Natuklasan ang Pekeng Ledger Device
Isang Brazilian na mananaliksik sa seguridad ang natuklasan ang isang sopistikadong operasyon ng pekeng Ledger device matapos niyang matuklasan ang binagong hardware na dinisenyo upang magnakaw ng cryptocurrency mula sa mga hindi nakakaalam na gumagamit. Ang mananaliksik, na kilala online bilang “Past_Computer2901,” ay nagbahagi ng kanyang mga natuklasan sa Reddit matapos bumili ng tila karaniwang Ledger Nano S Plus mula sa isang pamilihan sa Tsina.
Pagkakakilanlan ng Pekeng Device
Sa kabila ng packaging at presyo na tumutugma sa mga opisyal na pamantayan ng tingi, ang yunit ay nabigo sa isang “Genuine Check” nang ikonekta ito sa tunay na Ledger Live desktop application. Ang pulang bandila na ito ay nagdala sa isang pisikal na pagsusuri ng device, na nagpakita na ang panloob na circuitry ay binago upang isama ang WiFi at Bluetooth antennas—mga tampok na ganap na wala sa lehitimong modelo.
Paraan ng Panlilinlang
Ang mga scammer ay gumagamit ng mga nabagong device na ito upang samantalahin ang mga unang beses na bumibili sa pamamagitan ng isang mapanlinlang na proseso ng setup. Isang QR code na kasama sa packaging ay nagdidirekta sa mga gumagamit sa isang pekeng bersyon ng Ledger Live app, na naka-program upang lampasan ang mga babalang pangseguridad at magbigay ng pekeng beripikasyon ng pagiging tunay ng hardware.
Pagkuha ng Data at Panganib
Kapag sinundan ng isang gumagamit ang mga tagubilin upang bumuo o magpasok ng seed phrase, ang compromised firmware ay kumukuha ng data, na nagpapahintulot sa mga umaatake na ubusin ang wallet sa kanilang kagustuhan.
“Hindi ito nilalayong magdulot ng takot, kundi upang magsilbing seryosong babala — sa totoo lang, medyo naguguluhan pa ako sa laki ng operasyon na ito,”
sinabi ng mananaliksik.
Mga Hakbang sa Seguridad
Ang panloob na pagsusuri ng yunit ay nagpakita na ang mga scammer ay naglaan ng malaking pagsisikap upang itago ang pandaraya, kabilang ang pag-scrape ng mga orihinal na marka ng chip. Habang ang device ay unang nakilala ang sarili bilang isang Nano S Plus 7704 sa panahon ng boot phase, ang huling pagkakasunod-sunod ay nagpakita ng tagagawa bilang Espressif Systems, isang semiconductor firm na nakabase sa Shanghai.
Pagbabala sa mga Gumagamit
Ang mga pagbabagong ito ay lubos na sumisira sa premise ng seguridad ng mga produkto ng Ledger, na itinayo upang panatilihin ang mga pribadong susi sa isang mahigpit na offline na kapaligiran. Ang natuklasan ay sumusunod sa isang hiwalay na insidente mas maaga sa buwang ito kung saan ang isang pekeng app ay nakalusot sa seguridad ng Apple App Store sa pamamagitan ng isang bait-and-switch na taktika. Ang nakakahamak na software ay matagumpay na nakapanlinlang ng higit sa 50 tao upang ibunyag ang kanilang mga recovery phrases, na nagresulta sa pagnanakaw ng $9.5 milyon bago inalis ng platform ang listahan.
“Maging ligtas diyan. I-download lamang ang Ledger Live mula sa ledger.com. Bumili lamang ng hardware mula sa ledger.com. Kung ang iyong device ay nabigo sa Genuine Check — itigil ang paggamit nito kaagad,”
nagbabala ang mananaliksik. Tulad ng naunang iniulat ng crypto.news, ang mga scammer ay nag-target din ng mga customer ng Ledger gamit ang pekeng Ledger App.
