Чи безпечно купувати апаратний гаманець на OLX або Rozetka

Апаратні гаманці з’являються на OLX, Rozetka, Prom.ua та інших майданчиках — часто за привабливими цінами. Але чи безпечно там купувати? Коротка відповідь — ні. Ось чому.

Проблема 1 — невідомий ланцюжок постачання

Апаратний гаманець захищає криптоактиви лише якщо він не був скомпрометований до того, як потрапив до вас. На OLX або через неофіційного продавця на Rozetka ви не знаєте, хто і як зберігав пристрій до продажу. Навіть якщо упаковка виглядає цілою — це не гарантія.

Проблема 2 — попередньо записана сід-фраза

Один з найпоширеніших видів шахрайства з апаратними гаманцями — пристрій продається вже ініціалізованим, з готовою сід-фразою всередині коробки. Покупець переводить кошти на гаманець і через деякий час втрачає все — шахрай використовує збережену копію сід-фрази для виведення активів.

Ledger, Trezor та інші виробники офіційно попереджають: якщо в коробці є листок з уже записаними словами — це шахрайство, пристрій не можна використовувати.

Проблема 3 — модифікована прошивка

Досвідчений зловмисник може перепрошити пристрій таким чином що він виглядає і працює нормально, але компрометує ваші активи. Найпоширеніша схема — модифікований пристрій пропонує завантажити сторонній додаток для керування замість офіційного. Цей додаток краде приватні ключі або перенаправляє транзакції на адресу зловмисника.

Реальний задокументований випадок — в продажу були виявлені модифіковані пристрої з заздалегідь зашитими сід-фразами. В пам’ять пристрою було записано 20 готових сід-фраз, які по колу показувались користувачу під час налаштування як “нові”. Користувач думав, що генерує унікальну фразу — насправді отримував одну з заздалегідь відомих зловмиснику. Після поповнення гаманця кошти виводились.

Саме тому виробники наполегливо рекомендують купувати тільки у авторизованих реселерів і завантажувати офіційне ПЗ виключно з сайту виробника.

Що з Rozetka та Prom.ua

На цих майданчиках можуть продавати як офіційні магазини так і сторонні продавці. Проблема в тому що маркетплейс не перевіряє, чи є продавець авторизованим реселером виробника. Навіть якщо продавець виглядає солідно — це не підтвердження офіційного статусу.

Як перевірити офіційного реселера

Кожен виробник публікує список авторизованих реселерів на своєму сайті:

Ledger — ledger.com/en/reseller

Yubico — yubico.com/support/resellers

Bitbox — bitbox.swiss/buy

Keystone — keyst.one/resellers

Onekey — help.onekey.so/en/articles/11461258-onekey-reseller-network

Trezor — trezor.io/resellers

Якщо магазину немає в цьому списку — він не є офіційним реселером, незалежно від того що написано на його сайті.

Де купити безпечно в Україні

NAI (newage-invest.com) — офіційний авторизований реселер Ledger, Bitbox, Keystone та Onekey, а також авторизований партнер Yubico в Україні. Статус підтверджено на сайтах виробників із прямим посиланням на магазин.

Замовити оригінальний пристрій можна на newage-invest.com. Доставка Новою Поштою по всій Україні, самовивіз в Івано-Франківську. Оплата при отриманні наложеним платежем, карткою, Google Pay, Apple Pay або на рахунок.