本文已更新,包含 Ledger 發言人的評論。
一名巴西安全研究員發現了一個複雜的偽造 Ledger 裝置行動,因他發現了被修改的硬體,其目的是從毫無戒心的用戶那裡竊取加密貨幣。
這名在網路上稱為「Past_Computer2901」的安全研究員,在從一個中國市場購買了一個看似標準的 Ledger Nano S Plus 後,於 Reddit 上分享了其發現。
儘管其包裝和價格點符合官方零售標準,但當連接到正版 Ledger Live 桌面應用程式時,該裝置未能通過「正品檢查」。
這個危險信號促使對該裝置進行了實體拆解,結果顯示其內部電路已被改動,包含了 WiFi 和藍牙天線——這些功能在合法型號中是完全沒有的。
詐騙者正利用這些被竄改的裝置,通過欺騙性的設置流程來剝削首次購買者。
包裝中包含的一個 QR 碼會引導用戶前往一個詐騙性的 Ledger Live 應用程式版本,該應用程式被編程為繞過安全警告並發出硬體真實性的虛假驗證。
一旦用戶按照提示生成或輸入助記詞,被竄改的韌體就會捕獲這些數據,讓攻擊者隨意掏空錢包。
「這不是為了製造恐慌,而是為了發出嚴肅警告——坦白說,我仍然對這場行動的規模感到有些震驚,」該研究員指出。
對該裝置的內部分析顯示,詐騙者為了隱藏欺詐行為不遺餘力,包括刮掉原始晶片標記。
偽造的 Ledger 裝置。來源:Reddit。
雖然該裝置在啟動階段最初將自己識別為 Nano S Plus 7704,但最終序列顯示製造商為樂鑫科技(Espressif Systems),這是一家總部位於上海的半導體公司。
這些修改從根本上破壞了 Ledger 產品的安全前提,該產品旨在將私鑰嚴格保存在離線環境中。
「當從市場購買時,Ledger 強烈建議用戶驗證賣家的身份。用戶應確保只在桌面和行動裝置上下載官方的 Ledger Wallet 應用程式。這次事件涉及偽造的硬體,以及一個旨在模擬入門流程的虛假配套應用程式,這些都通過非官方管道散佈,」Ledger 發言人告訴 crypto.news。
他們補充說:「Ledger 絕不會向用戶索取他們的 24 個助記詞。如果任何聲稱是 Ledger 的人,或任何自稱是 Ledger 應用程式的應用程式,要求您提供 24 個助記詞,您應該立即認為這是詐騙。」
這次發現之前,本月初發生了一起單獨事件,一個欺詐性應用程式通過「誘餌和轉換」(bait-and-switch) 策略繞過了 Apple App Store 的安全檢查。該惡意軟體成功欺騙了 50 多人洩露他們的恢復短語,導致 950 萬美元被盜,隨後平台才將該應用程式下架。據 Apple 稱,該應用程式因惡意「誘餌和轉換」功能已被移除。
「請保持警惕。只從 ledger.com 下載 Ledger Live。只從 ledger.com 購買硬體。如果您的裝置未能通過正品檢查——請立即停止使用,」研究員警告道。
