Crypto-investeerder verliest $7 miljoen na het gebruik van een gemanipuleerde cold wallet gekocht bij Douyin

Een crypto-investeerder verloor bijna $7 miljoen na het kopen van een gecompromitteerde cold wallet via Douyin, de Chinese versie van TikTok.

Voor degenen die het niet weten, cold wallets zijn fysieke hardwareapparaten die worden gebruikt om cryptocurrencies offline op te slaan, weg van met internet verbonden systemen.

Dit maakt ze een voorkeurskeuze voor langetermijnhouders die hun digitale activa willen beschermen tegen online hacks, malware en phishing-aanvallen.

In tegenstelling tot hot wallets, die verbonden zijn met internet en snellere toegang tot geld bieden, bieden cold wallets meer bescherming door de privésleutels te isoleren van online bedreigingen.

Ze zijn echter alleen veilig als ze afkomstig zijn via vertrouwde en geverifieerde kanalen.

$ 7 miljoen verloren door geknoeide portemonnee

In dit geval had het slachtoffer een in de fabriek verzegelde cold wallet met korting gekocht in een Douyin Shop-aanbieding.

Kort na gebruik werd de portemonnee gecompromitteerd.

Blockchain-beveiligingsbedrijf SlowMist onthulde in een bericht op X dat de "privésleutel bij het maken was gecompromitteerd" en dat het volledige saldo van de gebruiker "binnen enkele uren was leeggemaakt".

SlowMist-onderzoekers waarschuwden dat de kortingsprijs zelf vaak het aas is, dat wordt gebruikt om portefeuilles te verkopen waarmee vooraf is geknoeid om nietsvermoedende kopers te targeten.

Een X-gebruiker die onder de naam Hella postte, een voormalig teamlid van Bitmain mede-oprichter Jihan Wu, identificeerde het slachtoffer als een goede vriend.

Volgens Hella was de portemonnee een "zorgvuldig ontworpen hete val" en werd het gestolen geld witgewassen via Huiwang, ook bekend als de Huione Group, een in Cambodja gevestigd conglomeraat met vermeende banden met illegale financiële diensten.

Huione Group exploiteert platforms zoals Huione Pay PLC, Huione Crypto en Haowang Guarantee, diensten die naar verluidt verband houden met criminele netwerken.

De gestolen crypto werd binnen enkele uren via deze infrastructuur "weggespoeld", waardoor herstel moeilijk werd.

Hoewel SlowMist het gestolen geld heeft kunnen traceren, speculeerde Hella dat de kans op herstel onwaarschijnlijk was.

Deze oplichting kan met name moeilijk te detecteren en te voorkomen zijn, omdat de gecompromitteerde apparaten vaak worden verspreid via externe verkopers.

Volgens 23pds, de chief information security officer van SlowMist, zijn personen die betrokken zijn bij het verzend- of verpakkingsproces zich er vaak niet van bewust dat er met de producten die ze hanteren is geknoeid.

SlowMist's CISO 23pds waarschuwde voor de risico's van het kopen van portemonnees met korting en zei dat gebruikers niet "hun hele fortuin moeten gokken op een portemonnee die een paar honderd dollar goedkoper is".

Risico's buiten de hardware

Hoewel het kopen van een hardware wallet van een prominente fabrikant de bezorgdheid over gemanipuleerde apparaten kan wegnemen, elimineert het de risico's niet volledig, aangezien andere aanvalsvectoren gebruikers nog steeds in gevaar kunnen brengen.

Zo meldde cyberbeveiligingsbedrijf Moonlock Lab onlangs een lopende phishing-campagne gericht op gebruikers van Ledger-portemonnees.

In dit schema verspreidden aanvallers nepversies van de Ledger Live-app voor macOS, ontworpen om gebruikers te misleiden om hun herstelzinnen van 24 woorden in te voeren.

Eenmaal ingevoerd, werden de seed phrases verzonden naar door de aanvaller gecontroleerde servers, waardoor ze de portemonnee van de gebruikers vrijwel onmiddellijk konden legen.

Ondertussen kwam Trezor in maart 2025 in de schijnwerpers te staan nadat onderzoekers van Ledger een kritieke stroom in zijn Safe 3- en Safe 5-modellen hadden gesignaleerd die tot mogelijke verliezen zou kunnen leiden.

De kwetsbaarheid betrof een spanningsglitching-exploit die de beveiligingen van de microcontroller kon omzeilen, op voorwaarde dat de aanvaller fysieke controle over het apparaat had.

Trezor erkende het probleem en heeft sindsdien firmware-patches uitgebracht die naar verluidt de kwetsbaarheid verhelpen.