Ledger Nano S+ Palsu Menguras Dompet di 20 Chain

Seorang peneliti keamanan yang berbasis di Brasil mengungkap operasi Ledger Nano S+ palsu yang menggunakan firmware berbahaya dan aplikasi palsu untuk menguras dompet di 20 blockchain.

Seorang peneliti keamanan yang berbasis di Brasil telah mengungkap salah satu operasi Ledger Nano S+ palsu paling canggih yang pernah didokumentasikan. Perangkat palsu tersebut, yang bersumber dari pasar Tiongkok, membawa firmware berbahaya khusus dan aplikasi kloning. Penyerang segera mencuri setiap seed phrase yang dimasukkan pengguna.

Peneliti membeli perangkat tersebut karena curiga dengan ketidakwajaran harga. Setelah membukanya, sifat palsunya jelas terlihat. Alih-alih membuangnya, pembongkaran penuh dilakukan.

Apa yang Tersembunyi di Dalam Chip

Ledger Nano S+ asli menggunakan chip ST33 Secure Element. Perangkat ini malah menggunakan ESP32-S3. Tanda pada chip telah diampelas secara fisik untuk menghalangi identifikasi. Firmware mengidentifikasi dirinya sebagai "Ledger Nano S+ V2.1" — versi yang tidak ada.

Penyelidik menemukan seed dan PIN yang disimpan dalam teks biasa setelah melakukan dump memori. Firmware mengirim sinyal ke server command-and-control di kkkhhhnnn[.]com. Setiap seed phrase yang dimasukkan ke dalam perangkat keras ini segera diekstraksi.

Perangkat ini mendukung sekitar 20 blockchain untuk menguras dompet. Ini bukan operasi kecil.

Lima Vektor Serangan, Bukan Satu

Penjual menggabungkan aplikasi "Ledger Live" yang dimodifikasi dengan perangkat. Pengembang membangun aplikasi dengan React Native menggunakan Hermes v96 dan menandatanganinya dengan sertifikat Android Debug. Penyerang tidak repot-repot mendapatkan tanda tangan yang sah.

Aplikasi terhubung ke XState untuk mencegat perintah APDU. Aplikasi menggunakan permintaan XHR tersembunyi untuk menarik data secara diam-diam. Penyelidik mengidentifikasi dua server command-and-control tambahan: s6s7smdxyzbsd7d7nsrx[.]icu dan ysknfr[.]cn.

Ini tidak terbatas pada Android. Operasi yang sama mendistribusikan .EXE untuk Windows dan .DMG untuk macOS, menyerupai kampanye yang dilacak oleh Moonlock di bawah AMOS/JandiInstaller. Versi iOS TestFlight juga beredar, melewati tinjauan App Store sepenuhnya — taktik yang sebelumnya terkait dengan penipuan CryptoRom. Total lima vektor: hardware, Android, Windows, macOS, iOS.

Pemeriksaan Keaslian Tidak Dapat Menyelamatkan Anda di Sini

Panduan resmi Ledger mengonfirmasi bahwa perangkat asli membawa kunci kriptografi rahasia yang ditetapkan selama manufaktur. Ledger Genuine Check di Ledger Wallet memverifikasi kunci ini setiap kali perangkat terhubung. Menurut dokumentasi dukungan Ledger, hanya perangkat asli yang dapat lolos pemeriksaan tersebut.

Masalahnya sederhana. Kompromi selama manufaktur membuat pemeriksaan perangkat lunak apa pun menjadi tidak berguna. Firmware berbahaya meniru perilaku yang diharapkan cukup untuk melewati pemeriksaan dasar. Peneliti mengonfirmasi ini secara langsung dalam pembongkaran.

Serangan rantai pasokan yang menargetkan pengguna Ledger di masa lalu telah berulang kali menunjukkan bahwa verifikasi tingkat pengemasan saja tidak cukup. Kasus terdokumentasi di BitcoinTalk mencatat pengguna individu kehilangan lebih dari $200.000 karena dompet perangkat keras palsu dari pasar pihak ketiga.

Di Mana Perangkat Ini Dijual

Pasar pihak ketiga adalah saluran distribusi utama. Penjual pihak ketiga Amazon, eBay, Mercado Livre, JD, dan AliExpress semuanya memiliki riwayat terdokumentasi dalam mencantumkan dompet perangkat keras yang disusupi, catat peneliti dalam postingan Reddit di r/ledgerwallet.

Titik harga dengan sengaja mencurigakan. Itulah umpannya. Sumber tidak resmi tidak menawarkan Ledger diskon sebagai kesepakatan—ia menjual produk yang disusupi untuk menguntungkan penyerang.

Saluran resmi Ledger adalah situs e-commerce sendiri di Ledger.com dan toko Amazon terverifikasi di 18 negara. Tidak ada tempat lain yang memberikan jaminan keaslian.

Apa yang Akan Dilakukan Peneliti Selanjutnya

Tim menyiapkan laporan teknis komprehensif untuk tim Donjon Ledger dan program bounty phishing-nya, dan akan merilis tulisan lengkap setelah Ledger menyelesaikan analisis internalnya.

Peneliti telah menyediakan IOC kepada profesional keamanan lain melalui pesan langsung. Siapa pun yang membeli perangkat dari sumber yang meragukan dapat menghubungi untuk bantuan identifikasi.

Bendera merah utama tetap sederhana. Seed phrase yang sudah dibuat sebelumnya yang disertakan dengan perangkat adalah penipuan. Dokumentasi yang meminta pengguna mengetik seed phrase ke dalam aplikasi adalah penipuan. Hancurkan perangkat segera dalam kedua kasus tersebut.

Postingan Counterfeit Ledger Nano S+ Drains Wallets Across 20 Chains muncul pertama kali di Live Bitcoin News.