Wszyscy myślą, że ich zimny portfel oznacza bezpieczeństwo. Offline, nietknięty, nietykalny. Ale jedno „zastępcze” urządzenie udowodniło coś przeciwnego. Wyglądało idealnie i wyssało wszystko.🧵👇

Spędziłem niezliczone godziny na badaniach. Jeśli uznałeś to za wartościowe, polub, RT i zostaw komentarz - to wiele znaczy. I nie zapomnij śledzić @DefiTokyo, aby uzyskać więcej.

1. Idealna konfiguracja, która i tak zawiodła Brian był typem użytkownika kryptowalut, który robił wszystko dobrze. Portfel offline - sprawdzone. Fraza seed na papierze - sprawdzone. Nic nie pozostawione przypadkowi. A jednak wszystko zniknęło z powodu jednej małej rzeczy, którą przeoczył.

2. Pudełko, które zmieniło wszystko Dotarło w 2021 roku, idealnie zapieczętowane i owinięte folią. W środku był list, który wyglądał jakby pochodził bezpośrednio z wsparcia Ledger. Mówili, że to darmowa wymiana po naruszeniu danych. Wyglądało to oficjalnie. Czuło się bezpiecznie. I dokładnie dlatego mu zaufał.

3. Fałszywy Ledger Urządzenie było klonem z identyczną obudową, przyciskami i opakowaniem. Ale w środku ukryty był cichy implant USB czekający na atak. Po podłączeniu zainstalował złośliwe oprogramowanie w kilka sekund. Nawet interfejs aplikacji wyglądał na prawdziwy. Wszystko działało, aż przestało.

4. Błąd za 78 000 dolarów Aplikacja poprosiła Briana o „migrację” jego portfela za pomocą frazy seed. Wpisał ją raz, myśląc, że to normalna konfiguracja. Trzydzieści minut później wszystkie monety zniknęły. BTC, ETH, wszystko - wymazane w ciągu godziny. Brak powiadomień. Brak drugiej szansy.

5. Jak go znaleźli To nie było przypadkowe, dokładnie wiedzieli, kogo zaatakować. W 2020 roku baza danych klientów Ledger wyciekła do sieci. Nazwiska, e-maile, adresy domowe - wszystko. Oszuści wykorzystali te informacje, aby wysłać fałszywe zamienniki. Nazwisko Briana było jednym z tysięcy.

6. Prawdziwy atak nie był cyfrowy Nie chodziło o łamanie kodu, chodziło o łamanie zaufania. Użyli prawdziwych danych, prawdziwego pakowania i fałszywej autorytetu. To była inżynieria społeczna w najlepszym wydaniu. Nawet doświadczeni użytkownicy mogą dać się nabrać na to, co wydaje się oficjalne.

7. Ledger nie był problemem Sprzęt działał tak, jak powinien - użytkownik nie. Nikt nie powinien nigdy wpisywać frazy seed gdziekolwiek indziej, jak tylko na urządzeniu. Ledger Live może zweryfikować autentyczność urządzenia w kilka sekund. Jeśli faktycznie przeprowadzisz sprawdzenie.

8. 30-sekundowy krok, który mógł go uratować Ledger Live ma Genuine Check, który potwierdza, że urządzenie jest prawdziwe. Jest kryptograficznie weryfikowany i niemożliwy do podrobienia. Zajmuje mniej niż pół minuty. Brian to pominął - i stracił wszystko.

9. Nie jest jedynym Tysiące dały się nabrać na ten sam trik. Fałszywe portfele sprzedawane na eBayu, klony w sklepach wyglądających na oficjalne. Nawet podrabiane Trezory przechodziły kontrole oprogramowania. Zimne przechowywanie jest bezpieczne tylko wtedy, gdy traktujesz je jak broń.

10. Jak pozostać bezpiecznym Nigdy nie wpisuj swojego klucza poza urządzeniem. Nigdy nie ufaj dostawie, której nie zamawiałeś. Nigdy nie reaguj na pilność - oszuści żyją z paniki. Zimno nie oznacza niewrażliwości. Największy hack w kryptowalutach zawsze dotyczy człowieka.