Isang Brazil-based na security researcher ang naglantad ng isang pekeng Ledger Nano S+ na operasyon gamit ang malisyosong firmware at pekeng app para maubos ang mga wallet sa 20 blockchain.
Inilantad ng isang researcher ng seguridad na nakabase sa Brazil ang isa sa mga pinaka-sopistikadong pekeng Ledger Nano S+mga operasyon na kailanman naidokumento. Ang pekeng device, na nagmula sa isang Chinese marketplace, ay naglalaman ng custom na nakakahamak na firmware at isang naka-clone na app. Agad na ninakaw ng attacker ang bawat seed phrase na ipinasok ng mga user.
Binili ng mananaliksik ang aparato sa hinala ng mga iregularidad sa presyo. Sa pagbukas nito, kitang-kita ang pekeng katangian. Sa halip na itapon ito, sumunod ang isang buong pagbagsak.
Ano ang Nakatago sa Loob ng Chip
Ang tunay na Ledger Nano S+ ay gumagamit ng ST33 Secure Element chip. Ang device na ito ay may ESP32-S3 sa halip. Ang mga marka ng chip ay pisikal na nilagyan ng buhangin upang harangan ang pagkakakilanlan. Kinilala ng firmware ang sarili nito bilang “Ledger Nano S+ V2.1” — isang bersyon na hindi umiiral.
Natagpuan ng mga imbestigador ang mga buto at PIN na nakaimbak sa plain text pagkatapos magsagawa ng memory dump. Nag-beacon ang firmware sa isang command-and-control server sa kkkhhhnnn[.]com. Ang anumang seed phrase na ipinasok sa hardware na ito ay agad na na-exfiltrate.
Sinusuportahan ng device ang humigit-kumulang 20 blockchain para sa pag-draining ng wallet. Hindi yun minor operation.
Limang Attack Vector, Hindi Isa
Nag-bundle ang nagbebenta ng binagong “Ledger Live” na app sa device. Binuo ng mga developer ang app gamit ang React Native gamit ang Hermes v96 at nilagdaan ito gamit ang isang Android Debug certificate. Ang mga umaatake ay hindi nag-abala sa pagkuha ng isang lehitimong lagda.
Ang app ay nakakabit sa XState upang harangin ang mga utos ng APDU. Gumagamit ito ng mga palihim na kahilingan ng XHR para tahimik na maglabas ng data. Tinukoy ng mga imbestigador ang dalawang karagdagang command-and-control server: s6s7smdxyzbsd7d7nsrx[.]icu at ysknfr[.]cn.
Hindi ito limitado sa Android. Ang parehong operasyon ay namamahagi ng isang .EXE para sa Windows at isang .DMG para sa macOS, na kahawig ng mga kampanyang sinusubaybayan ng Moonlock sa ilalim ng AMOS/JandiInstaller. AniOSAng bersyon ng TestFlight ay umiikot din, na lumalampas sa pagsusuri sa App Store nang buo — isang taktika na dati nang nauugnay sa mga scam ng CryptoRom. Limang vector ang kabuuan: hardware, Android, Windows, macOS, iOS.
Hindi Ka Maililigtas Dito ng Tunay na Check
Kinukumpirma ng opisyal na gabay ng Ledger na ang mga tunay na device ay may lihim na cryptographic key set sa panahon ng pagmamanupaktura. Bine-verify ng Ledger Genuine Check in Ledger Wallet ang key na ito sa tuwing kumokonekta ang isang device. Ayon sa Dokumentasyon ng suporta ng Ledger, isang tunay na device lang ang makakapasa sa tseke na iyon.
Diretso ang problema. Ang isang kompromiso sa panahon ng pagmamanupaktura ay ginagawang walang silbi ang anumang pagsusuri ng software. Ang nakakahamak na firmware ay sapat na ginagaya ang inaasahang gawi upang magpatuloy sa mga nakaraang pangunahing pagsusuri. Kinumpirma ito ng mananaliksik nang direkta sa teardown.
nakaraan pag-atake ng supply chain na nagta-target sa mga user ng Ledgerpaulit-ulit na ipinakita na ang pag-verify sa antas ng packaging ay hindi sapat. Ang mga dokumentadong kaso sa BitcoinTalk ay nagtatala ng mga indibidwal na user na natalo ng mahigit $200,000 sa mga pekeng hardware wallet mula sa mga third-party na marketplace.
Kung Saan Ibinebenta ang Mga Device na Ito
Ang mga third-party na marketplace ang pangunahing channel ng pamamahagi. Ang mga nagbebenta ng third-party ng Amazon, eBay, Mercado Livre, JD, at AliExpress ay lahat ay may dokumentado na mga kasaysayan ng listahan ng mga nakompromisong wallet ng hardware, binanggit ng mananaliksik sa Reddit post sa r/ledgerwallet.
Ang punto ng presyo ay sadyang kahina-hinala. Iyon ang pang-akit. Ang isang hindi opisyal na pinagmulan ay hindi nag-aalok ng may diskwentong Ledger bilang isang deal—nagbebenta ito ng nakompromisong produkto upang makinabang ang umaatake.
Ang mga opisyal na channel ng Ledger ay sarili nitong e-commerce na site sa Ledger.com at na-verify na mga tindahan ng Amazon sa 18 bansa. Wala saanman ang nagdadala ng anumang garantiya ng pagiging tunay.
Ano ang Susunod na Ginagawa ng Mananaliksik
Ang team ay naghanda ng isang komprehensibong teknikal na ulat para sa Donjon team ng Ledger at ang phishing bounty program nito, at ilalabas nito ang buong write-up pagkatapos makumpleto ng Ledger ang internal analysis nito.
Ginawa ng mananaliksik na magagamit ang mga IOC sa iba pang mga propesyonal sa seguridad sa pamamagitan ng mga direktang mensahe. Maaaring makipag-ugnayan ang sinumang bumili ng device mula sa isang kaduda-dudang pinagmulan para sa tulong sa pagkilala.
Ang mga pangunahing pulang bandila ay nananatiling simple. Ang isang paunang nabuong seed na parirala na kasama sa device ay isang scam. Ang dokumentasyon na humihiling sa mga user na mag-type ng seed phrase sa isang app ay isang scam. Wasakin kaagad ang device sa alinmang kaso.
Pinagmulan: Live Bitcoin News
Mag-iwan ng Tugon