Seorang peneliti keamanan asal Brasil telah memperingatkan bahaya skema penipuan perangkat Ledger palsu terbaru yang bertujuan mencuri kripto pengguna.
Dengan nama pengguna “Past_Computer2901” di saluran Reddit “ledgerwallet” pada Kamis, peneliti keamanan tersebut mengatakan bahwa ia membeli perangkat Ledger yang ia kira asli untuk penggunaan pribadi, namun tak lama setelah tiba, ia menyadari bahwa itu adalah barang palsu yang canggih yang bertujuan untuk mencuri dana pengguna.
“Ini bukan untuk menimbulkan kepanikan, melainkan untuk menjadi peringatan serius — saya sejujurnya masih sedikit terguncang oleh skala operasi ini,” katanya.
Penipu mengadopsi strategi yang semakin canggih untuk menargetkan pengguna yang memilih self-custody, mulai dari serangan rantai pasokan hingga rekayasa sosial dan penipuan persetujuan (approval scams).
Awal bulan ini, lebih dari 50 korban ditipu untuk mengungkapkan frasa pemulihan (seed phrases) mereka di aplikasi Ledger Live palsu yang berhasil masuk ke Apple App Store melalui strategi bait-and-switch. Para korban kehilangan total $9,5 juta sebelum Apple menghapus aplikasi berbahaya tersebut.
Peneliti tersebut mengatakan ia membeli Ledger Nano S Plus dari pasar online Tiongkok, yang harganya sama dengan toko resmi Ledger. Kemasan dan daftar produknya juga tampak asli pada awalnya.
Namun, ketika mereka menghubungkan perangkat tersebut ke aplikasi Ledger Live asli — yang untungnya sudah terpasang di komputer mereka — perangkat tersebut gagal dalam “Genuine Check” (Pemeriksaan Keaslian) bawaan Ledger.
Hal ini mendorong mereka untuk membongkar perangkat tersebut, dan menemukan perangkat keras serta firmware yang telah dimodifikasi yang dirancang untuk menangkap dan mengekspos data dompet yang sensitif.
Peneliti keamanan tersebut mengatakan bahwa para penipu menargetkan pengguna Ledger pemula, karena kode QR yang disertakan dalam kotak biasanya akan mengarahkan pengguna untuk mengunduh versi berbahaya dari aplikasi Ledger Live yang akan menampilkan "Genuine Check" palsu.
Pengguna yang terus mengikuti petunjuk tersebut pada akhirnya akan memungkinkan penipu untuk mendapatkan frasa pemulihan (seed phrases) pengguna dan menguras dana kapan saja.
“Tetaplah aman di luar sana. Hanya unduh Ledger Live dari ledger.com. Hanya beli perangkat keras dari ledger.com,” kata peneliti keamanan tersebut.
“Jika perangkat Anda gagal dalam Genuine Check — segera hentikan penggunaannya.”
Setelah membongkar perangkat, mereka menemukan tanda-tanda perusakan yang jelas, termasuk goresan pada tanda chip dan antena WiFi serta Bluetooth yang tertanam di dalam unit.
Produk perangkat keras Ledger yang asli dirancang untuk menjaga kunci pribadi (private keys) sepenuhnya offline.
Terkait: Musisi kehilangan $420 ribu Bitcoin ‘dana pensiun’ melalui aplikasi Ledger palsu
Peneliti keamanan tersebut kemudian memeriksa firmware, dengan mengaktifkan “mode boot chip,” yang awalnya mengidentifikasi perangkat sebagai Nano S Plus 7704 dengan nomor seri terlampir.
Namun, setelah urutan boot selesai, nama pabrikan lain muncul: Espressif Systems, sebuah perusahaan semikonduktor Tiongkok yang terdaftar secara publik yang berbasis di Shanghai.
Cointelegraph menghubungi Espressif untuk meminta komentar tetapi tidak menerima tanggapan segera.
Majalah: Apa itu ‘Network State’ dan apakah ada contoh nyata? Pertanyaan Besar
