Récemment, j'ai vu beaucoup de discussions dans la communauté sur la sécurité des portefeuilles matériels, ce qui m'a fait réaliser que les cas de vol de portefeuilles froids sont plus courants que je ne le pensais. Beaucoup de débutants dépensent une grosse somme pour acheter un portefeuille matériel, pensant qu'ils seront à l'abri, mais finissent par devenir la cible des escrocs.

C'est assez ironique, la logique de conception du portefeuille matériel elle-même n'a pas de problème — stockage hors ligne de la clé privée, puce de sécurité protégée, ce sont des solutions de protection reconnues dans l'industrie. Mais le problème réside dans la chaîne d'approvisionnement. Les escrocs n'ont pas besoin de craquer la couche matérielle, ils ciblent plutôt le canal d'achat.

Un cas récent m'a particulièrement marqué. Quelqu'un a acheté un portefeuille matériel sur une plateforme de commerce en ligne tierce, l'a ouvert selon le manuel d'instructions pour initialiser le code PIN, a sauvegardé la phrase de récupération, puis a transféré une grosse somme. Résultat, il s'est fait vider rapidement. Tout semblait normal, mais en réalité, le manuel était faux, et l'adresse du portefeuille était déjà contrôlée par un pirate. La méthode principale de vol de ces portefeuilles froids consiste à exploiter l'ignorance des débutants sur le processus d'utilisation, en utilisant de faux manuels pour reconditionner le produit, puis en le vendant via des canaux non officiels.

Des risques similaires sont aussi très courants dans les régions sinophones. La société bien connue imkey a déjà alerté publiquement que certains vendeurs non officiels vendaient des portefeuilles déjà activés, tout en modifiant les instructions pour inciter les utilisateurs à y déposer leurs fonds. Cela montre que l'identification des canaux officiels est aussi importante que la vérification des sites officiels.

Il y a aussi des cas encore plus absurdes. Un utilisateur Ledger a soudainement reçu un colis qu'il n'avait pas commandé, contenant un Ledger X tout neuf et une lettre. La lettre expliquait que l'entreprise avait été attaquée, que des données avaient été compromises, et qu'ils envoyaient un nouvel appareil. Mais le PDG de Ledger a ensuite clairement indiqué que l'entreprise ne faisait pas ce genre de compensation. En ouvrant l'appareil, on pouvait voir des traces évidentes de falsification à l'intérieur de la boîte en plastique. C'est un exemple typique d'arnaque par modification de portefeuille matériel.

L'équipe de sécurité de Kaspersky a également signalé un cas similaire : quelqu'un a acheté un faux Trezor Model T sur un canal non officiel, avec le firmware interne déjà remplacé, permettant à l'attaquant d'accéder directement aux actifs cryptographiques de l'utilisateur. Un portefeuille matériel apparemment normal peut en réalité devenir un outil pour les escrocs.

Donc, le risque de vol de portefeuille froid ne provient pas principalement d'une faille technique, mais plutôt d'erreurs humaines ou de vulnérabilités dans l'opération. Comment l'éviter ? C'est en fait très simple :

Premièrement, n'achetez qu via des canaux officiels. Tout portefeuille matériel acheté en dehors de ces canaux ne peut pas garantir la sécurité.

Deuxièmement, assurez-vous que l'appareil n'a pas été activé. Les appareils vendus officiellement doivent être neufs et non activés. Si, après mise sous tension, vous constatez qu'il a déjà été activé ou qu'il y a un « mot de passe initial » ou une « adresse par défaut » sur le manuel, arrêtez immédiatement et faites un retour à l'officiel.

Troisièmement, effectuez toutes les opérations vous-même. La configuration du PIN, la génération du code de liaison, la création de l'adresse, la sauvegarde de la phrase de récupération — chaque étape doit être faite par vous. Toute intervention d'un tiers à une étape équivaut à confier la clé privée.

Le processus normal devrait être le suivant : le portefeuille matériel acheté doit être neuf et non activé. Lors de la première utilisation, vous devez tout faire vous-même, depuis l'allumage, la création du portefeuille, la sauvegarde de la phrase, jusqu'à la configuration du PIN. En suivant ce processus, le risque de vol du portefeuille froid peut être considérablement réduit.

En fin de compte, la sécurité offerte par un portefeuille matériel est réelle, mais à condition de l'utiliser correctement. Dans un marché rempli d'escroqueries, une prudence supplémentaire est synonyme de protection supplémentaire.