Eigentlich zu deinem Schutz.
Bei einem Paket wo „Shift Crypto“ drauf steht weiß sofort jeder um was es hier geht - und das erhöht das Risiko einer Supply-Chain Attacke.
Der Absender „Karl HODLmayr“ ist mir persönlich jetzt auch neu, kann sein dass der Versand aus Deutschland unter diesem Pseudonym läuft. Das müsste @Stadicus dann bestätigen können.
Aber davon abgesehen, du musst dir eigentlich keine Sorgen machen. Eine gefälschte BitBox02 würde den attestation check mit der BitBox App nicht bestehen - das läuft über den Secure Element. Es kann nur von Shift signierte Software auf der Hardware installiert werden.
Wenn jemand die BitBox02 öffnet wird sie damit auch direkt physisch zerstört.
Mehr dazu im Threat Model: