Perangkat Ledger Palsu yang Dibeli di Pasar China Meningkatkan Kekhawatiran Baru tentang Dompet Perangkat Keras

• Seorang peneliti keamanan siber mengatakan bahwa sebuah Ledger Nano S Plus palsu yang dibeli di pasar daring Tiongkok gagal melewati pemeriksaan keaslian bawaan Ledger Live.
• Peneliti tersebut kemudian memeriksa firmware perangkat dan mengatakan bukti mengarah ke komponen yang terkait dengan Espressif Systems.

Seorang peneliti keamanan siber mengatakan mereka menemukan perangkat Ledger palsu yang canggih yang dijual melalui pasar daring Tiongkok, menambah daftar penipuan yang semakin berkembang yang tidak lagi hanya mengandalkan tautan phishing atau aplikasi palsu. Memposting di subreddit ledgerwallet dengan nama Past_Computer2901, peneliti tersebut mengatakan mereka membeli apa yang tampak seperti Ledger Nano S Plus yang sah untuk penggunaan pribadi. Perangkat tersebut dihargai sama dengan toko resmi Ledger, dan sekilas daftar dan kemasannya terlihat cukup meyakinkan. Palsu tersebut lolos uji visual, tetapi gagal pemeriksaan perangkat lunak Masalah baru terungkap setelah perangkat tiba. Ketika peneliti menghubungkannya ke aplikasi Ledger Live asli yang sudah terpasang di komputer mereka, perangkat tersebut gagal melewati Pemeriksaan Keaslian Bawaan Ledger. Itulah sinyal kuat pertama bahwa dompet tersebut tidak asli. Menurut peneliti, perangkat palsu tersebut bukan tiruan kasar yang dibuat dengan murah. Perangkat itu dirancang agar terlihat cukup nyata untuk menipu pembeli yang menganggap kemasan dan harga pasar yang normal sebagai tanda keabsahan. Dalam posting mereka, peneliti mengatakan pengalaman tersebut membuat mereka terguncang oleh apa yang mereka gambarkan sebagai skala operasi yang tampak besar. Peringatan tersebut, mereka tambahkan, dimaksudkan untuk memberi informasi bukan menimbulkan kepanikan pengguna. Analisis firmware mengarah ke kekhawatiran rantai pasokan yang lebih dalam Kasus ini menjadi lebih serius setelah peneliti memeriksa firmware perangkat. Menurut cerita mereka, indikator kode dan perangkat keras mengarah ke Espressif Systems, sebuah perusahaan semikonduktor Tiongkok, menunjukkan bahwa palsu tersebut mungkin dibuat dengan komponen yang tidak terkait dengan perangkat Ledger asli. Ini tidak membuktikan keterlibatan langsung dari perusahaan itu sendiri, tetapi menunjukkan bahwa palsu tersebut dirakit dengan cukup hati-hati secara teknis untuk melampaui kloning kosmetik sederhana. Bagi pengguna kripto, pelajaran ini tidak nyaman tetapi jelas. Dompet perangkat keras seharusnya mengurangi asumsi kepercayaan, tetapi membeli dari pasar tidak resmi dapat memperkenalkan kembali risiko yang sebenarnya mereka coba hilangkan. Dalam kasus ini, perangkat palsu hanya terdeteksi karena pembeli menggunakan aplikasi resmi sebelum melakukan hal yang lebih buruk, seperti memasukkan kredensial pemulihan ke perangkat yang sebenarnya tidak pernah sah sejak awal.