内置隐藏WiFi芯片的假冒Ledger钱包现身中国电商平台

内置隐藏WiFi芯片的假冒Ledger钱包现身中国电商平台 - Blockchain.News

据一位巴西安全研究人员透露，内置隐藏WiFi和蓝牙天线的假冒Ledger硬件钱包正以官方零售价在中国电商平台销售。该研究人员在购买自用时险些成为受害者。

这一发现于4月16日以"Past_Computer2901"的用户名发布在Reddit上，揭示了一起针对首次购买硬件钱包用户的供应链攻击。该假冒设备通过了外观检查，但在连接正版Ledger Live应用时未能通过Ledger内置的真伪验证。

"发布此文并非为了引起恐慌，而是作为一个严肃的警告——说实话，这次行动的规模之大至今仍让我感到震惊，"该研究人员写道。

假冒设备内部构造

在设备未能通过Ledger真伪检测后，研究人员将其拆解。发现的情况令人担忧：芯片标识被刮除，本应完全离线运行的设备内部却嵌入了无线通信硬件。

正品Ledger产品将私钥与联网系统进行物理隔离。WiFi和蓝牙功能的加入表明，该假冒设备可能会将窃取的助记词远程传输给攻击者。

深入分析固件后发现了更多危险信号。虽然该设备最初将自己识别为序列号看似有效的Nano S Plus 7704，但启动序列暴露了实际制造商：乐鑫信息科技（Espressif Systems），一家总部位于上海的半导体公司，与Ledger的供应链毫无关联。

Cointelegraph已联系乐鑫公司寻求评论，但未立即收到回复。

该骗局专门针对不熟悉Ledger生态系统的买家。包装中附带的二维码引导用户下载恶意版本的Ledger Live，而非ledger.com上的官方应用。

这个假冒应用显示伪造的"真伪检测"，看似验证了假冒硬件的合法性。继续完成设置流程的用户最终会输入助记词，从而让攻击者获得完全访问权限，可随时转移资金。

假冒硬件的发现距离另一起与Ledger相关的攻击事件登上头条仅数日。4月14日，区块链调查员ZachXBT报告称，一款通过苹果App Store分发的假冒Ledger Live应用在被苹果下架前已从50多名受害者处窃取了950万美元。

该攻击采用"偷梁换柱"策略绑过App Store审核，最初伪装成合法的生产力应用，之后更新为模仿Ledger官方软件。

这些事件共同表明，诈骗者正投入大量资源来攻击选择自托管而非中心化交易所的用户。假冒硬件行动需要制造定制PCB、嵌入无线组件、开发修改版固件以及制作逼真的包装——如此规模的行动表明有组织犯罪的参与。

该研究人员的建议很简单：只从官方制造商网站购买硬件钱包，只从经过验证的来源下载配套应用，并将任何未能通过真伪检测的设备视为已被入侵。

"如果你的设备未能通过真伪检测——请立即停止使用，"他们警告道。

对于零售价在59至85美元之间的Ledger Nano S Plus，中国电商平台上的定价与官方价格一致——这意味着买家在购买前没有任何价格异常的警示信号。

Image source: Shutterstock