این مقاله با نظرات سخنگوی لجر به‌روزرسانی شده است.

یک پژوهشگر امنیتی برزیلی، پس از کشف سخت‌افزار دستکاری‌شده‌ای که برای سرقت رمزارز از کاربران ناآگاه طراحی شده بود، عملیات پیچیده‌ای از دستگاه‌های تقلبی لجر را فاش کرد.

این پژوهشگر امنیتی، که آنلاین با نام مستعار "Past_Computer2901" شناخته می‌شود، یافته‌های خود را در ردیت پس از خرید آنچه به نظر یک لجر نانو اس پلاس استاندارد از یک بازار آنلاین چینی می‌رسید، به اشتراک گذاشت.

با وجود اینکه بسته‌بندی و قیمت با استانداردهای رسمی خرده‌فروشی مطابقت داشت، دستگاه هنگام اتصال به اپلیکیشن دسکتاپ اصلی لجر لایو (Ledger Live) در "بررسی اصالت" شکست خورد.

این نشانه هشدار دهنده منجر به کالبدشکافی فیزیکی دستگاه شد و نشان داد که مدارهای داخلی آن برای شامل شدن آنتن‌های وای‌فای و بلوتوث تغییر یافته‌اند – ویژگی‌هایی که کاملاً در مدل قانونی وجود ندارند.

دستکاری سخت‌افزاری و تغییر مسیرهای مخرب

کلاهبرداران از این دستگاه‌های دستکاری‌شده برای سوءاستفاده از خریداران اولیه از طریق یک فرآیند راه‌اندازی فریبنده استفاده می‌کنند.

یک کد QR که در بسته‌بندی گنجانده شده، کاربران را به نسخه جعلی اپلیکیشن لجر لایو هدایت می‌کند که برای دور زدن هشدارهای امنیتی و صدور یک تأییدیه جعلی از اصالت سخت‌افزار برنامه‌ریزی شده است.

هنگامی که کاربر دستورالعمل‌ها را برای تولید یا وارد کردن عبارت بازیابی دنبال می‌کند، فریم‌ور آلوده داده‌ها را ضبط می‌کند و به مهاجمان اجازه می‌دهد تا کیف پول را به میل خود خالی کنند.

این پژوهشگر خاطرنشان کرد: "این به معنای ایجاد وحشت نیست، بلکه به عنوان یک هشدار جدی است — من هنوز هم از ابعاد وسیع این عملیات کمی شوکه هستم."

تحلیل داخلی دستگاه نشان داد که کلاهبرداران برای پنهان کردن این کلاهبرداری، از جمله پاک کردن علائم اصلی تراشه، تلاش‌های زیادی کرده‌اند.

دستگاه تقلبی لجر. منبع: ردیت. 

در حالی که دستگاه در ابتدا خود را به عنوان Nano S Plus 7704 در مرحله بوت معرفی می‌کرد، دنباله نهایی سازنده را Espressif Systems، یک شرکت نیمه‌رسانای مستقر در شانگهای، نشان داد.

این تغییرات اساساً فرض امنیتی محصولات لجر را که برای نگهداری کلیدهای خصوصی در یک محیط کاملاً آفلاین ساخته شده‌اند، از بین می‌برد.

سخنگوی لجر به crypto.news گفت: "هنگام خرید از یک بازار آنلاین، لجر قویاً کاربران را تشویق می‌کند تا هویت فروشنده را تأیید کنند. کاربران باید اطمینان حاصل کنند که فقط برنامه‌های رسمی کیف پول لجر را روی دسکتاپ و موبایل دانلود می‌کنند. این وضعیت شامل سخت‌افزار تقلبی بود که با یک جریان برنامه همراه جعلی طراحی شده برای شبیه‌سازی فرآیند راه‌اندازی، از طریق کانال‌های غیررسمی توزیع شده بود."

آنها افزودند: "لجر هرگز از کاربران ۲۴ کلمه آنها را درخواست نخواهد کرد. اگر کسی ادعا کند لجر است، یا هر برنامه‌ای که به نظر می‌رسد یک برنامه لجر است، ۲۴ کلمه شما را درخواست کند، باید فوراً فرض کنید که یک کلاهبرداری است."

این کشف به دنبال حادثه جداگانه‌ای در اوایل این ماه صورت گرفت که در آن یک برنامه کلاهبرداری با استفاده از ترفند "بیت-اند-سوییچ" (فریب و تغییر) امنیت اپ استور اپل را دور زد. این نرم‌افزار مخرب با موفقیت بیش از ۵۰ نفر را فریب داد تا عبارات بازیابی خود را فاش کنند که منجر به سرقت ۹.۵ میلیون دلار شد پیش از اینکه پلتفرم آن را حذف کند. به گفته اپل، این برنامه از آن زمان به دلیل عملکرد مخرب "بیت-اند-سوییچ" حذف شده است.

این پژوهشگر هشدار داد: "ایمن باشید. فقط لجر لایو را از ledger.com دانلود کنید. فقط سخت‌افزار را از ledger.com بخرید. اگر دستگاه شما در "بررسی اصالت" شکست خورد — فوراً استفاده از آن را متوقف کنید."