Dispositivo Ledger Falso Comprado em Mercado Chinês Levanta Novo Alerta de Carteira de Hardware

• Um pesquisador de cibersegurança afirma que um Ledger Nano S Plus falsificado comprado em um marketplace chinês falhou na verificação de autenticidade integrada do Ledger Live.
• O pesquisador posteriormente examinou o firmware do dispositivo e disse que as evidências apontavam para componentes ligados à Espressif Systems.

Um pesquisador de cibersegurança afirma ter descoberto um dispositivo Ledger falso e sofisticado vendido através de um marketplace chinês, acrescentando a uma lista crescente de golpes que não dependem mais apenas de links de phishing ou aplicativos falsificados. Postando no subreddit ledgerwallet sob o nome Past_Computer2901, o pesquisador disse que comprou o que parecia ser um Ledger Nano S Plus legítimo para uso pessoal. O dispositivo tinha o mesmo preço da loja oficial Ledger, e à primeira vista a listagem e a embalagem pareciam suficientemente convincentes. O falso passou no teste visual, mas falhou na verificação de software O problema só ficou claro após o dispositivo chegar. Quando o pesquisador o conectou ao aplicativo Ledger Live genuíno, já instalado em seu computador, ele falhou na Verificação de Autenticidade Integrada do Ledger. Esse foi o primeiro sinal forte de que a carteira não era autêntica. Segundo o pesquisador, o falsificado não era uma imitação grosseira feita de forma barata. Ele foi projetado para parecer real o suficiente para enganar compradores que assumiam que uma embalagem de aparência normal e um preço de mercado eram sinais de legitimidade. Em seu post, o pesquisador disse que a experiência o deixou abalado pelo que descreveu como a escala aparente da operação. O aviso, acrescentaram, foi feito para informar, e não para alarmar os usuários. Análise do firmware apontou para uma preocupação mais profunda na cadeia de suprimentos O caso se tornou mais sério após o pesquisador examinar o firmware do dispositivo. Segundo seu relato, os indicadores de código e hardware apontaram para a Espressif Systems, uma empresa chinesa de semicondutores, sugerindo que o falsificado pode ter sido construído com componentes não associados a dispositivos Ledger genuínos. Isso não prova envolvimento direto da própria empresa, mas sugere que o falso foi montado com cuidado técnico suficiente para ir além de uma clonagem meramente cosmética. Para os usuários de criptomoedas, a lição é desconfortável, mas direta. Carteiras de hardware devem reduzir as suposições de confiança, mas comprá-las em marketplaces não oficiais pode reintroduzir exatamente o tipo de risco que elas deveriam eliminar. Neste caso, o falsificado só foi detectado porque o comprador usou o aplicativo oficial antes de fazer algo pior, como inserir credenciais de recuperação em um dispositivo que nunca foi legítimo para começar.