Замена Ledger по почте: как почтовый развод опустошил портфель

«Бесплатное обновление», пришедшее почтой

Июль 2024. Клиент Ledger в Москве получает физическое письмо — правильный адрес, брендинг Ledger — извещающее, что его Nano X заменяется по «программе бесплатного обновления безопасности» в связи с утечкой 2020 года. Через две недели приходит посылка с тем, что выглядит как новый Ledger Nano X. Он устанавливает, вводит существующие 24 слова «для миграции средств» (по приложенной инструкции). Новое устройство работает нормально. Через три дня весь портфель пропал.

Физический слой атаки

Утечка базы Ledger 2020 года вскрыла 270 000 почтовых адресов. Через пять лет мошенники всё ещё майнят этот список. Отправка физической посылки стоит 5–10 USD за попытку, производство фейкового аппаратного кошелька — около 15 USD. При конверсии 1 % на 270 000 — математика беспощадна: 2 700 жертв со средней потерей 20 000 USD = 54 миллиона ожидаемой выручки с операции стоимостью 10 миллионов.

Четыре правила

• Производители аппаратных кошельков никогда не присылают замену по своей инициативе. Ledger — нет. Trezor — нет. Coldcard — нет. Если устройство прибыло, которое вы не заказывали — это мошенничество независимо от того, насколько аутентично выглядит упаковка.
• Утечке 2020 года уже более пяти лет. Никакая легитимная «программа компенсации» не запускается через пять лет. Реальный ответ Ledger — на момент и с тех пор — был email-извинения и улучшения безопасности, никогда физические замены устройств.
• Реальная миграция не требует ввода seed в экран нового устройства. Реальная миграция: ввести seed на новое устройство (на устройстве, не на компьютере), затем переместить средства через Ledger Live на адреса от нового устройства. Миграция имеет смысл только если есть причина подозревать компрометацию старого seed — а ответ на компрометированный seed это новый seed, не переписанный.
• Верифицируйте любую «официальную коммуникацию» через сайт производителя. Откройте ledger.com/recall или ledger.com/security и посмотрите программу. Если её там нет — письмо фейк.

Если использовали фейковое устройство

Введённый seed навсегда скомпрометирован. Сгенерируйте новый seed на верифицированно-свежем устройстве (купленном у производителя). Переведите каждый актив на адреса от нового seed в течение часа. Не используйте фейковое устройство ни для чего — выбросьте.