Artikel ini telah diperbarui dengan komentar dari juru bicara Ledger.
Seorang peneliti keamanan Brasil telah mengungkap operasi perangkat Ledger palsu yang canggih setelah menemukan perangkat keras yang dimodifikasi yang dirancang untuk menguras kripto dari pengguna yang tidak curiga.
Peneliti keamanan tersebut, yang dikenal secara daring sebagai “Past_Computer2901,” membagikan temuannya di Reddit setelah membeli apa yang tampak seperti Ledger Nano S Plus standar dari pasar Tiongkok.
Meskipun kemasan dan titik harga sesuai dengan standar ritel resmi, unit tersebut gagal dalam “Pemeriksaan Keaslian” ketika terhubung ke aplikasi desktop Ledger Live yang asli.
Peringatan ini menyebabkan pembongkaran fisik perangkat, mengungkapkan bahwa sirkuit internal telah diubah untuk menyertakan antena WiFi dan Bluetooth—fitur yang sama sekali tidak ada pada model yang sah.
Penipu memanfaatkan perangkat yang dirusak ini untuk mengeksploitasi pembeli pertama kali melalui proses pengaturan yang menipu.
Kode QR yang disertakan dalam kemasan mengarahkan pengguna ke versi aplikasi Ledger Live yang curang, yang diprogram untuk melewati peringatan keamanan dan mengeluarkan verifikasi palsu mengenai keaslian perangkat keras.
Setelah pengguna mengikuti petunjuk untuk membuat atau memasukkan frasa benih (seed phrase), firmware yang disusupi akan menangkap data, memungkinkan penyerang untuk menguras dompet sesuka hati.
“Ini bukan untuk menyebabkan kepanikan, melainkan untuk menjadi peringatan serius — saya sejujurnya masih sedikit terguncang oleh skala operasi ini,” kata peneliti tersebut.
Analisis internal unit menunjukkan bahwa para penipu berusaha keras menyembunyikan penipuan tersebut, termasuk mengikis tanda-tanda chip asli.
Perangkat Ledger palsu. Sumber: Reddit.
Meskipun perangkat tersebut awalnya mengidentifikasi dirinya sebagai Nano S Plus 7704 selama fase boot, urutan terakhir mengungkapkan produsennya sebagai Espressif Systems, sebuah perusahaan semikonduktor yang berbasis di Shanghai.
Modifikasi ini secara fundamental merusak premis keamanan produk Ledger, yang dibangun untuk menjaga kunci pribadi dalam lingkungan yang sepenuhnya offline.
“Saat membeli dari marketplace, Ledger sangat menganjurkan pengguna untuk memverifikasi identitas penjual. Pengguna harus memastikan mereka hanya mengunduh aplikasi Ledger Wallet resmi di desktop dan seluler. Situasi ini melibatkan perangkat keras palsu, dipasangkan dengan aliran aplikasi pendamping palsu yang dirancang untuk mensimulasikan proses orientasi, didistribusikan melalui saluran tidak resmi,” kata juru bicara Ledger kepada crypto.news.
“Ledger tidak akan pernah meminta 24 kata Anda kepada pengguna. Jika ada siapa pun yang mengaku sebagai Ledger, atau aplikasi apa pun yang mengaku sebagai aplikasi Ledger, meminta 24 kata Anda, Anda harus segera menganggapnya sebagai penipuan,” tambah mereka.
Penemuan ini mengikuti insiden terpisah awal bulan ini di mana sebuah aplikasi penipuan melewati keamanan Apple App Store melalui taktik bait-and-switch. Perangkat lunak berbahaya tersebut berhasil menipu lebih dari 50 orang untuk mengungkapkan frasa pemulihan mereka, yang mengakibatkan pencurian $9,5 juta sebelum platform menghapus daftar tersebut. Aplikasi tersebut telah dihapus karena fungsionalitas bait-and-switch yang berbahaya, menurut Apple.
“Tetap aman di luar sana. Hanya unduh Ledger Live dari ledger.com. Hanya beli perangkat keras dari ledger.com. Jika perangkat Anda gagal dalam Pemeriksaan Keaslian — segera hentikan penggunaannya,” peneliti memperingatkan.
