Безопасно ли покупать аппаратный кошелёк с рук?

Краткий ответ

Нет. Даже если оригинальная упаковка выглядит "новой нераспечатанной", tamper-печать цела, продавец на Avito с высоким рейтингом, и есть значок "напишите за подтверждением оригинальности" — аппаратные кошельки — одна из немногих электроник, которую никогда нельзя покупать бывшую в употреблении. Supply-chain атака здесь слишком проста и слишком хорошо задокументирована.

Механизм атаки

Атакующий покупает настоящий новый Ledger или Trezor, инициализирует его с seed, который записывает, делает factory-reset устройства, переупаковывает с "карточкой сброса", говорящей "ваше устройство было factory-reset для безопасности". Покупатель распаковывает, видит "factory-reset" сообщение, генерирует то, что считает свежим seed — но устройство фактически переиспользует pre-recorded seed атакующего под капотом, или прошивка была тихо модифицирована для утечки seed во время setup.

Существует несколько вариантов: tampered firmware (модифицированная для email-отправки seed на удалённый сервер), pre-recorded seed (генерация "свежего" возвращает детерминированный seed, который атакующий уже знает), или просто замена PCB устройства похожей вредоносной версией.

Задокументированные случаи

Российские форумы Bits.media и Reddit r/CryptoCurrency содержат сотни отчётов "купил б/у Ledger, потерял монеты через три месяца" начиная с 2018 года. Паттерн постоянен: покупатель переводит крипту на адрес, проходят недели, атакующий ждёт накопления, затем сливает кошелёк одной транзакцией.

Утечка клиентских данных Ledger 2020 года ухудшила это: 270 000 адресов клиентов слиты, предоставив targeting-список для атак "фейковый Ledger box по почте на ваш адрес".

Математика затрат-выгоды

Ledger Nano S Plus, новый с Ledger.com через посредника, стоит около 6 500 ₽. "Avito-Ledger со скидкой 60%" экономит вам 4 000 ₽. Ваш крипто-стек на этом устройстве предположительно 400 000 ₽ - 40 млн ₽. Соотношение экономии к риску перевернуто на 3-4 порядка. Покупайте новые из официального магазина. Стоимость доставки нерелевантна.

Что делать, если уже купили б/у

Считайте устройство скомпрометированным. Не переводите крипту на его адреса. Используйте как "демо-устройство" только для тестирования. Купите новое устройство из официального магазина для фактического хранения.

Дополнительное чтение: Аппаратный кошелёк.