Un ricercatore di sicurezza brasiliano ha scoperto un falso Ledger Nano S Plus acquistato su un marketplace cinese, dotato di hardware modificato e antenna WiFi per sottrarre seed phrase.
Un ricercatore di sicurezza brasiliano, che si è identificato come “Past_Computer2901” sul canale Reddit “ledgerwallet”, ha pubblicato giovedì un’analisi dettagliata di un dispositivo Ledger contraffatto acquistato su un marketplace cinese. Il dispositivo, un Ledger Nano S Plus, era venduto allo stesso prezzo del negozio ufficiale Ledger e presentava una confezione apparentemente autentica. Solo dopo averlo collegato all’app Ledger Live genuina – già installata sul suo computer – il ricercatore si è accorto che il dispositivo non superava il “Genuine Check” integrato di Ledger.
Smontando il dispositivo, il ricercatore ha scoperto hardware e firmware modificati progettati per catturare ed esporre i dati sensibili del wallet. All’interno dell’unità erano presenti segni evidenti di manomissione, tra cui marcature dei chip raschiate e un’antenna WiFi e Bluetooth incorporata.
Secondo il ricercatore, il meccanismo della truffa è mirato in particolare agli utenti alle prime armi. Il QR code incluso nella confezione avrebbe dovuto indirizzare le vittime al download di una versione malevola dell’app Ledger Live, che avrebbe mostrato un finto “Genuine Check” superato con successo. Seguendo le istruzioni a schermo, gli utenti avrebbero finito per cedere le proprie seed phrase agli attaccanti, consentendo loro di svuotare i fondi in qualsiasi momento.
Analizzando il firmware, il ricercatore ha messo il chip in boot mode: inizialmente il dispositivo si è identificato come un Nano S Plus 7704 con un numero seriale associato. Al termine della sequenza di avvio, tuttavia, è comparso il nome di un altro produttore: Espressif Systems, un’azienda cinese di semiconduttori quotata in borsa e con sede a Shanghai.
L’episodio si inserisce in un contesto di crescente sofisticazione delle truffe rivolte agli utenti che optano per la self-custody. All’inizio di questo mese, oltre 50 vittime sono state ingannate inducendole a rivelare le proprie seed phrase tramite una falsa app Ledger Live apparsa sull’App Store di Apple. Le vittime hanno subito perdite complessive per 9,5 milioni di dollari prima che Apple rimuovesse l’app malevola.
