Pelabur kripto kehilangan $7 juta selepas menggunakan dompet sejuk yang ditipu yang dibeli daripada Douyin

Seorang pelabur kripto kehilangan hampir $7 juta selepas membeli dompet sejuk yang terjejas melalui Douyin, TikTok versi China.

Bagi mereka yang tidak sedar, dompet sejuk ialah peranti perkakasan fizikal yang digunakan untuk menyimpan mata wang kripto di luar talian, jauh daripada sistem yang disambungkan ke internet.

Ini menjadikannya pilihan pilihan untuk pemegang jangka panjang yang ingin melindungi aset digital mereka daripada penggodaman dalam talian, perisian hasad dan serangan pancingan data.

Tidak seperti dompet panas, yang disambungkan ke internet dan membenarkan akses yang lebih pantas kepada dana, dompet sejuk menawarkan perlindungan yang lebih besar dengan mengasingkan kunci peribadi daripada ancaman dalam talian.

Walau bagaimanapun, ia hanya selamat apabila diperoleh melalui saluran yang dipercayai dan disahkan.

$7 juta hilang akibat dompet yang diganggu

Dalam kes ini, mangsa telah membeli apa yang kelihatan seperti dompet sejuk yang dimeterai kilang dengan diskaun daripada penyenaraian Douyin Shop.

Tidak lama selepas digunakan, dompet itu terjejas.

Firma keselamatan blockchain SlowMist mendedahkan dalam catatan di X bahawa "kunci peribadi telah terjejas semasa penciptaan" dan bahawa keseluruhan baki pengguna telah "dikeringkan dalam beberapa jam."

Penyelidik SlowMist memberi amaran bahawa harga diskaun itu sendiri selalunya merupakan umpan, digunakan untuk menjual dompet yang telah diganggu terlebih dahulu untuk menyasarkan pembeli yang tidak curiga.

Seorang pengguna X yang menyiarkan di bawah pemegang Hella, bekas ahli pasukan pengasas bersama Bitmain Jihan Wu, mengenal pasti mangsa sebagai rakan rapat.

Menurut Hella, dompet itu adalah "perangkap panas yang direka dengan teliti," dan dana yang dicuri telah dicuci melalui Huiwang, juga dikenali sebagai Kumpulan Huione, sebuah konglomerat yang berpangkalan di Kemboja yang didakwa mempunyai hubungan dengan perkhidmatan kewangan haram.

Kumpulan Huione mengendalikan platform seperti Huione Pay PLC, Huione Crypto dan Haowang Guarantee, perkhidmatan yang dilaporkan dikaitkan dengan rangkaian jenayah. 

Kripto yang dicuri telah "dihanyutkan" melalui infrastruktur ini dalam beberapa jam, menyukarkan pemulihan. 

Walaupun SlowMist telah dapat mengesan dana yang dicuri, Hella membuat spekulasi bahawa peluang pemulihan tidak mungkin.

Terutama, penipuan ini boleh menjadi sukar untuk dikesan dan dicegah, kerana peranti yang terjejas sering diedarkan melalui penjual pihak ketiga.

Menurut 23pds, ketua pegawai keselamatan maklumat SlowMist, individu yang terlibat dalam proses penghantaran atau pembungkusan selalunya tidak menyedari bahawa produk yang mereka kendalikan telah diganggu.

Amaran terhadap risiko membeli dompet diskaun, CISO 23pds SlowMist berkata pengguna tidak sepatutnya "mempertaruhkan keseluruhan kekayaan [mereka] pada dompet yang beberapa ratus dolar lebih murah."

Risiko di luar perkakasan

Walaupun membeli dompet perkakasan daripada pengeluar terkemuka boleh mengurangkan kebimbangan tentang peranti yang diganggu, ia tidak menghapuskan risiko sepenuhnya, kerana vektor serangan lain masih boleh membahayakan pengguna.

Sebagai contoh, firma Keselamatan Siber Moonlock Lab baru-baru ini melaporkan kempen pancingan data yang berterusan yang menyasarkan pengguna dompet Ledger.

Dalam skim ini, penyerang mengedarkan versi palsu apl Ledger Live untuk macOS, yang direka untuk menipu pengguna memasukkan frasa pemulihan 24 perkataan mereka.

Setelah dimasukkan, frasa benih dihantar ke pelayan yang dikawal penyerang, membolehkan mereka mengosongkan dompet pengguna hampir serta-merta.

Sementara itu, Trezor mendapati dirinya berada di bawah tumpuan pada Mac 2025 selepas penyelidik Ledger menandakan aliran kritikal dalam model Safe 3 dan Safe 5 yang boleh membawa kepada potensi kerugian. 

Kerentanan itu melibatkan eksploitasi gangguan voltan yang boleh memintas perlindungan mikropengawal, dengan syarat penyerang mempunyai kawalan fizikal peranti. 

Trezor mengakui isu itu dan sejak itu telah mengeluarkan tampung perisian tegar yang dilaporkan menangani kelemahan itu.