Ostatni boom na rynku kryptowalut spowodował wzrost zapotrzebowania na portfele sprzętowe. Do tego stopnia, że na dostawę trzeba czekać nawet miesiącami. Nic więc dziwnego, że część osób decyduje się na zakup od nieoficjalnego dystrybutora. Na świeżaków czekają jednak pułapki.
Zaczęło się niepozornie. Użytkownik moodyrocket kupił portfel Ledger Nano S na Ebay'u. Wybrał sprzedawcę, który wydał mu się zaufany: konto założone 5 lat temu, wiele sprzedanych przedmiotów, prawie 99% pozytywnych opinii. Nie było powodów do obaw, więc Ledger trafił do nowego właściciela, a ten przelał na niego swoje monety. Wszystko wydawało w porządku.
Jednak pewnego dnia Moody dokonał szokującego odkrycia - jego portfel został wyczyszczony. Wszystkie środki o łącznej wartości 25 000£ zostały przelane bez jego interakcji na nieznany mu adres. Jak to się stało? Czyżby kupił podróbkę? A może zostało do niego wgrane nieoficjalne firmware? Nic z tych rzeczy.
Sprzedawca, którego konto Ebay prawdopodobnie zostało odsprzedane, posłużył się socjotechniką i podmienił zawartość pudełka. Normalnie wraz z urządzeniem otrzymujemy specjalną kartę do zapisania seeda, który zostanie wygenerowany przy pierwszym uruchomieniu.
Karta Moody'ego wyglądała inaczej. Miała postać „zdrapki”, na której znajdował się wcześniej wygenerowany seed. Jak się okazało, urządzenie zostało skonfigurowane przez sprzedającego, a podmieniona instrukcja dla uśpienia czujności tłumaczyła, jak zmienić PIN (który normalnie również ustala się podczas pierwszego uruchomienia). Wszystko wyglądało bardzo profesjonalnie i gdybym nie wiedział, jak działają portfele sprzętowe, niewykluczone, że również dałbym się nabrać.
Ledger zaoferował pomoc prawną poszkodowanemu klientowi, lecz jeśli oszust zadbał o swoją anonimowość, szanse na odzyskanie pieniędzy są nikłe. Po raz kolejny sprawdziło się porzekadło, że najsłabszym ogniwem systemów bezpieczeństwa jest człowiek.
Pamiętajcie, że Ledger ma oficjalnych dystrybutorów, których listę znajdziecie pod adresem www.ledgerwallet.com/retailers. Natomiast dla Trezora: www.trezor.io/resellers. Jeśli jednak zdecydujecie się zamówić od kogoś innego i spotka was to samo, co bohatera tej historii, to wystarczy, że przywrócicie urządzenie do ustawień fabrycznych i ponownie skonfigurujecie portfel.