Ончейн-дослідник ЗахXBT розкритикував апаратні гаманці, назвавши їх «повним сміттям», і заявив, що Ledger — найгірший серед великих постачальників, після крадіжки 10 січня, коли жертва втратила понад $282 мільйона в біткоїні та лайткоїні в соціально-інженерній афері. Атака включала приблизно 2,05 мільйона LTC і 1 459 BTC: зловмисник конвертував викрадені кошти в Monero через миттєві обміни та використав Thorchain, щоб перемістити біткоїн між мережами, повідомляють Wu Blockchain і The Defiant. Заява ЗахXBT кидає виклик поширеній рекомендації з безпеки криптовалют — використовувати апаратні гаманці: він стверджує, що ці пристрої не захищають користувачів від збоїв операційної безпеки, фішингових атак, витоків у ланцюжку постачання або соціально-інженерних тактик.
ЗахXBT висвітлив крадіжку 10 січня після того, як The Defiant повідомив, що користувач апаратного гаманця втратив понад $282 мільйона у вартості Bitcoin і Litecoin. За даними, атака включала приблизно 2,05 мільйона LTC і 1 459 BTC. Повідомляється, що зловмисник конвертував викрадені кошти в Monero через миттєві обміни та використав Thorchain, щоб перемістити біткоїн між мережами. Коментарі ЗахXBT, які Wu Blockchain опублікував і перешарив у X, з’явилися після того, як він вивчив деталі крадіжки. Описана атака була названа аферою із соціальною інженерією, а не криптографічним зламом апаратного пристрою.
У січні Bit2Me повідомив, що ЗахXBT попереджав про пов’язане з Ledger розкриття даних за участі Global-e — зовнішнього платіжного процесора, який використовується в процесі продажів Ledger. Витік розкрив персональні дані, зокрема імена, електронні адреси, номери телефонів та фізичні адреси. У повідомленні зазначалося, що приватні ключі користувачів і кошти напряму скомпрометовані не були. Ledger роками перебуває під пильною увагою через фішингові кампанії, підроблені пристрої, фейкові застосунки Ledger Live та функцію Ledger Recover. Компанія неодноразово заявляла, що її пристрої призначені для збереження приватних ключів у безпеці.
Критика ЗахXBT зосереджується на прогалинах операційної безпеки, а не на криптографії пристрою. Апаратні гаманці позиціонують як безпечніші за програмні гаманці, бо зберігають seed-фрази та виконують підписання транзакцій ізольовано від пристроїв, підключених до інтернету. Втім ЗахXBT стверджує, що апаратні пристрої не можуть зупинити користувачів від введення seed-фраз у фішингові сайти, підтвердження зловмисних транзакцій, купівлі підроблених пристроїв або потрапляння в ціль, якщо їхні персональні дані були розкриті через вендорів чи платіжні процесори. Коли злочинці дізнаються, що людина придбала апаратний гаманець, вони можуть атакувати її підлаштованими фішинговими листами, фейковими повідомленнями служби підтримки, спробами SIM-swap або фізичним залякуванням. Для великих власників оцінка ЗахXBT підказує, що самостійне зберігання потребує мультипідписних гаманців, окремих пристроїв для підпису, списків дозволених адрес, симуляції транзакцій, виділених офлайн-машин і суворих правил щодо введення seed-фраз будь-де — лише не на самому пристрої.
Що ЗахXBT сказав про апаратні гаманці?
ЗахXBT назвав апаратні гаманці «повним сміттям» і заявив, що не радить ними користуватися, а Ledger — найгіршим серед великих постачальників, відповідно до дописів у соцмережах, про які повідомляє Wu Blockchain.
Скільки криптовалюти було викрадено в крадіжці 10 січня, на яку посилався ЗахXBT?
Жертва втратила понад $282 мільйона у вартості Bitcoin і Litecoin у соціально-інженерній афері 10 січня, яка, як повідомляє The Defiant із посиланням на ЗахXBT, включала приблизно 2,05 мільйона LTC і 1 459 BTC.
Яка персональна інформація була розкрита під час витоку даних Ledger?
Витік через платіжного процесора Global-e розкрив імена, електронні адреси, номери телефонів і фізичні адреси клієнтів Ledger, хоча, за даними звіту Bit2Me про попередження ЗахXBT у січні, приватні ключі користувачів і кошти напряму скомпрометовані не були.
Пов’язані новини
Ostium призупинив торги через ймовірну атаку на оракул, оцінені збитки — близько 22 млн доларів
Біткоїн-гаманець OG, який пролежав у сплячці 7 років, прокинувся: 2 931 BTC переказано на новий гаманець, а не на біржу
Офіційний акаунт Noxa Fi у X було зламано, у кількох користувачів гаманці вже спорожніли
Криптографічна криміналістика відновлює $34B , поки ШІ-шахрайства вражають $17B у 2025 році