Fälschungs-Hardware-Wallets auf chinesischen Marktplätzen stehlen Krypto-Seeds und PINs

Ein brasilianischer Cybersicherheitsforscher hat einen raffinierten, groß angelegten Lieferkettenbetrug aufgedeckt, bei dem gefälschte Ledger Nano S Plus Hardware-Wallets über einen chinesischen Marktplatz verkauft wurde Ein brasilianischer Cybersicherheitsforscher hat einen raffinierten, groß angelegten Lieferkettenbetrug aufgedeckt, bei dem gefälschte Ledger Nano S Plus Hardware-Wallets über einen chinesischen Marktplatz verkauft wurden.

Die Geräte wurden von Grund auf so konstruiert, dass sie Kryptowährungen über etwa 20 Blockchains unbemerkt abzapfen.

Die Ergebnisse, die der Benutzer u/Past_Computer2901 auf Reddit veröffentlichte, haben in der Krypto-Sicherheits-Community für Aufsehen gesorgt und eine hochkoordinierte Operation aufgedeckt, die manipulierte Hardware, trojanisierte Software und die Bereitstellung von Malware über verschiedene Plattformen hinweg in einer einzigen einheitlichen Phishing-Pipeline kombiniert.

Der Forscher kaufte das Gerät

Der Forscher kaufte das Gerät zu einem Preis, der dem offiziellen Ledger-Shop entsprach, mit Verpackung und Produktangeboten, die auf den ersten Blick echt wirkten.

Der Verdacht ergab sich erst, als das Gerät beim Anschluss an eine ordnungsgemäß installierte Kopie von Ledger Live den integrierten „Genuine Check“ von Ledger nicht bestand – was zu einer vollständigen physischen Zerlegung führte. Im Inneren des Gehäuses wurde der Betrug unbestreitbar.

Der ursprüngliche Secure-Element-Chip wurde durch einen ESP32-S3-Mikrocontroller ersetzt, eine generische IoT-Komponente, die von dem in Shanghai ansässigen Unternehmen Espressif Systems hergestellt wird, ein Chip, der keine Geschäftsfunktion in einem Hardware-Sicherheitsgerät hat.

Die Chipmarkierungen wurden physisch abgeschabt, um

Die Chipmarkierungen wurden physisch abgeschabt, um eine Identifizierung zu verhindern, und das Gerät enthielt eine WiFi-/Bluetooth-Antenne, die in echten Ledger Nano S Plus Einheiten völlig fehlte.

Während des Boot-Modus täuschte der Chip zunächst vor, ein legitimes Ledger-Produkt zu sein, aber sobald die Boot-Sequenz abgeschlossen war, gab er seine wahre Identität preis: Espressif Systems.

Ein vollständiger Firmware-Dump bestätigte die alarmierendste Feststellung: jede eingegebene PIN und jede auf dem Gerät generierte Seed-Phrase wurden im Klartext gespeichert und an Angreifer-kontrollierte Command-and-Control (C2)-Server, einschließlich der Domain kkkhhhnnn[.]com, übertragen.