Inwestor kryptowalutowy traci 7 mln USD po użyciu sfałszowanego zimnego portfela zakupionego od Douyin

Inwestor kryptowalutowy stracił prawie 7 milionów dolarów po zakupie zhakowanego zimnego portfela za pośrednictwem Douyin, chińskiej wersji TikTok.

Dla tych, którzy nie są tego świadomi, zimne portfele to fizyczne urządzenia sprzętowe używane do przechowywania kryptowalut w trybie offline, z dala od systemów podłączonych do Internetu.

To sprawia, że są preferowanym wyborem dla długoterminowych posiadaczy, którzy chcą chronić swoje aktywa cyfrowe przed włamaniami online, złośliwym oprogramowaniem i atakami phishingowymi.

W przeciwieństwie do gorących portfeli, które są podłączone do Internetu i umożliwiają szybszy dostęp do środków, zimne portfele zapewniają większą ochronę, izolując klucze prywatne od zagrożeń internetowych.

Są one jednak bezpieczne tylko wtedy, gdy pochodzą z zaufanych i zweryfikowanych kanałów.

7 mln USD utraconych z powodu naruszonego portfela

W tym przypadku ofiara kupiła coś, co wyglądało na fabrycznie zapieczętowany zimny portfel ze zniżką w sklepie Douyin.

Wkrótce po użyciu portfel został naruszony.

Firma SlowMist zajmująca się bezpieczeństwem Blockchain ujawniła w poście na X, że "klucz prywatny został naruszony podczas tworzenia" i że całe saldo użytkownika zostało "opróżnione w ciągu kilku godzin".

Badacze SlowMist ostrzegają, że obniżona cena sama w sobie jest często przynętą wykorzystywaną do sprzedaży portfeli, które zostały wstępnie naruszone, aby dotrzeć do niczego niepodejrzewających nabywców.

Użytkownik X publikujący pod pseudonimem Hella, były członek zespołu współzałożyciela Bitmain, Jihana Wu, zidentyfikował ofiarę jako bliskiego przyjaciela.

Według Hella, portfel był "starannie zaprojektowaną gorącą pułapką", a skradzione fundusze zostały wyprane za pośrednictwem Huiwang, znanego również jako Huione Group, konglomeratu z siedzibą w Kambodży, który rzekomo ma powiązania z nielegalnymi usługami finansowymi.

Huione Group obsługuje platformy takie jak Huione Pay PLC, Huione Crypto i Haowang Guarantee, usługi podobno powiązane z sieciami przestępczymi.

Skradziona kryptowaluta została "zmyta" przez tę infrastrukturę w ciągu kilku godzin, co utrudniło odzyskanie.

Chociaż SlowMist był w stanie wyśledzić skradzione środki, Hella spekulowała, że szanse na odzyskanie są mało prawdopodobne.

Warto zauważyć, że oszustwa te mogą być trudne do wykrycia i zapobieżenia, ponieważ zaatakowane urządzenia są często dystrybuowane za pośrednictwem sprzedawców zewnętrznych.

Według 23pds, dyrektora ds. bezpieczeństwa informacji w SlowMist, osoby zaangażowane w proces wysyłki lub pakowania często nie zdają sobie sprawy, że produkty, z którymi mają do czynienia, zostały naruszone.

Ostrzegając przed ryzykiem związanym z kupowaniem przecenionych portfeli, CISO 23pds SlowMist powiedział, że użytkownicy nie powinni "ryzykować całej fortuny na portfelu, który jest o kilkaset dolarów tańszy".

Zagrożenia wykraczające poza sprzęt

Chociaż zakup portfela sprzętowego od znanego producenta może złagodzić obawy związane ze zmodyfikowanymi urządzeniami, nie eliminuje całkowicie ryzyka, ponieważ inne wektory ataków mogą nadal narażać użytkowników na ryzyko.

Na przykład firma Moonlock Lab, zajmująca się cyberbezpieczeństwem, poinformowała niedawno o trwającej kampanii phishingowej wymierzonej w użytkowników portfela Ledger.

W tym schemacie osoby atakujące rozpowszechniały fałszywe wersje aplikacji Ledger Live dla systemu macOS, zaprojektowane w celu nakłonienia użytkowników do wprowadzenia 24-wyrazowych fraz odzyskiwania.

Po wprowadzeniu frazy seed były wysyłane na serwery kontrolowane przez atakujących, co pozwalało im niemal natychmiast opróżnić portfele użytkowników.

Tymczasem Trezor znalazł się w centrum uwagi w marcu 2025 r. po tym, jak badacze Ledger zgłosili krytyczny przepływ w modelach Safe 3 i Safe 5, który może prowadzić do potencjalnych strat.

Luka w zabezpieczeniach polegała na wykorzystaniu luki napięcia, która mogła ominąć zabezpieczenia mikrokontrolera, pod warunkiem, że atakujący miał fizyczną kontrolę nad urządzeniem.

Trezor przyznał się do problemu i od tego czasu wydał łatki oprogramowania układowego, które podobno usuwają lukę.