एक ब्राज़ीलियाई सुरक्षा शोधकर्ता ने उपयोगकर्ताओं की क्रिप्टो चुराने के उद्देश्य से नवीनतम नकली लेजर डिवाइस घोटाले के बारे में दूसरों को चेतावनी दी है।
गुरुवार को "ledgerwallet" रेडिट चैनल पर "Past_Computer2901" के रूप में पोस्ट करते हुए, सुरक्षा शोधकर्ता ने कहा कि उन्होंने एक वैध लेजर डिवाइस खरीदा था जिसे वे व्यक्तिगत उपयोग के लिए मानते थे, लेकिन जल्द ही यह आने के बाद उन्हें एहसास हुआ कि यह उपयोगकर्ता के धन को चुराने के उद्देश्य से एक परिष्कृत नकली डिवाइस था।
उन्होंने कहा, "इसका उद्देश्य घबराहट पैदा करना नहीं है, बल्कि एक गंभीर चेतावनी के रूप में काम करना है — मैं ईमानदारी से अभी भी इस ऑपरेशन के विशाल पैमाने से थोड़ा हिल गया हूँ।"
स्कैमर्स सेल्फ-कस्टडी का विकल्प चुनने वाले उपयोगकर्ताओं को निशाना बनाने के लिए तेजी से परिष्कृत रणनीतियाँ अपना रहे हैं, जिनमें सप्लाई चेन अटैक से लेकर सोशल इंजीनियरिंग और अप्रूवल स्कैम शामिल हैं।
इस महीने की शुरुआत में, 50 से अधिक पीड़ितों को एक नकली लेजर लाइव ऐप पर अपनी सीड वाक्यांशों का खुलासा करने के लिए छल किया गया था, जो एक बेट-एंड-स्विच रणनीति के माध्यम से ऐप्पल ऐप स्टोर में अपनी जगह बना चुका था। ऐप्पल द्वारा दुर्भावनापूर्ण ऐप को हटाने से पहले पीड़ितों ने कुल 9.5 मिलियन डॉलर गंवा दिए थे।
शोधकर्ता ने कहा कि उन्होंने लेजर नैनो एस प्लस एक चीनी बाज़ार से खरीदा था, जिसकी कीमत आधिकारिक लेजर स्टोर के समान थी। पैकेजिंग और लिस्टिंग भी शुरू में वैध प्रतीत हुई।
हालांकि, जब उन्होंने डिवाइस को असली लेजर लाइव ऐप से जोड़ा — जो सौभाग्य से उनके कंप्यूटर पर पहले से इंस्टॉल था — तो यह लेजर के बिल्ट-इन "जेनुइन चेक" में विफल रहा।
इसने उन्हें डिवाइस को अलग करने के लिए प्रेरित किया, जिससे उन्हें संशोधित हार्डवेयर और फर्मवेयर मिला, जिसे संवेदनशील वॉलेट डेटा को कैप्चर करने और उजागर करने के लिए डिज़ाइन किया गया था।
सुरक्षा शोधकर्ता ने कहा कि स्कैमर्स पहली बार लेजर उपयोगकर्ताओं को निशाना बनाते हैं, क्योंकि बॉक्स में आने वाला QR कोड सामान्य रूप से उपयोगकर्ताओं को लेजर लाइव ऐप का एक दुर्भावनापूर्ण संस्करण डाउनलोड करने के लिए निर्देशित करेगा जो एक नकली "जेनुइन चेक" दिखाएगा।
जो उपयोगकर्ता संकेतों का पालन करना जारी रखेंगे, वे अंततः स्कैमर्स को उपयोगकर्ता की सीड वाक्यांशों को प्राप्त करने और किसी भी समय धन निकालने की अनुमति देंगे।
सुरक्षा शोधकर्ता ने कहा, "वहाँ सुरक्षित रहें। लेजर लाइव केवल ledger.com से डाउनलोड करें। हार्डवेयर केवल ledger.com से खरीदें।"
"यदि आपका डिवाइस जेनुइन चेक में विफल रहता है — तो इसे तुरंत उपयोग करना बंद कर दें।"
डिवाइस को अलग करने के बाद, उन्होंने छेड़छाड़ के स्पष्ट संकेत पाए, जिसमें खरोंचे हुए चिप के निशान और यूनिट के अंदर एक वाईफ़ाई और ब्लूटूथ एंटीना एम्बेडेड था।
वैध लेजर हार्डवेयर उत्पादों को निजी कुंजी को पूरी तरह से ऑफ़लाइन रखने के लिए डिज़ाइन किया गया है।
संबंधित: नकली लेजर ऐप के माध्यम से संगीतकार ने $420K बिटकॉइन 'रिटायरमेंट फंड' खो दिया
सुरक्षा शोधकर्ता ने तब फर्मवेयर की जांच की, "चिप को बूट मोड में डाला", जिसने शुरू में डिवाइस को संलग्न सीरियल नंबर के साथ नैनो एस प्लस 7704 के रूप में पहचाना।
हालांकि, बूट सीक्वेंस पूरा होने के बाद, एक और निर्माता का नाम सामने आया: एस्प्रेसिफ सिस्टम्स, शंघाई स्थित एक सार्वजनिक रूप से सूचीबद्ध चीनी सेमीकंडक्टर कंपनी।
कॉइनटेग्राफ ने टिप्पणी के लिए एस्प्रेसिफ से संपर्क किया, लेकिन तुरंत कोई प्रतिक्रिया नहीं मिली।
मैगज़ीन: 'नेटवर्क स्टेट' क्या है और क्या इसके वास्तविक जीवन के उदाहरण हैं? बड़े प्रश्न
