Secondo PANews, i portafogli hardware sono dispositivi fisici progettati per conservare criptovalute, fornendo un mezzo sicuro per salvaguardare le risorse digitali. Questi portafogli conservano le chiavi private offline, garantendo agli utenti il pieno controllo sulle proprie criptovalute e riducendo il rischio di hacking online.
Nonostante le loro caratteristiche di sicurezza, molti investitori, in particolare i principianti, cadono vittime di truffe che comportano la perdita di asset conservati in portafogli hardware. Due metodi di furto prevalenti includono manuali di istruzioni fraudolenti e truffe di portafogli hardware modificati.
Le truffe fraudolente sui manuali di istruzioni sfruttano la scarsa comprensione degli utenti dei portafogli hardware. I truffatori sostituiscono il manuale originale con uno falso, inducendo le vittime a trasferire fondi ad indirizzi di phishing. Le vittime spesso acquistano portafogli hardware da piattaforme di terze parti, seguono le istruzioni del manuale falso per aprire il portafoglio utilizzando un "PIN predefinito" e eseguono il backup della "frase iniziale" stampata nel manuale. Di conseguenza, depositano fondi significativi nel portafoglio, solo per vederseli rubare.
La truffa non prevede l'hacking dell'hardware del portafoglio. Invece, i truffatori pre-attivano il portafoglio, ottengono la frase seed e la riconfezionano con un manuale falso. Quindi vendono questi portafogli pre-attivati tramite canali non ufficiali. Una volta che le vittime trasferiscono i loro asset crittografici al portafoglio, inizia il normale processo di furto del portafoglio falso.
Nelle regioni di lingua cinese, sussistono rischi simili. In particolare, il produttore di portafogli hardware imkey ha avvisato gli utenti di negozi non ufficiali che vendono portafogli "attivati" con manuali alterati, inducendo gli utenti a depositare fondi in portafogli con indirizzi creati da venditori malintenzionati. Ciò evidenzia l'importanza di identificare i negozi online ufficiali tanto quanto i siti Web ufficiali.
Un'altra truffa riguarda i portafogli hardware modificati. Un utente Ledger ha ricevuto un pacco non richiesto contenente un nuovo portafoglio Ledger X e una lettera che sosteneva che era stato inviato a causa di una violazione dei dati presso Ledger. La lettera intimava all'utente di sostituire il dispositivo per motivi di sicurezza. Tuttavia, il CEO di Ledger Pascal Gauthier ha chiarito che l'azienda non risarcisce le perdite di dati personali. L'utente ha identificato il pacco come una truffa, notando segni di manomissione all'interno dell'involucro di plastica del portafoglio.
Inoltre, il team di sicurezza di Kaspersky ha segnalato un caso che riguardava un portafoglio hardware Trezor contraffatto. Una vittima ha acquistato un Trezor Model T da una fonte non ufficiale, solo per scoprire che il firmware del dispositivo era stato alterato dagli aggressori, garantendo loro l'accesso alle risorse crittografiche dell'utente.
In conclusione, gli attacchi della supply chain ai portafogli hardware sono diffusi e sia gli investitori che i produttori dovrebbero rimanere vigili. Per mitigare i rischi di furto, gli utenti dovrebbero acquistare dispositivi hardware da canali ufficiali, assicurarsi che i portafogli siano in uno stato non attivato e generare personalmente gli indirizzi dei portafogli. Se un dispositivo appare attivato o include una "password predefinita" o un "indirizzo predefinito", gli utenti dovrebbero smettere di usarlo e segnalarlo al produttore del portafoglio. Un uso corretto può prevenire efficacemente i furti.