Een crypto-investeerder is $6,9 miljoen kwijtgeraakt na de aankoop van een zogenaamd ‘af fabriek verzegelde’ cold wallet via Douyin, de Chinese variant van TikTok. Wat een koopje leek, bleek een perfect uitgevoerde valstrik.

Cold wallet bleek al besmet bij levering

De wallet, die via een externe verkoper werd besteld op Douyin Shop, was vooraf gemanipuleerd. Volgens blockchainbeveiligingsbedrijf SlowMist was de private key al bij aanmaak in handen van oplichters. Zodra het slachtoffer zijn crypto erin parkeerde, werd alles binnen enkele uren leeggehaald.

Volgens een voormalige medewerker van Bitmain, bekend als Hella op X, ging het om een vriend van hem. Hij kreeg midden in de nacht een belletje dat “door merg en been ging”. De wallet bleek een “verhitte valstrik”, waarbij de gestolen crypto snel werd “weggewassen” via netwerken die gelinkt zijn aan de schimmige Huione Group in Cambodja.

Oplichting via ‘korting’ en ‘gloednieuw’

Veel gebruikers trappen nog altijd in de belofte van een goedkope, nieuwe hardware wallet. Maar volgens SlowMist worden wallets met termen als ‘korting’ of ‘geseald’ vaak gebruikt om vertrouwen te wekken, terwijl ze in werkelijkheid al aangepast zijn. De criminelen rekenen erop dat kopers niet controleren waar het product echt vandaan komt.

Terughalen is vrijwel kansloos

Hoewel SlowMist de transactie nog heeft weten te traceren, is de kans dat de fondsen ooit worden teruggehaald minimaal. Hella spreekt van “nauwelijks hoop”. De daders maken gebruik van netwerken waar crypto razendsnel verdwijnt via meerdere tussenstations.

Koop altijd via een betrouwbare bron

Volgens 23pds, de chief security officer van SlowMist, is de les simpel: een wallet die een paar tientjes goedkoper is, kan je alles kosten. Veel van dit soort scams ontstaan doordat derde partijen, zoals pakketverwerkers, zonder het te weten meewerken aan het verspreiden van aangepaste hardware.

“Je denkt dat je bespaart, maar eigenlijk zet je je hele vermogen op het spel.”

Meer crypto-malware op de markt

Dit is geen incident. Eerder dit jaar werd een Chinese printerfabrikant betrapt op het meeleveren van malware in officiële software. De schade: bijna $1 miljoen aan Bitcoin. Ook ontdekte Kaspersky duizenden Android-telefoons met voorgeïnstalleerde malware die gevoelige data rooft, waaronder toegang tot wallets.

Slim omgaan met self-custody

Zelf je crypto bewaren blijft belangrijk, maar dan moet je wel zeker weten dat je wallet betrouwbaar is. Laat je niet verleiden door kortingen of mooie beloftes op social media. Een goede cold wallet koop je direct bij de fabrikant of bij een erkende distributeur. Alles daarbuiten is gokken met je portfolio.