偽の台帳は数分で財布を使い果たすこともあります。たとえ本物に見えても。たとえシュリンクラップされていても。たとえ「無料で」手に入れたとしても。 実際に何が起きているのか、そしてなぜプレゼント企画や郵便、会議で受け取ったレジャーを絶対に使ってはいけないのかをお伝えします。

ソフトウェアエンジニアのブライアンは、自分はすべて正しいことをしていると思っていました。 彼はBTCとETHを購入しました。 冷蔵にはLedger Nano Xを使っていました。 彼は鍵をオンラインで共有したことはありません。 そしてある日、新しいレジャーが彼の家の前に届いた。 シュリンクラップで包んでる。 公式のブランドです。 「CEOからの」手紙だ。 そのメッセージには、2020年のデータ漏洩後の無料代替品であり、「セキュリティ上の理由から」即時移行を促すよう促されていました。 本物のように感じました。 それが罠だ。

ブライアンはその装置を接続した。 アプリをインストールしました。 彼の24語のリカバリーフレーズが入力された。 30分以内に、彼の冷蔵財布は空になった。 ~78,000ドルが消えた。 ハックはない。 不正利用はなし。 ただのソーシャルエンジニアリング+ハードウェア改造です。

装置の中には本当に何が入っていたのか? 台帳は物理的に改変されました。 攻撃者は隠されたフラッシュドライブを基板に直接はんだ付けしており、実質的には「Ledgerに取り付けられたUSB」のようなものでした。 接続すると、以下のマルウェアを配信しました: - レジャーライブみたいだった - シードフレーズ「migration」を促された - 鍵を即座に抽出した 外から見ると、それは本物の装置と見分けがつかなかった。 分解写真でさえ、本物の台帳と比べてどれほど説得力があるかを示していました。

なぜこれがうまく機能するのか 2020年の侵害で272,000+の実名と住所が明らかになりました かつ - 手紙はパーソナライズされていました - ブランドの正確さ - 実際の役員名が使用されました - 緊急性が本物に感じられた

ハードウェアウォレットは絶対に信用してはいけません: - 無断で郵送された - 会議で配布される - 「プレゼント企画」ブースからのものです - 事前に設定されているか、すぐにシードを要求する 「安全な無料の台帳」というものは存在しません。

ハードウェアウォレットはメーカーから直接購入してください 自分でデバイスを初期化してください もしデバイスが初期オフライン設定以外でシードを要求すれば、→侵害されています コールドストレージは、サプライチェーン全体をコントロールして初めて機能します。