因为在eBay上买了一个二手的Ledger Nano硬件钱包,Reddit用户moodyrocket一辈子的积蓄都丢了。他损失的加密货币共计3.4万美元
。
这位网友在Reddit上发帖称,钱包卖方采用了中间人攻击的形式,预先在设备中写入了其自己设置的复原码,并没有使用Ledger公司提供的随机码。帖子中提到:
我已经一周没用Ledger了,所以我想看看钱包里瑞波、莱特币和达世价值多少了,结果我发现所有币的余额都为零,并且已经在昨天晚上七点半左右被转移到了其它地方。我不清楚这一切是怎么发生的,因为我已经一周没有用过Ledger了。我不知道怎么办,因为这些币的价值超过了2.5万镑,我的币是被偷了还是怎么样?我现在很迷茫,感觉很不舒服,希望大家帮帮我。
这件事证明攻击者甚至有办法进入用户的钱包。Ledger的CEO已经承诺为这位网友提供帮助,通过法律手段让卖方受到应有的惩罚。
(卖家伪造的助记词)
安全需求
这位来自英国的受害者的故事听起来似乎很遥远,但至少他的损失可以成为社区的收获。对于任何试图从第三方手中购买硬件钱包的人,我们都应进行提醒。不应该从拍卖网站、独立供应商和商户等与钱包制造商没有正式合作关系的机构或个人手中购买钱包。
大多数转卖Ledgers和Trezors等钱包的人并没有恶意篡改设备的目的。但中间经手的人一旦心存恶意就会更改钱包设置然后转手给毫无防备的买家。这位Ebay卖家就是这类人。
就算硬件设备本身的安全性得到了保障,使用这类设备的人永远是其中最薄弱的一环。即使是多强大的防盗科技也无法抵御人为错误。举个例子,假如moodyrocket重置了设备,重新创建了私钥,他就不会受到影响。然而,当他看到卖家发给他的虚假文件之后,他自然而然地就选择相信默认私钥是安全的。直接从制造商手中购买硬件钱包可能要花上很长的时间和更高的成本,但与其它选择相比反而更加值得。