Случай стал предметом экстренного расследования специалистов SlowMist — китайской компании, специализирующейся на информационной безопасности в блокчейн-среде. Анализ показал, что компрометация произошла ещё до того, как пользователь получил на руки само устройство: злоумышленники заранее внедрили нужные данные, а именно частные ключи, что позволило им мгновенно завладеть средствами, как только они были загружены на носитель.
Под удар попал физический кошелёк — электронный прибор, предназначенный для офлайн-хранения криптовалютных приватных ключей, пишет Securitylab. Эти ключи обеспечивают полный доступ к средствам, а потому их изоляция от сетей и стороннего ПО — ключевое преимущество перед мобильными и браузерными аналогами. Подлинный аппаратный кошелёк не подключается напрямую к интернету и лишь подписывает транзакции, что делает его устойчивым к вирусам и удалённому взлому. Но именно этот барьер и был снят за счёт заранее встроенного вредоносного содержимого.
Как выяснилось, покупка была совершена на площадке Douyin — китайской версии TikTok, где, помимо видео, активно функционирует e-commerce-сегмент. Там жертве был предложен "запечатанный" кошелёк по привлекательной цене. На упаковке не было видно признаков вскрытия, но это не спасло от последствий: как только деньги поступили на носитель, они сразу были выведены сторонней стороной.
Механизм атаки был прост: вместо того чтобы позволить пользователю самому придумать уникальную сид-фразу (12–24 слова, дающие доступ к хранилищу), злоумышленники заранее создали кошелёк, сохранили к нему ключи, а затем "запаковали" под видом нового товара. Покупатель, не подозревая подвоха, просто запустил уже скомпрометированную систему.
По словам специалистов, сегодня наиболее распространённой уловкой остаются именно "заводские" или "дешёвые" кошельки , предлагаемые за пределами официальных сайтов. Такие предложения особенно привлекательны для новичков, которые ищут надёжность, но не готовы переплачивать за безопасность.
Проблема усугубляется тем, что даже физический доступ не даёт гарантии подлинности, если пользователь не прошёл полную вступительнуюпроцедуру самостоятельно. И именно это — выбор готового решения, а не настройка с нуля — сыграло роковую роль в данной истории.