Na-update ang artikulong ito na may mga komento mula sa isang tagapagsalita ng Ledger.
Isang Brazilian security researcher ang nakatuklas ng isang sopistikadong operasyon ng pekeng Ledger device matapos matuklasan ang binagong hardware na idinisenyo upang magnakaw ng cryptocurrency mula sa mga walang kamalay-malay na gumagamit.
Ang security researcher, na kilala online bilang “Past_Computer2901,” ay nagbahagi ng mga natuklasan sa Reddit matapos bumili ng tila isang karaniwang Ledger Nano S Plus mula sa isang Chinese marketplace.
Sa kabila ng packaging at presyo na tumutugma sa opisyal na pamantayan ng tingi, nabigo ang unit sa isang “Genuine Check” nang konektado sa tunay na Ledger Live desktop application.
Ang pulang bandila na ito ay humantong sa isang pisikal na pagtatanggal ng device, na nagbubunyag na ang panloob na sirkito ay binago upang isama ang mga WiFi at Bluetooth antenna—mga feature na ganap na wala sa lehitimong modelo.
Ginagamit ng mga scammer ang mga pinakialamang device na ito upang pagsamantalahan ang mga first-time na bumibili sa pamamagitan ng isang mapanlinlang na proseso ng setup.
Ang isang QR code na kasama sa packaging ay nagdidirekta sa mga user sa isang mapanlinlang na bersyon ng Ledger Live app, na naka-program upang i-bypass ang mga babala sa seguridad at magbigay ng pekeng veripikasyon ng awtentisidad ng hardware.
Kapag sinunod ng isang user ang mga prompt upang bumuo o magpasok ng isang seed phrase, kinukuha ng nakompromisong firmware ang data, na nagpapahintulot sa mga attacker na ubusin ang wallet sa anumang oras na gusto nila.
“Hindi ito nilayon na magdulot ng takot, kundi upang magsilbing seryosong babala — Sa totoo lang, medyo nanginginig pa rin ako sa laki ng operasyong ito,” sabi ng researcher.
Ipinakita ng internal analysis ng unit na labis na pinagsikapan ng mga scammer na itago ang panloloko, kabilang ang pagkakaskas ng orihinal na marka ng chip.
Pekeng Ledger device. Pinagmulan: Reddit.
Bagama't ang device ay unang kinilala ang sarili bilang isang Nano S Plus 7704 sa panahon ng boot phase, ibinunyag ng huling sequence ang manufacturer bilang Espressif Systems, isang semiconductor firm na nakabase sa Shanghai.
Ang mga modipikasyong ito ay lubhang sumisira sa seguridad ng mga produkto ng Ledger, na binuo upang panatilihin ang mga private key sa isang mahigpit na offline na kapaligiran.
“Kapag bumibili mula sa isang marketplace, mariing hinihikayat ng Ledger ang mga user na beripikahin ang pagkakakilanlan ng nagbebenta. Dapat tiyakin ng mga user na i-download lamang nila ang opisyal na Ledger Wallet apps sa desktop at mobile. Ang sitwasyon ay kinasasangkutan ng pekeng hardware, ipinares sa isang pekeng companion app flow na idinisenyo upang gayahin ang proseso ng onboarding, na ipinamahagi sa pamamagitan ng hindi opisyal na channel,” sinabi ng isang tagapagsalita ng Ledger sa crypto.news.
“Hinding-hindi hihingin ng Ledger sa mga user ang kanilang 24 na salita. Kung sinuman ang nagpapanggap na Ledger, o anumang app na nagpapakilalang Ledger app, ay humingi ng iyong 24 na salita, dapat mong agad na ipagpalagay na ito ay isang scam,” dagdag nila.
Ang pagtuklas ay sumunod sa isang hiwalay na insidente noong unang bahagi ng buwang ito kung saan nilampasan ng isang mapanlinlang na app ang seguridad ng Apple App Store sa pamamagitan ng taktikang bait-and-switch. Matagumpay na nilinlang ng malisyosong software ang mahigit 50 tao na ibunyag ang kanilang mga recovery phrase, na nagresulta sa pagnanakaw ng $9.5 milyon bago inalis ng platform ang listahan. Naalis na ang app dahil sa malisyosong bait-and-switch functionality, ayon sa Apple.
“Manatiling ligtas. I-download lamang ang Ledger Live mula sa ledger.com. Bumili lamang ng hardware mula sa ledger.com. Kung nabigo ang iyong device sa Genuine Check — ihinto ang paggamit nito kaagad,” babala ng researcher.
