกการตรวจสอบแบบภาพและติดตามได้ของ SafePal นั้นเข้าใจและใช้งานได้ง่ายกว่าคำแนะนำง่ายๆ หรือคำเตือนแบบข้อความ และสอดคล้องกับความต้องการป้องกันการฉ้อโกงที่แท้จริงมากกว่า

3. คู่มือความปลอดภัย "กระบวนการเต็มรูปแบบ" ของกระเป๋าสตางค์ฮาร์ดแวร์

โดยทั่วไปแล้ว สำหรับผู้ใช้ที่ยังใหม่ต่อกระเป๋าเงินฮาร์ดแวร์ ไม่ได้หมายความว่าสินทรัพย์ของพวกเขาจะปลอดภัยตราบใดที่พวกเขาซื้อกระเป๋าเงินฮาร์ดแวร์

ในทางกลับกัน ความปลอดภัยของกระเป๋าสตางค์ฮาร์ดแวร์ไม่ได้เกิดขึ้นจากการซื้อเพียงครั้งเดียว แต่เป็นแนวป้องกันที่สร้างขึ้นโดยตระหนักถึงความปลอดภัยในสามขั้นตอน คือ การซื้อ การเปิดใช้งาน และการใช้งาน การละเลยขั้นตอนใดๆ ก็ตามอาจกลายเป็นโอกาสของผู้โจมตีได้

1. การซื้อ: ใช้ช่องทางที่เป็นทางการเท่านั้น

ห่วงโซ่ความปลอดภัยของกระเป๋าสตางค์ฮาร์ดแวร์เริ่มต้นด้วยการเลือกช่องทางการซื้อ ดังนั้นขอแนะนำให้ทุกคนไปที่เว็บไซต์อย่างเป็นทางการโดยตรงเพื่อซื้อ

เมื่อคุณเลือกที่จะวางคำสั่งซื้อบนแพลตฟอร์มอีคอมเมิร์ซ/ห้องถ่ายทอดสด หรือซื้อจากแพลตฟอร์มมือสอง เช่น ผ่านลิงก์ที่ไม่เป็นทางการ เช่น Taobao, JD.com และ Douyin นั่นหมายถึงการเผชิญกับความเสี่ยงที่สูงมาก ไม่มีแบรนด์กระเป๋าสตางค์เย็นรายใดที่จะขายสินค้าผ่านการถ่ายทอดสดของ Douyin หรือลิงก์ Kuaishou ช่องทางเหล่านี้แทบทั้งหมดเป็นสนามรบหลักของอุตสาหกรรมสีเทา

ขั้นตอนแรกหลังจากได้รับสินค้าคือการตรวจสอบบรรจุภัณฑ์และฉลากป้องกันการปลอมแปลง หากบรรจุภัณฑ์ถูกเปิดออก สติกเกอร์ป้องกันการปลอมแปลงชำรุด หรือบรรจุภัณฑ์ด้านในผิดปกติ ควรตรวจสอบทันที ควรตรวจสอบรายการบรรจุภัณฑ์ทีละรายการตามรายการที่เผยแพร่บนเว็บไซต์อย่างเป็นทางการ เพื่อลดความเสี่ยงที่อาจเกิดขึ้นได้อย่างรวดเร็ว

ยิ่งคุณทำขั้นตอนนี้อย่างระมัดระวังมากเท่าใด ค่าใช้จ่ายด้านความปลอดภัยที่ตามมาก็จะยิ่งลดลง

2. การเปิดใช้งาน: การไม่เริ่มต้นก็เหมือนกับการ "แจกเงิน"

การเปิดใช้งานถือเป็นหัวใจสำคัญของการรักษาความปลอดภัยของกระเป๋าสตางค์ฮาร์ดแวร์ และยังเป็นขั้นตอนที่อุตสาหกรรมสีเทามีแนวโน้มที่จะวางกับดักมากที่สุด

กลยุทธ์ที่พบบ่อยคือการที่อุตสาหกรรมสีเทาจะเปิดอุปกรณ์ล่วงหน้า สร้างกระเป๋าเงินและเขียนข้อความช่วยจำ จากนั้นใส่คู่มือการใช้งานปลอมเข้าไปเพื่อแนะนำผู้ใช้ให้ใช้กระเป๋าเงินสำเร็จรูปนี้โดยตรง และท้ายที่สุดจะยึดทรัพย์สินที่โอนไปทั้งหมดในภายหลัง เช่นเดียวกับกรณีการฉ้อโกง imKey ของ JD.com ที่เกิดขึ้นเมื่อเร็วๆ นี้

ดังนั้น หลักการแรกของกระบวนการเปิดใช้งานคือการเริ่มต้นและสร้างตัวช่วยจำใหม่ ในระหว่างกระบวนการนี้ ผลิตภัณฑ์ที่สามารถตรวจสอบสถานะอุปกรณ์ด้วยตนเองและยืนยันการเปิดใช้งานย้อนหลังได้จะช่วยลดความเสี่ยงจากการเปิดเผยข้อมูลผู้ใช้แบบพาสซีฟได้อย่างมาก ตัวอย่างเช่น SafePal ที่กล่าวถึงข้างต้นจะแจ้งเตือนว่าอุปกรณ์เคยถูกเปิดใช้งานมาก่อนหรือไม่ในระหว่างการเชื่อมต่อครั้งแรก และแสดงประวัติการเปิดใช้งานและข้อมูลการเชื่อมต่อย้อนหลัง ช่วยให้ผู้ใช้สามารถระบุอุปกรณ์ที่ผิดปกติได้ตั้งแต่ครั้งแรก จึงตัดวงจรการโจมตีได้

