假 Ledger 钱包暴露隐藏芯片，窃取种子短语和 PIN 码

一名来自巴西的网络安全研究人员在从中国市场列表中购买了看起来合法且价格与官方商店相同的“Ledger”硬件钱包后，揭露了一场大规模的诈骗活动。从远处看包装似乎是原装的，但该设备是假冒的。

当研究人员将其连接到从 ledger.com 安装的 Ledger Live 时，它​​未通过正版检查，确认它不是真正的 Ledger 设备。这一故障导致研究人员打开设备并检查其内部硬件和固件。

克隆网站和恶意应用程序

在外壳内，研究人员发现了一个完全不同的芯片，而不是硬件钱包中使用的类型。芯片标记已被物理刮掉以隐藏身份。根据研究人员在 Reddit 上发布的帖子，该设备还包含 WiFi 和蓝牙天线，而真正的 Ledger Nano S+ 中没有这些天线。通过分析芯片布局，他们将其识别为具有内部闪存的 ESP32-S3。

当设备启动时，它最初将自己伪装成 Ledger Nano S+ 7704，并带有序列号和 Ledger 工厂标识，但后来透露了其真正的制造商是 Espressif Systems。

在转储固件并对其进行逆向工程后，研究人员发现在设备上创建的 PIN 码以明文形式存储。设备上生成的钱包中的种子短语也以明文形式存储。该固件还包含多个指向外部命令和控制服务器的硬编码域引用。这些发现表明，该设备旨在收集敏感的钱包数据，并链接到外部服务器。

研究人员还研究了这种攻击在实践中如何发挥作用。尽管硬件包含 WiFi 和蓝牙天线，但固件没有显示无线数据传输或 WiFi 接入点连接的证据。它还不包含用于击键注入或终端命令的不良 USB 脚本。相反，攻击似乎依赖于设备本身之外的用户交互。

据他们称，当用户扫描包装中的二维码时，骗局就开始了。此二维码会指向一个看起来像 ledger.com 的克隆网站。从那里，用户会被提示下载适用于 Android、iOS、Windows 或 Mac 的虚假“Ledger Live”应用程序。假冒应用程序显示一个总是通过的假冒正品检查屏幕。然后，用户创建钱包并写下助记词，相信设置是安全的。与此同时，假冒应用程序将种子短语泄露到攻击者控制的服务器上。

您可能还喜欢：

分析师捍卫 Circle 对 2.8 亿美元漂移黑客基金的不冻结立场

美国财政部将银行级威胁英特尔扩展到加密货币领域

Aethir 在遏制 Bridge Hack 后避免了重大危机：损失保持在 9 万美元以下

研究人员反编译了伪造的 Ledger Live 应用程序的 Android APK 版本，并发现了其他恶意行为。该应用程序是使用 React Native 和 Hermes 引擎构建的。它是使用 Android 调试证书而不是正确的签名密钥进行签名的。它拦截应用程序和设备之间的 APDU 命令，向外部服务器发出隐秘请求，并在关闭后继续在后台运行几分钟。

它还请求位置权限并使用公钥监控钱包余额，这使得攻击者能够跟踪存款和金额。

账本安全并非缺陷

研究人员表示，这不是零日漏洞，也不是 Ledger 安全设计的缺陷。 Ledger 的 Genuine Check 和 Secure Element 已被确认可以正常工作。相反，这被描述为结合了假冒硬件、恶意应用程序和外部基础设施的网络钓鱼操作。完整的操作包括带有 ESP32-S3 芯片的硬件设备、Android 和其他平台的木马应用程序以及用于数据泄露的命令和控制服务器。

研究人员还补充说，以前曾报道过假冒 Ledger 设备，但本次情况有所不同，因为它映射了整个系统，包括硬件、应用程序、基础设施以及通过与市场列表相关的空壳公司进行分发。研究人员已向 Ledger 的客户成功团队提交了一份报告，并正在准备一份完整的技术故障报告，进一步分析该恶意软件的 Windows、macOS 和 iOS 版本。

几年前，另一位 Reddit 用户报告称收到了 Ledger Nano X，包装看起来很真实，但里面的一封信因拼写和语法错误而引发了担忧。这封信声称这是数据泄露后的替代品。

一名安全专家后来发现该设备有一个闪存驱动器连接到 USB 连接器，旨在传播恶意软件和潜在的盗窃。