Cơ bản
Giao ngay
Giao dịch tiền điện tử một cách tự do
Giao dịch ký quỹ
Tăng lợi nhuận của bạn với đòn bẩy
Chuyển đổi và Đầu tư định kỳ
0 Fees
Giao dịch bất kể khối lượng không mất phí không trượt giá
ETF
Sản phẩm ETF có thuộc tính đòn bẩy giao dịch giao ngay không cần vay không cháy tải khoản
Giao dịch trước giờ mở cửa
Giao dịch token mới trước niêm yết
Futures
Truy cập hàng trăm hợp đồng vĩnh cửu
TradFi
Vàng
Một nền tảng cho tài sản truyền thống
Quyền chọn
Hot
Giao dịch với các quyền chọn kiểu Châu Âu
Tài khoản hợp nhất
Tối đa hóa hiệu quả sử dụng vốn của bạn
Giao dịch demo
Giới thiệu về Giao dịch hợp đồng tương lai
Nắm vững kỹ năng giao dịch hợp đồng từ đầu
Sự kiện tương lai
Tham gia sự kiện để nhận phần thưởng
Giao dịch demo
Sử dụng tiền ảo để trải nghiệm giao dịch không rủi ro
Launch
CandyDrop
Sưu tập kẹo để kiếm airdrop
Launchpool
Thế chấp nhanh, kiếm token mới tiềm năng
HODLer Airdrop
Nắm giữ GT và nhận được airdrop lớn miễn phí
Pre-IPOs
Mở khóa quyền truy cập đầy đủ vào các IPO cổ phiếu toàn cầu
Điểm Alpha
Giao dịch trên chuỗi và nhận airdrop
Điểm Futures
Kiếm điểm futures và nhận phần thưởng airdrop
Đầu tư
Simple Earn
Kiếm lãi từ các token nhàn rỗi
Đầu tư tự động
Đầu tư tự động một cách thường xuyên.
Sản phẩm tiền kép
Kiếm lợi nhuận từ biến động thị trường
Soft Staking
Kiếm phần thưởng với staking linh hoạt
Vay Crypto
0 Fees
Thế chấp một loại tiền điện tử để vay một loại khác
Trung tâm cho vay
Trung tâm cho vay một cửa
Ledger Nano S+ giả mạo rút tiền khỏi ví trên 20 chuỗi
Một nhà nghiên cứu bảo mật tại Brazil phát hiện hoạt động giả mạo Ledger Nano S+ sử dụng firmware độc hại và ứng dụng giả để rút tiền khỏi ví trên 20 blockchain.
Một nhà nghiên cứu bảo mật tại Brazil đã phơi bày một trong những hoạt động giả mạo Ledger Nano S+ tinh vi nhất từng được ghi nhận. Thiết bị giả mạo, lấy từ một chợ Trung Quốc, mang firmware độc hại tùy chỉnh và một ứng dụng sao chép. Kẻ tấn công ngay lập tức lấy đi tất cả các cụm từ seed mà người dùng nhập vào.
Nhà nghiên cứu đã mua thiết bị với nghi ngờ về các bất thường về giá cả. Khi mở ra, bản sao chép rõ ràng là giả mạo. Thay vì vứt bỏ, họ tiến hành tháo rời toàn bộ thiết bị.
Những gì ẩn bên trong Vi xử lý
Ledger Nano S+ chính hãng sử dụng chip Element Bảo mật ST33. Thiết bị này lại có một chip ESP32-S3. Các ký hiệu trên chip đã bị mài mòn để không thể nhận diện. Firmware tự nhận là “Ledger Nano S+ V2.1” — một phiên bản không tồn tại.
Các nhà điều tra phát hiện các seed và mã PIN được lưu trữ dưới dạng văn bản rõ sau khi thực hiện dump bộ nhớ. Firmware gửi tín hiệu đến một máy chủ điều khiển và chỉ huy tại kkkhhhnnn[.]com. Bất kỳ cụm từ seed nào nhập vào phần cứng này đều bị trộm cắp ngay lập tức.
Thiết bị hỗ trợ khoảng 20 blockchain để rút tiền khỏi ví. Đó không phải là một hoạt động nhỏ.
