Descoberta e Escopo do Golpe
Um pesquisador de cibersegurança brasileiro expôs uma fraude sofisticada e em larga escala na cadeia de suprimentos envolvendo carteiras de hardware Ledger Nano S Plus falsas vendidas através de um marketplace chinês. Os dispositivos foram projetados do zero para drenar silenciosamente criptomoedas em cerca de 20 blockchains simultaneamente. As descobertas, postadas no Reddit pelo usuário u/Past_Computer2901, enviaram ondas de choque pela comunidade de segurança cripto, revelando uma operação altamente coordenada que combina hardware adulterado, software trojanizado e implantação de malware multiplataforma em um único pipeline de phishing unificado.
O pesquisador comprou o dispositivo a um preço correspondente à loja oficial da Ledger, com embalagem e listagens de produtos que pareciam autênticas à primeira vista. A suspeita surgiu apenas quando o dispositivo falhou no Genuine Check integrado da Ledger ao ser conectado a uma cópia legítima do Ledger Live instalada, o que levou a uma desmontagem física completa.
Dentro da carcaça, a decepção tornou-se inegável. O chip de elemento seguro original havia sido substituído por um microcontrolador ESP32-S3, um componente genérico de IoT fabricado pela Espressif Systems de Xangai, um chip que não tem lugar dentro de um dispositivo de segurança de hardware. As marcações do chip haviam sido fisicamente raspadas para impedir a identificação, e o dispositivo continha uma antena WiFi/Bluetooth inteiramente ausente nas unidades genuínas do Ledger Nano S Plus.
Análise Técnica do Hardware Falsificado
Durante o modo de inicialização, o chip inicialmente se fez passar por um produto legítimo da Ledger, mas assim que a sequência de inicialização foi concluída, traiu sua verdadeira identidade: Espressif Systems. Um dump completo do firmware confirmou a descoberta mais alarmante: todos os PINs inseridos e a frase semente gerada no dispositivo eram armazenados em texto plano e transmitidos para servidores de comando e controle controlados pelos atacantes, incluindo o domínio kkkhhhnnn[.]com.
O firmware falsificado foi rotulado como "Nano S+ V2.1" — uma versão que não existe na linha oficial de firmware da Ledger — efetivamente impersonando um lançamento de produto para instilar falsa confiança. A operação foi projetada para drenar carteiras em aproximadamente 20 redes de blockchain diferentes simultaneamente. O dispositivo falsificado foi enviado com um código QR dentro da caixa, não direcionando os compradores para ledger.com, mas para um site de phishing clonado onde eles baixariam uma versão trojanizada do aplicativo Ledger Live.
O aplicativo falso continha um "Genuine Check" codificado que sempre retornava uma tela de sucesso, o que significava que usuários de cripto iniciantes nunca receberiam nenhum aviso de que seu dispositivo estava comprometido. O aplicativo malicioso não foi devidamente assinado e exfiltrou silenciosamente dados da carteira assim que foi usado.
Infraestrutura e Alcance do Ataque
O escopo da operação estende-se muito além de um único aplicativo falso. Os atores de ameaça por trás desta campanha implantaram malware em Android, Windows, macOS e iOS, com a variante iOS distribuída através do programa TestFlight da Apple para contornar totalmente os requisitos de revisão da App Store. A análise de infraestrutura revelou três servidores C2, um site clonado e uma cadeia de redirecionamento de código QR todos registrados sob uma empresa de fachada baseada em Xangai.
Criticamente, o pesquisador esclareceu que o Genuine Check criptográfico oficial da Ledger detecta com sucesso este dispositivo falsificado, mas apenas quando se usa o Ledger Live real baixado de ledger.com. A eficácia do golpe depende inteiramente de garantir que a vítima nunca interaja com o aplicativo legítimo. O pesquisador submeteu um relatório técnico completo à equipe de segurança da Ledger, e uma análise mais profunda é esperada após sua revisão.
Medidas de Proteção e Mitigação
Para se proteger contra este tipo de ataque sofisticado, os usuários devem seguir rigorosamente as diretrizes de segurança estabelecidas:
- Comprar apenas no site oficial da Ledger (ledger.com) ou em revendedores autorizados verificados, nunca em marketplaces chineses de terceiros ou sites de leilão.
- Baixar o Ledger Live exclusivamente de ledger.com — nunca escanear códigos QR dentro da caixa para obter software.
- Executar o Genuine Check imediatamente ao conectar qualquer carteira de hardware pela primeira vez.
- Tratar qualquer versão de firmware não listada no changelog oficial da Ledger como um sinal de alerta vermelho.
- Reportar dispositivos suspeitos à equipe de segurança da Ledger em security@ledger.fr.
Impacto Financeiro e Repercussão
Este incidente marca um dos ataques de cadeia de suprimentos de carteiras de hardware mais tecnicamente sofisticados documentados até o momento, com perdas financeiras confirmadas apenas do componente do aplicativo falso superando US$ 9,5 milhões em mais de 50 vítimas. A descoberta de um pesquisador brasileiro destaca a importância da vigilância da comunidade de segurança e da colaboração internacional na identificação de ameaças emergentes.
Para executivos de segurança e investidores em criptoativos, este caso serve como um lembrete crítico de que a segurança do hardware não pode ser assumida. A verificação de fontes de aquisição e a validação de integridade do dispositivo são passos essenciais na gestão de risco de ativos digitais. A capacidade dos atacantes de contornar verificações de segurança através de engenharia de hardware e software combinados exige uma abordagem de defesa em profundidade.
Perguntas Frequentes
Como saber se minha Ledger é falsa?
Execute o Genuine Check no Ledger Live oficial. Se falhar, o dispositivo é falsificado. Verifique também a presença de antenas WiFi/Bluetooth, que não existem em modelos genuínos.
O que fazer se eu já comprei uma carteira falsificada?
Desconecte imediatamente, não insira sementes ou PINs. Reporte ao fabricante e altere todas as credenciais associadas a contas que possam ter sido comprometidas.
Por que o Genuine Check falhou inicialmente?
O aplicativo falsificado incluiu um Genuine Check codificado que sempre retornava sucesso. Apenas o aplicativo oficial da Ledger pode validar o hardware corretamente.