一位巴西資安研究員警告大眾,當前有最新的假冒 Ledger 裝置詐騙,旨在竊取用戶的加密貨幣。
這位資安研究員週四在 Reddit 的「ledgerwallet」頻道以「Past_Computer2901」的身份發文表示,他購買了一台他認為是用於個人用途的正版 Ledger 裝置,但收到貨後很快意識到這是一個旨在竊取用戶資金的複雜仿冒品。
「這並不是為了引起恐慌,而是作為一個嚴肅的警告——我仍然對這次行動的規模感到震驚,」他說。
詐騙者正採取日益複雜的策略,針對選擇自我保管的用戶,從供應鏈攻擊到社交工程和授權詐騙。
本月初,超過 50 名受害者被誘騙在一個假冒的 Ledger Live 應用程式上洩露了他們的助記詞,該應用程式透過誘騙轉換策略進入了 Apple App Store。在 Apple 將惡意應用程式下架之前,受害者總共損失了 950 萬美元。
該研究員表示,他從一個中國市集購買了 Ledger Nano S Plus,其價格與官方 Ledger 商店相同。包裝和商品列表起初看起來也很正版。
然而,當他們將裝置連接到正版的 Ledger Live 應用程式——幸運的是,這個應用程式已經安裝在他們的電腦上——它未能通過 Ledger 內建的「正版驗證」。
這促使他們拆開了裝置,發現了經過修改的硬體和韌體,這些設計旨在捕捉和洩露敏感的錢包數據。
這位資安研究員表示,詐騙者鎖定首次使用 Ledger 的用戶,因為盒子裡的 QR code 通常會引導用戶下載惡意的 Ledger Live 應用程式版本,該版本會顯示一個假的「正版驗證」。
持續按照提示操作的用戶最終將讓詐騙者獲得用戶的助記詞,並隨時提取資金。
「請保持警惕。只從 ledger.com 下載 Ledger Live。只從 ledger.com 購買硬體,」這位資安研究員說。
「如果您的裝置未能通過正版驗證——請立即停止使用。」
拆開裝置後,他們發現了明顯的竄改跡象,包括芯片標記被刮掉,以及裝置內部嵌入了 WiFi 和藍牙天線。
正版 Ledger 硬體產品旨在將私鑰完全離線保存。
相關報導:音樂家因假冒 Ledger 應用程式損失 42 萬美元比特幣「退休金」
隨後,這位資安研究員檢查了韌體,將「芯片設定為啟動模式」,最初識別出該裝置為帶有序列號的 Nano S Plus 7704。
然而,一旦啟動序列完成,便顯示出另一個製造商的名稱:樂鑫科技(Espressif Systems),這是一家總部位於上海的中國上市半導體公司。
Cointelegraph 已聯繫樂鑫科技尋求評論,但尚未收到即時回覆。
雜誌:什麼是「網路國家」,現實生活中是否存在實例?大哉問
