Dieser Artikel wurde mit Kommentaren eines Ledger-Sprechers aktualisiert.
Ein brasilianischer Sicherheitsforscher hat eine ausgeklügelte Fälschung von Ledger-Geräten aufgedeckt, nachdem er modifizierte Hardware entdeckt hatte, die darauf ausgelegt ist, Kryptowährungen von ahnungslosen Nutzern abzugreifen.
Der Sicherheitsforscher, online bekannt als „Past_Computer2901“, teilte seine Erkenntnisse auf Reddit mit, nachdem er ein scheinbar standardmäßiges Ledger Nano S Plus auf einem chinesischen Marktplatz gekauft hatte.
Obwohl die Verpackung und der Preis den offiziellen Einzelhandelsstandards entsprachen, schlug das Gerät einen „Echtheits-Check“ fehl, als es mit der authentischen Ledger Live Desktop-Anwendung verbunden wurde.
Diese rote Flagge führte zu einer physischen Zerlegung des Geräts, die offenbarte, dass die interne Schaltung geändert worden war, um WiFi- und Bluetooth-Antennen zu enthalten – Funktionen, die beim legitimen Modell völlig fehlen.
Betrüger nutzen diese manipulierten Geräte, um Erstkäufer durch einen täuschenden Einrichtungsprozess auszunutzen.
Ein in der Verpackung enthaltener QR-Code leitet Nutzer zu einer betrügerischen Version der Ledger Live App, die darauf programmiert ist, Sicherheitswarnungen zu umgehen und eine gefälschte Verifizierung der Echtheit der Hardware auszustellen.
Sobald ein Nutzer den Anweisungen folgt, um eine Seed-Phrase zu generieren oder einzugeben, fängt die kompromittierte Firmware die Daten ab, wodurch die Angreifer die Wallet nach Belieben leeren können.
„Dies soll keine Panik auslösen, sondern vielmehr eine ernsthafte Warnung sein – ich bin ehrlich gesagt immer noch etwas erschüttert über das Ausmaß dieser Operation“, bemerkte der Forscher.
Die interne Analyse des Geräts zeigte, dass die Betrüger große Anstrengungen unternahmen, den Betrug zu verbergen, einschließlich des Abkratzens ursprünglicher Chip-Markierungen.
Gefälschtes Ledger-Gerät. Quelle: Reddit.
Während sich das Gerät in der Startphase zunächst als Nano S Plus 7704 identifizierte, enthüllte die abschließende Sequenz den Hersteller als Espressif Systems, ein in Shanghai ansässiges Halbleiterunternehmen.
Diese Modifikationen untergraben grundlegend die Sicherheitsprämisse von Ledger-Produkten, die darauf ausgelegt sind, private Schlüssel in einer streng offline-Umgebung zu halten.
„Beim Kauf auf einem Marktplatz rät Ledger den Nutzern dringend, die Identität des Verkäufers zu überprüfen. Nutzer sollten sicherstellen, dass sie die offiziellen Ledger Wallet Apps nur auf Desktop- und Mobilgeräten herunterladen. Die Situation umfasste gefälschte Hardware, gepaart mit einem gefälschten Companion-App-Fluss, der darauf ausgelegt war, den Onboarding-Prozess zu simulieren, und über inoffizielle Kanäle verbreitet wurde“, sagte ein Ledger-Sprecher gegenüber crypto.news.
„Ledger wird Nutzer niemals nach ihren 24 Wörtern fragen. Wenn jemand, der behauptet, Ledger zu sein, oder eine App, die sich als Ledger-App ausgibt, nach Ihren 24 Wörtern fragt, sollten Sie sofort davon ausgehen, dass es sich um einen Betrug handelt“, fügten sie hinzu.
Die Entdeckung folgt auf einen separaten Vorfall Anfang des Monats, bei dem eine betrügerische App die Sicherheit des Apple App Store durch eine Bait-and-Switch-Taktik umging. Die bösartige Software brachte über 50 Personen erfolgreich dazu, ihre Wiederherstellungsphrasen preiszugeben, was zum Diebstahl von 9,5 Millionen Dollar führte, bevor die Plattform den Eintrag entfernte. Die App wurde inzwischen wegen bösartiger Bait-and-Switch-Funktionalität entfernt, so Apple.
„Bleiben Sie sicher da draußen. Laden Sie Ledger Live nur von ledger.com herunter. Kaufen Sie Hardware nur von ledger.com. Wenn Ihr Gerät den Echtheits-Check nicht besteht – stellen Sie die Nutzung sofort ein“, warnte der Forscher.
