假冒的 Ledger Nano S+ 竊取 20 條鏈上的錢包

一位巴西的安全研究員揭露了一個利用惡意韌體和假應用程序， Drain wallets across 20 blockchains 的假冒 Ledger Nano S+ 操作。

一位巴西的安全研究員揭露了史上最複雜的假冒 Ledger Nano S+ 操作之一。該假冒裝置來自中國市場，搭載定制的惡意韌體和克隆的應用程序。攻擊者立即竊取了用戶輸入的每個種子短語。

研究員懷疑該裝置存在價格異常，才進行購買。打開後，假冒的跡象一目了然。為了進一步調查，並未丟棄，而是進行了全面拆解。

芯片內藏了什麼秘密

正品 Ledger Nano S+ 使用 ST33 安全元件芯片。而這個假貨則裝配了 ESP32-S3。芯片上的標記被物理磨平，無法辨識。韌體自我識別為“Ledger Nano S+ V2.1”——一個不存在的版本。

調查人員在記憶體轉儲後發現，種子和PIN碼以明文存儲。韌體向 kkkhhhnnn[.]com 的指揮控制伺服器發出信號。輸入到這個硬體的任何種子短語都會立即被竊取。

該裝置支持大約20個區塊鏈的錢包 draining，這不是一個小規模的操作。

五種攻擊途徑，不止一種

賣家將修改過的“Ledger Live”應用與裝置捆綁銷售。開發者使用 React Native 搭配 Hermes v96 製作應用，並用 Android Debug 證書簽名。攻擊者並未取得正式簽名。

該應用利用 XState 攔截 APDU 命令，並用隱秘的 XHR 請求悄悄提取資料。調查人員找到另外兩個指揮控制伺服器：s6s7smdxyzbsd7d7nsrx[.]icu 和 ysknfr[.]cn。

這不僅限於 Android。相同的操作還分發 Windows 的 .EXE 和 macOS 的 .DMG，類似 Moonlock 在 AMOS/JandiInstaller 追蹤的攻擊活動。還有一個 iOS TestFlight 版本在流通，完全繞過 App Store 審核——這種手法曾與 CryptoRom 詐騙有關。總共五個攻擊途徑：硬體、Android、Windows、macOS、iOS。

正品驗證無法救你

Ledger 官方指南確認，正品裝置在出廠時會生成一組秘密的加密鑰匙。Ledger Wallet 的正品驗證會在每次連接時檢查這個密鑰。根據 Ledger 支援文件，只有正品裝置才能通過該驗證。

問題很簡單：在出廠時被攻破的韌體模仿了足夠多的正常行為，能繞過基本檢查。研究員在拆解過程中親自確認了這一點。

過去針對 Ledger 用戶的供應鏈攻擊多次證明，僅靠包裝層級的驗證是不夠的。BitcoinTalk 上的案例記錄，個別用戶在第三方市場購買的假硬體錢包損失超過20萬美元。

這些裝置在哪裡被販售

第三方市場是主要的銷售渠道。研究員指出，亞馬遜第三方賣家、eBay、Mercado Livre、JD 和 AliExpress 都有記錄在售受損硬體錢包的歷史。

價格異常是誘餌。非官方渠道不會提供折扣的 Ledger，反而是出售受損產品以利攻擊者。

Ledger 的官方渠道只有其自家電商網站 Ledger.com 和經過驗證的亞馬遜商店，遍布18個國家。其他地方都無法保證產品的真實性。

研究員接下來的行動

團隊已為 Ledger 的 Donjon 團隊和其釣魚獎金計劃準備了詳細的技術報告，並將在 Ledger 完成內部分析後公布完整內容。

研究員已通過直接訊息向其他安全專家提供 IOCs（指標）。任何從可疑來源購買裝置的人都可以聯繫以獲取識別協助。

最重要的警示依然簡單：隨裝置附帶的預生成種子短語是詐騙。要求用戶在應用中輸入種子短語的文件也是詐騙。無論哪種情況，都應立即銷毀裝置。