Comprar Cripto
Pagar com
USD
USD
Comprar e vender
HOT
Compre e venda criptomoedas através da Apple Pay, cartões, Google Pay, transferências bancárias e muito mais
P2P
0 Fees
Taxas zero, mais de 400 opções de pagamento e compra e venda fácil de criptomoedas
Cartão Gate
Cartão de pagamento de criptomoedas, que permite transações globais sem falhas.
Mercados
Negociar
Básico
Avançado
Futuros
Futuros
Centenas de contratos liquidados em USDT ou BTC
Opções
HOT
Negoceie Opções Vanilla ao estilo europeu
Conta Unificada
Maximize a eficiência do seu capital
Arranque dos futuros
Prepare-se para a sua negociação de futuros
Eventos de futuros
Participe em eventos para ganhar recompensas generosas
Negociação de demonstração
Utilize fundos virtuais para experimentar uma negociação sem riscos
Earn
Lançamento
CandyDrop
tag
Recolher doces para ganhar airdrops
Launchpool
Faça staking rapidamente, ganhe potenciais novos tokens
HODLer Airdrop
Detenha GT e obtenha airdrops maciços de graça
Launchpad
tag
Chegue cedo ao próximo grande projeto de tokens
Pontos Alpha
NEW
Negoceie ativos on-chain e desfrute de recompensas de airdrop!
Pontos de futuros
NEW
Ganhe pontos de futuros e receba recompensas de airdrop
Investimento
Comunidade
Square
Gate Fun
Partilhe a sua publicação e mantenha-se informado sobre as criptomoedas e não só
Em direto
moments live
Análise de mercado cripto em tempo real
Conversar
Converse com os operadores cripto
Notícias
O que está a acontecer na criptografia
Mais
Promoções
Guia para iniciantes
giveaways
Centro de Recompensas
Square
Últimas
Quente
Notícias
Perfil
SatoshiFollowervip

Na semana passada, um investigador de segurança revelou um caso alarmante: numa atualização de carteira em 24 de dezembro, foi inserido um backdoor que levou à exposição de dados de privacidade dos utilizadores (incluindo a frase-semente), resultando em perdas superiores a 2 milhões de dólares.



Este incidente pareceu inicialmente novo, mas, ao pensar bem, reflete um problema antigo das carteiras de uma geração — os utilizadores não têm controlo real sobre os limites de segurança.

**Qual é o verdadeiro risco das carteiras plugin**

Muitas pessoas, ao discutir este tipo de incidente, tendem a culpar os utilizadores: "Será que importaram a frase-semente? Foi um erro de clique?" Mas, do ponto de vista do design do produto, o problema não está aí. O risco principal está no próprio mecanismo de atualização automática.

As carteiras plugin têm uma realidade inescapável:

Cada atualização automática é, na prática, uma autorização total para os seus ativos.

Contanto que o código na atualização seja comprometido — seja por um problema interno ou, mais frequentemente, por um ataque à cadeia de fornecimento (injeção no processo CI/CD, ambiente de build, canais de distribuição invadidos) — uma lógica maliciosa pode ser executada sem que o utilizador perceba. E o utilizador nem sequer consegue detectar.

Mais preocupante ainda: esse risco não se limita ao cenário de carteiras quentes. Mesmo que utilize apenas um plugin para conectar uma carteira de hardware, o risco permanece. Porque o plugin controla:

- O conteúdo das transações que vê
- Os endereços de receção que confirma
- Todas as informações exibidas antes e depois de assinar

A carteira de hardware garante que a "chave privada nunca sai do chip", mas não garante que a transação que assina seja a que pensa estar a assinar. Se o plugin tiver intenções maliciosas, pode fazer com que assine uma coisa, enquanto na blockchain executa outra.

**Por que isto se tornou um problema sistémico**

A raiz do problema está na centralização do controlo de atualizações. Depois de instalar um plugin, o utilizador entrega toda a segurança ao equipa de desenvolvimento. Essa equipa pode ser confiável, mas qualquer falha na infraestrutura, no processo de publicação ou nos computadores dos funcionários pode levar a uma perda massiva de ativos.

E o utilizador fica completamente passivo — não consegue ver o que foi atualizado nem recusar uma versão específica.

