Un Ledger fals îți poate goli tot portofelul în câteva minute. Chiar dacă pare real. Chiar dacă e ambalată în plastic termocontractabil. Chiar dacă ai primit-o "gratis". Iată ce se întâmplă de fapt și de ce nu ar trebui să folosești niciodată un Ledger primit prin giveaway-uri, poștă sau conferințe.

Un inginer software pe nume Brian credea că face totul corect. A cumpărat BTC și ETH. A folosit un Ledger Nano X pentru depozitare la rece. Nu și-a împărtășit niciodată cheile online. Apoi, într-o zi, un nou Ledger a apărut la ușa lui. Împachetat în folie. Branding oficial. O scrisoare "de la CEO." Mesajul spunea că este o înlocuire gratuită după breșa de date din 2020 și îl îndemna să migreze imediat "din motive de securitate". Părea autentic. Asta e capcana.

Brian a conectat dispozitivul. Am instalat aplicația. A introdus fraza lui de recuperare de 24 de cuvinte. În 30 de minute, portofelul său rece s-a golit. ~78.000 de dolari pierduți. Niciun truc. Niciun exploit. Doar inginerie socială + manipulare hardware.

Ce era cu adevărat în interiorul dispozitivului? Registrul a fost modificat fizic. Atacatorii lipiseră un stick USB ascuns direct pe placă, practic "un USB atașat de Ledger". Când era conectat, livra malware care: - Părea Ledger Live - Solicitat expresia sămânță "migrare" - A exfiltrat instantaneu cheile Din exterior, era indistinct de un dispozitiv real. Chiar și fotografiile de demontare arătau cât de convingătoare era comparativ cu un Ledger autentic.

De ce funcționează atât de bine Breșa din 2020 a scos la iveală 272.000+ nume și adrese reale În plus - Scrisorile erau personalizate - Brandingul era corect - Au fost folosite nume reale de executiv - Urgența părea reală

Nu avea niciodată încredere într-un portofel hardware care: - Îți este trimis prin poartă nesolicitată - Este acordat la conferințe - Provine de la un stand "giveaway" - Este preconfigurată sau cere sămânța ta imediat Nu există așa ceva ca un "Ledger sigur și liber".

Cumpără portofelele hardware direct de la producător Inițializează dispozitivul tu însuți Dacă un dispozitiv îți cere vreodată seed-ul în afara configurării offline inițiale → este compromis Depozitarea la rece funcționează doar dacă controlezi întregul lanț de aprovizionare.