Купили холодный кошелек? Поздравляем, вас уже ограбили

Попытка сэкономить на покупке аппаратного криптокошелька обернулась для одного из инвесторов катастрофой: после перевода активов на приобретённое устройство он лишился $6,5 млн буквально за несколько часов. Проблема заключалась в том, что кошелёк был куплен не через официальный канал, а на сторонней платформе по привлекательной цене.

Инцидент привлёк внимание экспертов SlowMist — китайской компании, специализирующейся на блокчейн-безопасности. Расследование показало, что компрометация произошла ещё до доставки: злоумышленники заранее сгенерировали сид-фразу и сохранили приватные ключи, после чего внедрили их в память устройства. Когда покупатель активировал кошелёк, средства мгновенно оказались под контролем преступников.

Речь идёт о компактном электронном приборе, предназначенном для офлайн-хранения конфиденциальной информации, прежде всего приватных ключей. Его главная задача — изолировать чувствительные данные от сетевого окружения и стороннего ПО. Такие устройства не взаимодействуют с интернетом напрямую, а используются исключительно для подписи транзакций. Однако в данном случае это преимущество было сведено на нет из-за преднамеренно внедрённой уязвимости.

Согласно данным SlowMist, покупка была совершена на Douyin — китайском аналоге TikTok, где наряду с видеоконтентом активно развита торговля. Именно там пострадавший и наткнулся на выгодное предложение, внешне не вызывающее подозрений: упаковка выглядела целой, устройство — новым.

Суть атаки заключалась в том, что пользователь получил уже полностью настроенное «решение» с предустановленной сид-фразой, тогда как безопасная практика требует, чтобы генерация ключей происходила локально и только пользователем. Покупатель просто следовал инструкциям — и тем самым передал контроль над кошельком посторонним лицам.

Как отмечают специалисты, наибольшую угрозу представляют именно «выгодные» предложения вне официальных источников. Особенно уязвимы новички, которых привлекает сочетание обещаний надёжности и доступной цены, но которые не до конца понимают технические нюансы.

Отдельно подчёркивается, что ни внешний вид, ни физический доступ к устройству не гарантируют его подлинности, если владелец не выполнил инициализацию с нуля. В этом случае именно готовая настройка и стала роковой ошибкой.

Комментарий к ситуации дал один из сотрудников SlowMist, известный как 23pds. Он назвал такую «экономию» опасной иллюзией и призвал не играть судьбой ради сомнительной выгоды. По его словам, единственно надёжный путь — покупка напрямую у производителей или авторизованных дилеров с полной локальной генерацией ключей.

В соцсети X также появилось сообщение от знакомого пострадавшего: по его словам, средства практически сразу были отмыты через даркнет-площадки, что делает возврат почти невозможным. Быстрота операции говорит о наличии заранее подготовленной схемы и устойчивых каналов взаимодействия с подпольными структурами.

Такие атаки — не редкость. В 2024–2025 годах Лаборатория Касперского фиксировала трояны для Android-устройств, способные перехватывать чувствительные данные. Тогда вектор атаки также был связан с компрометацией цепочек поставок — вредоносное ПО внедрялось в продукцию ещё на этапе сборки или распространялось под видом полезных приложений.

И самое неприятное, что со временем подобные схемы становятся всё более изощрёнными. Подделка аппаратного кошелька требует больше времени и подготовки, но взамен открывает путь к куда более значимым «трофеям» — особенно если в числе жертв оказываются состоятельные пользователи.

Отсюда и главный вывод: надёжность определяется не внешностью и не ценой, а происхождением и прозрачностью пути от производства до первого запуска. Любая неосторожность — и даже самое продвинутое решение превращается в инструмент кражи .