Фальшивий Ledger може виснажити весь ваш гаманець за лічені хвилини. Навіть якщо це виглядає справжнім. Навіть якщо це термоусадочна плівка. Навіть якщо ви отримали це «безкоштовно». Ось що насправді відбувається і чому ніколи не слід використовувати Ledger, отриманий через розіграші, пошту чи конференції.

Інженер-програміст на ім'я Браян вважав, що робить усе правильно. Він купив BTC і ETH. Він використовував Ledger Nano X для холодного зберігання. Він ніколи не ділився своїми ключами онлайн. А потім одного дня до його дверей прийшов новий Ledger. Загорнутий у термоусадку. Офіційний брендинг. Лист «від генерального директора». У повідомленні йшлося, що це безкоштовна заміна після витоку даних у 2020 році, і закликали його негайно перейти «з міркувань безпеки». Це здавалося справжнім. Ось у чому пастка.

Браян підключив пристрій. Встановив додаток. Ввів його фразу з 24 слів для відновлення. За 30 хвилин його холодний гаманець був спорожнений. ~$78,000 зникло. Жодного хаку. Жодних експлойтів. Просто соціальна інженерія + втручання в апаратне забезпечення.

Що насправді було всередині пристрою? Ledger був фізично модифікований. Зловмисники припаяли прихований флеш-накопичувач безпосередньо до плати, фактично «USB, прив'язаний до Ledger». При підключенні він доставляв шкідливе ПЗ, яке: - Виглядало як Ledger Live - Запит на початкову фразу «migration» - Миттєво витягнув ключі Зовні це було невідрізнимо від справжнього пристрою. Навіть знімки з розбору показали, наскільки це переконливо порівняно з автентичним Ledger.

Чому це так добре працює Злом 2020 року виявив 272 000+ справжніх імен і адрес Крім того, - Листи були персоналізовані - Брендинг був точним - Використовувалися справжні імена керівників - Терміновість здавалася реальною

Ніколи не довіряйте апаратному гаманцю, яке: - Надсилається тобі без прохання - Вручається на конференціях - Походить зі стенду «розіграшу» - Чи попередньо налаштований або одразу запитує ваш сід Не існує такого поняття, як «безпечний безкоштовний реєстр».

Купуйте апаратні гаманці безпосередньо у виробника Ініціалізуйте пристрій самостійно Якщо пристрій коли-небудь запитає ваш seed поза початковим офлайн-налаштуванням, → він буде скомпрометований. Холодне зберігання працює лише тоді, коли ви контролюєте весь ланцюг постачання.