Năm phương thức tấn công, không chỉ một
Người bán đã đóng gói một ứng dụng “Ledger Live” đã chỉnh sửa cùng với thiết bị. Các nhà phát triển xây dựng ứng dụng này bằng React Native sử dụng Hermes v96 và ký bằng chứng chỉ Debug của Android. Kẻ tấn công không cần thiết phải có chữ ký hợp lệ.
Ứng dụng này kết nối vào XState để chặn các lệnh APDU. Nó sử dụng các yêu cầu XHR bí mật để lấy dữ liệu một cách im lặng. Các nhà điều tra xác định thêm hai máy chủ điều khiển và chỉ huy nữa: s6s7smdxyzbsd7d7nsrx[.]icu và ysknfr[.]cn.
Hoạt động này không giới hạn trên Android. Cũng có phiên bản phân phối dưới dạng .EXE cho Windows và .DMG cho macOS, giống như các chiến dịch do Moonlock theo dõi dưới tên AMOS/JandiInstaller. Một phiên bản TestFlight dành cho iOS cũng đang lưu hành, bỏ qua hoàn toàn quá trình kiểm duyệt của App Store — một chiến thuật từng liên quan đến các vụ lừa đảo CryptoRom. Tổng cộng có năm phương thức tấn công: phần cứng, Android, Windows, macOS, iOS.
Kiểm tra chính hãng không thể cứu bạn ở đây
Hướng dẫn chính thức của Ledger xác nhận rằng các thiết bị chính hãng có một bộ chìa khóa mã hóa bí mật được tạo ra trong quá trình sản xuất. Chức năng Kiểm tra Chính hãng của Ledger Wallet xác minh chìa khóa này mỗi lần thiết bị kết nối. Theo tài liệu hỗ trợ của Ledger, chỉ có thiết bị chính hãng mới vượt qua được kiểm tra đó.
Vấn đề rõ ràng. Một sự xâm phạm trong quá trình sản xuất làm cho mọi kiểm tra phần mềm trở nên vô nghĩa. Firmware độc hại giả mạo đủ các hành vi mong đợi để vượt qua các kiểm tra cơ bản. Nhà nghiên cứu đã xác nhận điều này trực tiếp trong quá trình tháo rời.
Các cuộc tấn công chuỗi cung ứng trong quá khứ nhắm vào người dùng Ledger đã nhiều lần cho thấy rằng việc xác minh chỉ ở cấp đóng gói là không đủ. Các trường hợp đã được ghi nhận trên BitcoinTalk cho thấy các người dùng riêng lẻ mất hơn 200.000 USD vì ví phần cứng giả mạo từ các chợ bên thứ ba.
Nơi bán các thiết bị này
Các chợ bên thứ ba là kênh phân phối chính. Người bán bên thứ ba trên Amazon, eBay, Mercado Livre, JD, và AliExpress đều có lịch sử đã được ghi nhận về việc niêm yết các ví phần cứng bị xâm phạm, nhà nghiên cứu lưu ý trong bài đăng Reddit trên r/ledgerwallet.
Mức giá đưa ra rất đáng ngờ. Đó chính là mồi nhử. Một nguồn không chính thức không bán Ledger giảm giá như một ưu đãi — họ bán một sản phẩm bị xâm phạm để lợi dụng kẻ tấn công.
Các kênh chính thức của Ledger là trang thương mại điện tử của họ tại Ledger.com và các cửa hàng đã xác thực trên Amazon ở 18 quốc gia. Không nơi nào khác đảm bảo tính xác thực.
Những gì nhà nghiên cứu sẽ làm tiếp theo
Nhóm đã chuẩn bị một báo cáo kỹ thuật toàn diện cho đội ngũ Donjon của Ledger và chương trình thưởng phát hiện lừa đảo của họ, và sẽ công bố toàn bộ bài viết sau khi Ledger hoàn tất phân tích nội bộ.
Nhà nghiên cứu đã cung cấp các IOCs cho các chuyên gia bảo mật khác qua tin nhắn trực tiếp. Bất kỳ ai mua thiết bị từ nguồn đáng ngờ đều có thể liên hệ để được hỗ trợ xác định.
Các dấu hiệu cảnh báo chính vẫn đơn giản. Một cụm từ seed đã được tạo sẵn đi kèm thiết bị là lừa đảo. Tài liệu yêu cầu người dùng nhập seed vào ứng dụng cũng là lừa đảo. Ngay lập tức tiêu hủy thiết bị trong mọi trường hợp.