巴西安全研究员警示中国电商平台出售假冒Ledger设备
一名巴西安全研究员于4月17日通过Reddit平台“ledgerwallet”频道发布警告,称其在中国电商平台购买的Ledger Nano S Plus设备实为伪造品,旨在窃取用户加密货币资产。
该研究员表示,设备包装与官方一致,售价亦相同,但连接已安装的正版Ledger Live应用后,触发内置“Genuine Check”真伪检测失败。随后其拆解设备,发现内部硬件与固件被篡改,包含WiFi和蓝牙天线,芯片标记被刮除,设备在启动后显示制造商为上海的Espressif Systems。
研究员指出,该伪造设备通过包装内二维码引导用户下载恶意版本的Ledger Live应用,伪装“真伪检测”流程,诱使用户泄露助记词(seed phrase),从而实现资金盗取。
此前本月已有超过50名用户因类似假冒应用在苹果App Store上下载而受骗,累计损失达950万美元。苹果随后已下架该恶意应用。
研究员强调:“仅从ledger.com下载Ledger Live,仅从ledger.com购买硬件。若设备真伪检测失败,请立即停用。”
Cointelegraph已联系Espressif Systems寻求回应,但截至发稿未获回复。
编辑点评
此次事件凸显加密货币领域硬件安全风险的全球化蔓延,尤其暴露中国电商平台在跨境电子设备销售中的监管漏洞。假冒Ledger设备通过供应链攻击手段,利用用户对自托管钱包的信任,实施精准诈骗,其技术复杂度已从软件层面延伸至硬件层面,标志着新型网络犯罪的升级。Espressif Systems作为中国公开上市的半导体企业被牵连,虽未必直接参与造假,但其芯片被用于伪造设备引发对其供应链管理及出口合规性的关注。该事件可能促使全球加密货币安全标准进一步收紧,推动各国加强对跨境电子设备的溯源与认证机制建设。长期看,若此类伪造产品持续泛滥,将侵蚀用户对硬件钱包的信任,进而影响整个去中心化金融(DeFi)生态的用户基础与市场稳定性。