3. การใช้งาน: การปกป้องการช่วยจำและการแยกทางกายภาพ

หลังจากเข้าสู่การใช้งานรายวันแล้ว ความปลอดภัยหลักของกระเป๋าสตางค์ฮาร์ดแวร์คือการจัดการวลีช่วยจำและการแยกทางกายภาพ

วลีช่วยจำต้องบันทึกด้วยมือ ห้ามถ่ายภาพหรือบันทึกภาพหน้าจอ และห้ามจัดเก็บผ่าน WeChat อีเมล หรือระบบจัดเก็บข้อมูลบนคลาวด์ เนื่องจากพฤติกรรมการจัดเก็บข้อมูลออนไลน์ใดๆ ก็ตามเปรียบเสมือนการเปิดเผยพื้นผิวการโจมตี

เมื่อลงนามหรือทำธุรกรรม ควรใช้การเชื่อมต่อ Bluetooth หรือ USB เป็นระยะเวลาสั้นๆ และตามความต้องการ โดยให้ความสำคัญกับการสแกนรหัส QR เพื่อลงนามหรือส่งข้อมูลออฟไลน์ เพื่อหลีกเลี่ยงการสัมผัสทางกายภาพระหว่างอุปกรณ์กับสภาพแวดล้อมเครือข่ายในระยะยาว

กล่าวได้ว่าความปลอดภัยของกระเป๋าสตางค์ฮาร์ดแวร์นั้นไม่เคย "ไร้ที่ติ" เมื่อซื้อ แต่เป็นแนวป้องกันที่ผู้ใช้สร้างขึ้นใน 3 ขั้นตอนหลัก ได้แก่ การซื้อ การเปิดใช้งาน และการใช้งาน:

• กำจัดช่องทางการขายมือสองและช่องทางที่ไม่เป็นทางการในระหว่างกระบวนการจัดซื้อ
• ขั้นตอนการเปิดใช้งานจะเริ่มต้นและตรวจสอบสถานะอุปกรณ์โดยอัตโนมัติ
• ควรจำวลีช่วยจำไว้ในใจขณะใช้งานและหลีกเลี่ยงการใช้ทางออนไลน์ในระยะยาว

จากมุมมองนี้ ผู้ผลิตกระเป๋าสตางค์ฮาร์ดแวร์จึงจำเป็นต้องนำเสนอการออกแบบกลไกแบบ "ครบวงจร" ที่สามารถตรวจสอบได้ให้กับผู้ใช้ เช่น SafePal ซึ่งจะแสดงข้อความแจ้งเตือนการเปิดใช้งานครั้งแรก วันที่เปิดใช้งาน และข้อมูลการผูกมัด ด้วยวิธีนี้เท่านั้นที่จะทำให้ห่วงโซ่การล่าที่ตลาดมืดพึ่งพาเพื่อความอยู่รอดนั้นไร้ประสิทธิภาพอย่างแท้จริง

ความคิดสุดท้าย

กระเป๋าสตางค์ฮาร์ดแวร์เป็นเครื่องมือที่ดี แต่ไม่ใช่เครื่องรางที่ช่วยให้คุณอุ่นใจได้

ในขณะเดียวกัน ผู้ผลิตกระเป๋าสตางค์ฮาร์ดแวร์รายใหญ่จำเป็นต้องตระหนักถึงการเปลี่ยนแปลงในสภาพแวดล้อมของตลาดอย่างทันท่วงที โดยเฉพาะอย่างยิ่งการกำหนดเป้าหมายไปที่ "กลุ่มผู้ล่า" ที่ผู้ใช้มือใหม่มักพบเจอ และสร้างกลไกการตรวจสอบที่ใช้งานง่ายและใช้งานง่ายยิ่งขึ้นในการออกแบบผลิตภัณฑ์และกระบวนการใช้งาน เพื่อให้ผู้ใช้ทุกคนสามารถตัดสินความถูกต้องและสถานะของความปลอดภัยของอุปกรณ์ในมือได้อย่างง่ายดาย

ในทางกลับกัน ผู้ใช้เองก็จำเป็นต้องพัฒนานิสัยด้านความปลอดภัยที่ดีด้วยเช่น กัน ตั้งแต่การซื้ออย่างเป็นทางการ การเริ่มต้นใช้งาน ไปจนถึงการจัดการระบบช่วยจำในแต่ละวัน ทุกขั้นตอนต้องไม่ละเลย และต้องสร้างความรู้สึกปลอดภัยตลอดวงจรการใช้งานทั้งหมด

เฉพาะเมื่อกลไกการตรวจสอบกระเป๋าสตางค์สร้างวงจรปิดที่มีการตระหนักถึงความปลอดภัยของผู้ใช้เท่านั้น กระเป๋าสตางค์ฮาร์ดแวร์จึงจะก้าวเข้าใกล้เป้าหมายของ "ความปลอดภัยโดยแท้จริง" อีกหนึ่งขั้นได้