Isang Brazilian security researcher ang nagbabala sa iba tungkol sa pinakabagong scam ng pekeng Ledger device na naglalayong nakawin ang crypto ng mga user.
Nag-post bilang “Past_Computer2901” sa Reddit channel na “ledgerwallet” noong Huwebes, sinabi ng security researcher na bumili sila ng akala nilang lehitimong Ledger device para sa personal na gamit, ngunit kalaunan ay napagtanto nila pagdating nito na ito ay isang sopistikadong peke na naglalayong nakawin ang mga pondo ng user.
“Hindi ito nilayon na magdulot ng takot, kundi upang magsilbing seryosong babala — sa totoo lang, medyo nanginginig pa rin ako sa laki ng operasyong ito,” sabi nila.
Gumagamit ang mga scammer ng lalong sopistikadong mga estratehiya upang puntiryahin ang mga user na pumipili ng self-custody, mula sa supply chain attacks hanggang sa social engineering at approval scams.
Mas maaga ngayong buwan, mahigit 50 biktima ang naloko upang ibunyag ang kanilang mga seed phrase sa isang pekeng Ledger Live app na nakapasok sa Apple App Store sa pamamagitan ng estratehiyang bait-and-switch. Nawalan ang mga biktima ng pinagsamang $9.5 milyon bago inalis ng Apple ang malisyosong app.
Sinabi ng researcher na binili niya ang Ledger Nano S Plus mula sa isang Chinese marketplace, na pareho ang presyo sa opisyal na Ledger store. Ang packaging at ang listing ay mukha ring lehitimo sa simula.
Gayunpaman, nang ikinabit nila ang device sa tunay na Ledger Live app — na sa kabutihang palad ay nakainstall na sa kanilang computer — bumagsak ito sa built-in na “Genuine Check” ng Ledger.
Dahil dito, binuksan nila ang device, at natuklasan ang binagong hardware at firmware na idinisenyo upang makuha at ilantad ang sensitibong data ng wallet.
Sinabi ng security researcher na target ng mga scammer ang mga unang beses na gumagamit ng Ledger, dahil ang QR code na kasama sa kahon ay karaniwang magdidirekta sa mga user na mag-download ng isang malisyosong bersyon ng Ledger Live app na magpapakita ng pekeng "Genuine Check.”
Ang mga user na patuloy na susunod sa mga prompt ay kalaunan ay magpapahintulot sa mga scammer na makuha ang mga seed phrase ng user at ubusin ang pondo anumang oras.
“Manatiling ligtas. I-download lamang ang Ledger Live mula sa ledger.com. Bilhin lamang ang hardware mula sa ledger.com,” sabi ng security researcher.
“Kung bumagsak ang iyong device sa Genuine Check — itigil agad ang paggamit nito.”
Matapos buksan ang device, natuklasan nila ang malinaw na mga palatandaan ng pagmamanipula, kabilang ang mga kiniskis na marka ng chip at isang WiFi at Bluetooth antenna na nakapaloob sa loob ng unit.
Ang mga lehitimong produkto ng Ledger hardware ay idinisenyo upang panatilihing ganap na offline ang mga pribadong key.
Kaugnay: Musician, nawalan ng $420K Bitcoin ‘retirement fund’ dahil sa pekeng Ledger app
Pagkatapos ay sinuri ng security researcher ang firmware, inilagay ang “chip into boot mode,” na sa simula ay kinilala ang device bilang isang Nano S Plus 7704 na may kalakip na serial number.
Gayunpaman, nang matapos ang boot sequence, lumitaw ang pangalan ng isa pang manufacturer: Espressif Systems, isang publicly listed na Chinese semiconductor company na nakabase sa Shanghai.
Nakipag-ugnayan ang Cointelegraph sa Espressif para sa komento ngunit hindi nakatanggap ng agarang tugon.
Magazine: Ano ang ‘Network State’ at mayroon ba itong mga halimbawa sa totoong buhay? Malalaking Tanong
