Un faux Ledger peut vider votre portefeuille entier en quelques minutes. Même s'il a l'air réel. Même s'il est sous film plastique. Même si vous l'avez eu "gratuitement." Voici ce qui se passe réellement et pourquoi vous ne devriez jamais utiliser un Ledger reçu via des cadeaux, par courrier ou lors de conférences.

Un ingénieur logiciel nommé Brian pensait qu'il faisait tout correctement. Il a acheté du BTC et de l'ETH. Il a utilisé un Ledger Nano X pour le stockage à froid. Il n'a jamais partagé ses clés en ligne. Puis un jour, un nouveau Ledger est arrivé à sa porte. Emballé sous film plastique. Marquage officiel. Une lettre "du PDG." Le message disait que c'était un remplacement gratuit après la violation de données de 2020 et l'exhortait à migrer immédiatement "pour des raisons de sécurité." Cela semblait légitime. C'est le piège.

Brian a branché l'appareil. A installé l'application. A saisi sa phrase de récupération de 24 mots. En 30 minutes, son portefeuille froid a été vidé. ~78 000 $ envolés. Pas de piratage. Pas d'exploitation. Juste de l'ingénierie sociale + de la manipulation matérielle.

Que contenait vraiment l'appareil ? Le Ledger a été physiquement modifié. Les attaquants avaient soudé une clé USB cachée directement sur la carte, essentiellement "une USB attachée au Ledger". Lorsqu'elle était connectée, elle livrait un malware qui : - Semblait être Ledger Live - Demandait la "migration" de la phrase de récupération - Exfiltrait les clés instantanément De l'extérieur, il était indistinguable d'un véritable appareil. Même les photos de démontage montraient à quel point il était convaincant par rapport à un Ledger authentique.

Pourquoi cela fonctionne si bien La violation de 2020 a exposé plus de 272 000 noms et adresses réels De plus - Les lettres étaient personnalisées - Le branding était précis - Des noms d'exécutifs réels ont été utilisés - L'urgence semblait réelle

Ne faites jamais confiance à un portefeuille matériel qui : - Vous est envoyé sans demande - Est distribué lors de conférences - Vient d'un stand de « giveaway » - Est préconfiguré ou demande immédiatement votre seed Il n'existe pas de « Ledger gratuit et sûr ».

Achetez des portefeuilles matériels directement auprès du fabricant Initialisez le dispositif vous-même Si un dispositif demande jamais votre graine en dehors de la configuration initiale hors ligne → il est compromis Le stockage à froid ne fonctionne que si vous contrôlez l'ensemble de la chaîne d'approvisionnement.