Por isso, toda a comunidade Web3 começou a reavaliar o design da arquitetura das carteiras. Alguns projetos estão a explorar mecanismos de atualização baseados em separação de chaves, verificáveis pelo utilizador, ou até arquiteturas com prioridade local — com o objetivo de dar ao utilizador controlo real sobre a segurança dos seus ativos, em vez de confiar cegamente.
Ver original
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
  • Recompensa
  • 5
  • Republicar
  • Partilhar
Comentar
0/400
DAOdreamervip
· 5h atrás
Agora realmente não há onde fugir, a atualização automática é uma porta dos fundos aberta para hackers
Ver originalResponder0
down_only_larryvip
· 5h atrás
Porra... atualizar automaticamente é como entregar a chave, essa lógica é realmente absurda Sério, agora qualquer coisa que use tenho que ficar com o coração na mão, se a cadeia de suprimentos for comprometida, acabou Espera aí, mesmo com carteira de hardware e plugin ainda dá para ser enganado na assinatura? Então eu comprei à toa Por que ainda tem tanta gente usando esse lixo centralizado... é um absurdo Não consegue proteger seus próprios ativos, isso não é basicamente apostar na integridade da equipe de desenvolvimento?
Ver originalResponder0
LiquidatedThricevip
· 5h atrás
200 milhões de dólares assim simplesmente desaparecidos, é de loucos. A atualização automática é uma bomba-relógio, temos mesmo que estar atentos.
Ver originalResponder0
fomo_fightervip
· 5h atrás
200万刀就这么没了,plugin钱包真的是 um temporizador bomba --- Por isso ainda é melhor fazer a autogestão, não confie em atualizações automáticas --- Mais uma vez, ataque à cadeia de suprimentos... Quando é que a segurança Web3 será realmente resolvida? --- Carteira de hardware também não te salva haha, se o plugin fizer alguma besteira, você está ferrado --- É culpa da permissão centralizada, os usuários nem podem recusar a atualização --- É por isso que meu irmão, eu só uso o esquema Air Gap --- Carteira fria, amigo, não fique com essas coisas falsas --- Parece que só quando esses arquiteturas de prioridade local realmente forem implementadas é que as coisas vão melhorar
Ver originalResponder0
IntrovertMetaversevip
· 5h atrás
200万没了,后悔也晚了,这就是为什么我还是偏爱硬件钱包 插件钱包真的是个定时炸弹,谁敢100%信任那些开发团队啊 自动更新本质就是把命运交给别人,怎么想都膈应 这次事件后感觉得自己管理私钥才踏实,再也不碰这种自动更新的东西 说实话,这帮钱包团队早就该把权力交给用户了,现在还在玩中心化那套,迟早要坑人
Responder0

  • Fixar

Mapa do site
Negocie cripto em qualquer lugar e a qualquer hora
qrCode
Digitalizar para transferir a aplicação Gate
Novidades
Português (Portugal)
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • Bahasa Indonesia
  • 日本語
  • بالعربية
  • Українська
  • Português (Brasil)
    • Sobre nósCarreirasSala de imprensaPatrocinador da Oracle Red Bull RacingParceiro oficial de manga do FC InterContrato de utilizadorAviso de riscoPolítica de privacidadePolítica de cookiesKit de mediaComprovativo de ReservasLicençaSegurançaGateToken (GT)GUSDGate ChainEventos GateAutoridadesCimeirasGate Ventures
    P2PConversão e negociação em blocosNegociação à vistaNegociação de futurosAçõesAlphaMargemTokens alavancadosNFTGate PayGate LifeCartão de ofertaGate OTCGate CharityLoja GateWeb3Gate Perp DEXGate Vault
    Benefícios VIPInstitucionalFeedback do utilizadorAnúncioTarifasCentral de AjudaEnviar um pedidoSolicitação de listagemContrato inteligente seguroDesenvolvedoresVerificação de PesquisaAplicação de Mercador P2PPrograma de afiliadosCalendário CriptoSolução cross-chain da
    Gate LearnCursos de CriptomoedasGlossário de CriptomoedasPreços de criptomoedasGrandes DadosDivisão ao Meio do BitcoinAtualização do Ethereum (ETH)Wiki de criptomoedasCalculadora de cripto