Selon PANews, les portefeuilles matériels sont des dispositifs physiques conçus pour stocker des crypto-monnaies, offrant un moyen sécurisé de protéger les actifs numériques. Ces portefeuilles stockent les clés privées hors ligne, ce qui permet aux utilisateurs de conserver un contrôle total sur leurs crypto-monnaies et de réduire le risque de piratage en ligne.
Malgré leurs caractéristiques de sécurité, de nombreux investisseurs, notamment les débutants, sont victimes d'escroqueries qui entraînent la perte des actifs stockés dans les portefeuilles matériels. Les deux méthodes de vol les plus courantes sont les manuels d'instruction frauduleux et les escroqueries aux portefeuilles matériels modifiés.
Les escroqueries au moyen de manuels d'instructions frauduleux exploitent le manque de compréhension des utilisateurs en matière de portefeuilles matériels. Les escrocs remplacent le manuel authentique par un faux, induisant les victimes en erreur en les incitant à transférer des fonds vers des adresses de phishing. Les victimes achètent souvent des portefeuilles matériels sur des plateformes tierces, suivent les instructions du faux manuel pour ouvrir le portefeuille à l'aide d'un « code PIN par défaut » et sauvegardent la « phrase de départ » imprimée dans le manuel. Par conséquent, elles déposent des fonds importants dans le portefeuille, pour ensuite se les faire voler.
L'arnaque n'implique pas le piratage du matériel du portefeuille. Au lieu de cela, les escrocs préactivent le portefeuille, obtiennent la phrase de départ et le reconditionnent avec un faux manuel. Ils vendent ensuite ces portefeuilles préactivés via des canaux non officiels. Une fois que les victimes ont transféré leurs actifs cryptographiques vers le portefeuille, le processus standard de vol de faux portefeuille commence.
Dans les régions sinophones, des risques similaires existent. Le fabricant de portefeuilles matériels imkey a notamment mis en garde les utilisateurs contre les magasins non officiels vendant des portefeuilles « activés » avec des manuels modifiés, incitant les utilisateurs à déposer des fonds dans des portefeuilles avec des adresses créées par des vendeurs malveillants. Cela souligne l'importance d'identifier les magasins en ligne officiels autant que les sites Web officiels.
Une autre arnaque concerne les portefeuilles matériels modifiés. Un utilisateur de Ledger a reçu un colis non sollicité contenant un nouveau portefeuille Ledger X et une lettre affirmant qu'il avait été envoyé en raison d'une violation de données chez Ledger. La lettre demandait à l'utilisateur de remplacer son appareil pour des raisons de sécurité. Cependant, le PDG de Ledger, Pascal Gauthier, a précisé que l'entreprise ne verse aucune compensation en cas de fuite de données personnelles. L'utilisateur a identifié le colis comme une arnaque, notant des signes d'altération à l'intérieur du boîtier en plastique du portefeuille.
L'équipe de sécurité de Kaspersky a également signalé un cas impliquant un portefeuille matériel Trezor contrefait. Une victime a acheté un Trezor Model T auprès d'une source non officielle, pour découvrir que le micrologiciel de l'appareil avait été modifié par des attaquants, ce qui leur a permis d'accéder aux actifs cryptographiques de l'utilisateur.
En conclusion, les attaques de la chaîne d'approvisionnement sur les portefeuilles matériels sont répandues, et les investisseurs comme les fabricants doivent rester vigilants. Pour atténuer les risques de vol, les utilisateurs doivent acheter des périphériques matériels auprès des canaux officiels, s'assurer que les portefeuilles sont dans un état non activé et générer eux-mêmes les adresses de portefeuille. Si un périphérique semble activé ou inclut un « mot de passe par défaut » ou une « adresse par défaut », les utilisateurs doivent cesser de l'utiliser et le signaler au fabricant du portefeuille. Une utilisation appropriée peut prévenir efficacement le vol.