Последнее время я заметил, что многие обсуждают в сообществе вопросы безопасности аппаратных кошельков, и только тогда осознал, что случаи краж холодных кошельков встречаются гораздо чаще, чем я думал. Многие новички тратят большие деньги на аппаратные кошельки, полагая, что это обеспечит им полную безопасность, но в итоге становятся целями мошенников.

Говорить об этом довольно иронично: сама логика конструкции аппаратных кошельков безупречна — оффлайн-хранение приватных ключей, защищённые чипы безопасности, — это признанные в отрасли меры защиты. Но проблема кроется в цепочке поставок. Мошенники вовсе не тратят усилия на взлом аппаратного уровня — они начинают с канала покупки.

Недавно я столкнулся с одним особенно запоминающимся случаем. Кто-то купил аппаратный кошелек на сторонней торговой платформе, открыл упаковку, запустил его по инструкции с «начальным PIN-кодом», сделал резервную копию «мнемонической фразы», и затем перевёл крупную сумму. Но вскоре его деньги были выведены. Всё выглядело нормально, но на самом деле инструкция оказалась поддельной, а адрес кошелька уже контролировался злоумышленниками. Основная схема кражи холодных кошельков — использование неопытных пользователей, которые не понимают процесса, с помощью поддельных инструкций, а затем продажа через неофициальные каналы.

Аналогичные риски очень распространены и в китайоязычном пространстве. Известный производитель imkey уже публично предупреждал, что обнаружил продажу неофициальными магазинами уже активированных аппаратных кошельков, при этом инструкции подделывают, чтобы заманить пользователей переводить деньги. Это показывает, насколько важно уметь отличать официальные каналы, не менее важно, чем распознавать официальные сайты.

Есть ещё более абсурдные случаи. Один пользователь Ledger внезапно получил посылку, которую он не заказывал, внутри — совершенно новый Ledger X и письмо. В письме говорилось, что компания подверглась атаке, произошла утечка данных, и поэтому прислали новое устройство. Но позже CEO Ledger ясно заявил, что компания не занимается подобными компенсациями. Открыв устройство, он обнаружил явные следы вмешательства в пластиковую коробку. Это классическая схема мошенничества с модификацией аппаратных кошельков.

Команда безопасности Касперского также сообщала о подобных случаях: кто-то купил поддельный Trezor Model T через неофициальные каналы, внутри прошивка уже была заменена, и злоумышленники получили доступ к криптоактивам пользователя. Казалось бы, нормальный аппаратный кошелек — а на деле это инструмент мошенников.

Итак, риск кражи холодных кошельков зачастую не связан с техническими уязвимостями, а обусловлен человеческими ошибками и операционными уязвимостями. Как этого избежать? На самом деле очень просто:

Первое — покупайте только через официальные каналы. Любой аппаратный кошелек, приобретённый неофициально, не может быть гарантированно безопасным.

Второе — убедитесь, что устройство находится в неактивированном состоянии. Официальные устройства продаются полностью новыми и не активированными. Если после включения обнаружите, что оно уже активировано, есть «начальный пароль» или «стандартный адрес», немедленно прекратите использование и сообщите об этом официальным представителям.

Третье — все операции должны выполняться самостоятельно. Настройка PIN-кода, создание связки, генерация адресов, резервное копирование мнемонической фразы — всё должно делаться лично вами. Любое вмешательство третьих лиц — это фактически передача приватных ключей.

Правильный сценарий таков: купленный аппаратный кошелек — полностью новый и не активированный, при первом использовании вы сами запускаете устройство, создаёте кошелек, делаете резервную копию мнемонической фразы и настраиваете PIN-код. Следуя этому алгоритму, риск кражи холодного кошелька значительно снижается.

В конечном итоге, преимущества аппаратных кошельков по безопасности действительно существуют, но при условии правильного использования. В этом мире, полном мошенничества, аккуратность — залог вашей защиты.