Поддельный Ledger может опустошить ваш кошелек за считанные минуты. Даже если он выглядит настоящим. Даже если он запечатан в пленку. Даже если вы получили его "бесплатно." Вот что на самом деле происходит и почему вам никогда не следует использовать Ledger, полученный через розыгрыши, по почте или на конференциях.

Инженер-программист по имени Брайан думал, что делает всё правильно. Он купил BTC и ETH. Он использовал Ledger Nano X для холодного хранения. Он никогда не делился своими ключами в интернете. Но однажды к нему на порог пришел новый Ledger. Упакованный в пленку. С официальным брендингом. Письмо "от CEO." В сообщении говорилось, что это бесплатная замена после утечки данных 2020 года и настоятельно рекомендовалось немедленно мигрировать "по соображениям безопасности." Это казалось легитимным. Вот и ловушка.

Брайан подключил устройство. Установил приложение. Ввел свою 24-словную фразу для восстановления. В течение 30 минут его холодный кошелек был опустошен. ~78 000 долларов пропало. Никакого взлома. Никакой эксплуатации. Просто социальная инженерия + вмешательство в аппаратное обеспечение.

Что на самом деле было внутри устройства? Ledger был физически модифицирован. Злоумышленники припаивали скрытый флеш-накопитель прямо к плате, по сути, "USB, прикрепленный к Ledger". При подключении он доставлял вредоносное ПО, которое: - Выглядело как Ledger Live - Запрашивало "миграцию" сид-фразы - Мгновенно экстрагировало ключи Снаружи его было невозможно отличить от настоящего устройства. Даже фотографии разбора показывали, насколько он был убедителен по сравнению с подлинным Ledger.

Почему это работает так хорошо Утечка 2020 года раскрыла более 272,000 реальных имен и адресов Кроме того - Письма были персонализированы - Брендинг был точным - Использовались реальные имена руководителей - Срочность казалась реальной

Никогда не доверяйте аппаратному кошельку, который: - Отправлен вам без запроса - Раздается на конференциях - Приходит с «раздачи» - Предварительно настроен или сразу же запрашивает вашу сид-фразу Не существует такого понятия, как «безопасный бесплатный Ledger».

Покупайте аппаратные кошельки напрямую у производителя Инициализируйте устройство самостоятельно Если устройство когда-либо запрашивает вашу сид-фразу вне начальной оффлайн настройки → оно скомпрометировано Холодное хранение работает только в том случае, если вы контролируете всю цепочку поставок.