Fałszywe portfele Ledger na rynku. Nowa fala ataków na portfele sprzętowe

/ Bezpieczenstwo, Portfel Sprzętowy, Scam / By / / CryptoWallets, security

W świecie kryptowalut często powtarza się jedno zdanie:

„Not your keys, not your coins.”

Dlatego wielu użytkowników przenosi środki z giełd na portfele sprzętowe. Problem w tym, że wraz ze wzrostem popularności hardware wallets pojawił się nowy typ ataków: supply chain attacks.

Nie chodzi już tylko o phishing.

Atakujący zaczęli manipulować samymi urządzeniami zanim trafią do użytkownika.

I właśnie pojawił się kolejny bardzo niepokojący przypadek dotyczący Ledger Nano S Plus.

Wykryto dużą operację fałszywych portfeli Ledger

Badacz bezpieczeństwa odkrył dużą operację dystrybucji podrobionych portfeli Ledger Nano S Plus, sprzedawanych m.in. na chińskich marketplace’ach.

Na pierwszy rzut oka urządzenia wyglądają identycznie jak oryginalne Ledgery.

Opakowanie, wygląd urządzenia, instrukcja – wszystko wygląda poprawnie.

Ale w środku znajduje się zupełnie inna elektronika.

Co znaleziono w fałszywym urządzeniu

Zamiast oryginalnego secure elementu Ledger, w urządzeniu znajdował się mikrokontroler ESP32.

To oznacza, że portfel był zaprojektowany nie do zabezpieczania kryptowalut, lecz do ich kradzieży.

Badacze odkryli między innymi:

• seed phrase zapisywany w zwykłym tekście (plain text)
• PIN również zapisywany bez zabezpieczeń
• dane wysyłane na serwery kontrolowane przez atakujących

Urządzenie działało na zmodyfikowanym firmware nazwanym:

Nano S+ V2.1

Obsługiwało około 20 blockchainów, aby wyglądać wiarygodnie.

W rzeczywistości każdy portfel utworzony na tym urządzeniu był natychmiast kompromitowany.

Środki mogły zostać opróżnione w dowolnym momencie.

Fałszywe aplikacje Ledger Live

Atak nie kończył się na samym urządzeniu.

Sprzedawcy dostarczali również fałszywą aplikację Ledger Live, stworzoną w React Native.

Aplikacja była podpisana debugowym certyfikatem i zawierała kod, który:

• przechwytywał transakcje
• zbierał dane portfela
• wysyłał je na serwery C2 (command and control)

Kampania obejmuje aż 5 różnych wektorów ataku

Według analizy badaczy operacja była bardzo szeroka.

Atak obejmował:

• zmodyfikowane urządzenia hardware
• fałszywe aplikacje Android APK
• złośliwe instalatory Windows EXE
• spreparowane instalatory macOS DMG
• aplikacje iOS dystrybuowane przez TestFlight, aby ominąć kontrolę App Store

To pokazuje, że atakujący nie skupiają się już tylko na jednej metodzie.

Budują cały ekosystem fałszywych narzędzi.

Dlaczego supply chain attacks są tak groźne

Wraz ze wzrostem bezpieczeństwa portfeli sprzętowych hakerzy zmienili strategię.

Zamiast łamać kryptografię, atakują najsłabszy element systemu: człowieka.

Dlatego manipulują:

• urządzeniami w trakcie wysyłki
• instrukcjami obsługi
• aplikacjami towarzyszącymi
• stronami instalacyjnymi

Użytkownik dostaje urządzenie, które wygląda w 100% legitnie.

A w rzeczywistości jest już kompromitowane.

Jak się chronić przed takim atakiem

Podstawowe zasady bezpieczeństwa:

1️⃣ Kupuj portfele tylko z oficjalnych źródeł

Nie kupuj hardware wallets z:

• marketplace’ów
• Allegro
• eBay
• nieznanych sklepów

2️⃣ Nigdy nie używaj urządzenia z gotowym seedem

Seed phrase zawsze generujesz samodzielnie na urządzeniu.

Jeśli seed jest w pudełku – to scam.

3️⃣ Nigdy nie wpisuj seed phrase w aplikacji

Seed wpisuje się tylko na urządzeniu hardware wallet.

Nigdy w aplikacji komputerowej.

Dlaczego używam Keystone 3 Pro

Od dłuższego czasu pokazuję na blogu i w materiałach Keystone 3 Pro jako jedną z najciekawszych alternatyw dla klasycznych portfeli sprzętowych.

I właśnie przy tego typu atakach widać, dlaczego.

Keystone został zaprojektowany tak, aby maksymalnie ograniczyć ryzyko manipulacji sprzętem i oprogramowaniem.

Weryfikacja autentyczności urządzenia

Każdy Keystone 3 Pro posiada wbudowany klucz weryfikacyjny urządzenia.

Podczas pierwszego uruchomienia można:

• zeskanować kod QR
• sprawdzić urządzenie na oficjalnej stronie Keystone

System porównuje kod wygenerowany przez urządzenie z kluczem producenta.

Jeśli wszystko się zgadza – urządzenie jest autentyczne.

Jeśli nie – oznacza to manipulację sprzętem.

To bardzo ważna funkcja w kontekście ataków supply chain.

Architektura air-gapped

Keystone działa w trybie air-gapped, czyli:

• brak połączenia USB
• brak Bluetooth
• brak WiFi

Transakcje podpisuje się poprzez kody QR.

To oznacza, że malware na komputerze nie ma bezpośredniego dostępu do urządzenia.

Secure element i open source

Keystone wykorzystuje:

chip Secure Element
open source firmware

To pozwala społeczności audytować kod urządzenia.

W świecie hardware wallets jest to bardzo ważny element transparentności.

Duży ekran i łatwiejsza weryfikacja transakcji

Keystone ma również duży ekran dotykowy.

Dzięki temu można dokładnie sprawdzić:

• adres odbiorcy
• kwotę
• szczegóły transakcji

Bez konieczności zgadywania na małym ekranie.

10% zniżki na Keystone

Jeśli planujesz zakup portfela sprzętowego, możesz skorzystać z 10% zniżki na Keystone 3 Pro.

Kliknij Tutaj!

Najważniejsza lekcja

W kryptowalutach bezpieczeństwo nie jest jednorazową decyzją.

To proces weryfikacji wszystkiego:

• sprzętu
• oprogramowania
• źródeł instalacji

Dlatego obowiązuje jedna zasada:

Trust nothing. Verify everything.

Na moich video znajdziesz więcej informacji na temat Keystone

Related Posts

Free E-Book

Basics of Cryptocurrency and blockchain technology