近期一位 Trezor 钱包用户发现,他的钱包无故发送一笔 1.33 BTC 的交易,仔细研究後发现,该钱包的「微控制器」已被替换。动区提醒用户购买冷钱包要从官方管道入手,不要从来路不明的平台。
(前情提要:科普|冷钱包、热钱包是什麽、优缺点分析;V 神力推的多签钱包更安全?)
(背景补充:Trezor|冒牌冷钱包上架苹果App Store!用户不查遭诈「3,000万台币BTC」)
去年交易所 FTX 的暴雷倒闭,一度推升知名冷钱包大厂 Ledger、Trezor 的买气,在 11 月创下有史以来最好的销售成绩,因为投资者对中心化企业失去信心,急於寻找更安全解决方案来保护他们的加密资产。
受害者使用假 Trezor 钱包遭骇
但要注意的是,就算是拥有冷钱包也要小心资产安全。近期一篇研究假冷钱包的文章爆料,知名冷钱包品牌 Trezor 旗下主流产品存在假货,可能导致加密资产被盗的相关风险。
文章表示,一名受害者的 Trezor 钱包无故发送一笔 1.33 BTC 的交易,且重点是该冷钱包并没有连网。
据了解,受害者是从一个值得信赖的卖家那里购买的(他买入 Trezor Model T),冷钱包的包装和贴纸讯息都跟新的一样完好无缺。如果只看外观与正常的钱包完全没有任何区别,且所有功能、用户界面都可正常运行,
唯一可疑的是,该冷钱包发布了 2.0.4 版本的引导加载程式,而这版本是 Trezor 从未发布过的。
钱包微控制器已被替换
找到疑点後,进一步将冷钱包进行拆解後发现,该钱包的「微控制器」已被替换,这是一种经典的供应链攻击,一个毫无戒备的受害者购买了一个已经被骇客攻击的设备。但可怕的是,当前仍不清楚这种私自改装的钱包,是如何窃取用户加密资产…
事实上,如果没有特殊的知识和经验,投资者也很难辨别出真正冷钱包和假钱包的区别。因此动区建议,最好的保障措施唯有直接从官方管道购买钱包,不要从来路不明的平台入手。
📍相关报导📍
FTX 助攻!冷钱包 Ledger、Trezor 销售创历史新高;台湾 Coolwallet 业绩暴增十倍
三大冷钱包商被骇?Trezor、Ledger、KeepKey 惊传逾 8 万位用户资料遭拍卖!
Ledger、Trezor硬体钱包遭「天线设备」公开破解 — Ledger:手法不实际,近乎不可能