Dispositivo Ledger falso comprado em marketplace chinês levanta novo alarme sobre carteiras de hardware

• Um investigador de cibersegurança afirma que um Ledger Nano S Plus falsificado comprado num mercado chinês falhou na verificação de autenticidade integrada do Ledger Live.
• O investigador posteriormente examinou o firmware do dispositivo e disse que as evidências apontavam para componentes ligados à Espressif Systems.

Um investigador de cibersegurança afirma ter descoberto um dispositivo Ledger falso e sofisticado vendido através de um mercado online chinês, acrescentando-se a uma lista crescente de fraudes que já não dependem apenas de links de phishing ou aplicações falsas. Ao publicar no subreddit ledgerwallet sob o nome Past_Computer2901, o investigador disse que comprou o que parecia ser um Ledger Nano S Plus legítimo para uso pessoal. O dispositivo tinha o mesmo preço que na loja oficial Ledger, e à primeira vista a listagem e a embalagem pareciam suficientemente convincentes. O falso passou no teste visual, mas falhou na verificação de software O problema só se tornou evidente após o dispositivo chegar. Quando o investigador o conectou à aplicação Ledger Live genuína, já instalada no computador, ele falhou na Verificação de Autenticidade integrada do Ledger. Esse foi o primeiro sinal forte de que a carteira não era autêntica. Segundo o investigador, o falsificado não era uma imitação grosseira feita de forma barata. Foi projetado para parecer suficientemente real para enganar compradores que assumiam que uma embalagem com aparência normal e um preço de mercado eram sinais de legitimidade. No seu post, o investigador disse que a experiência o deixou abalado pelo que descreveu como a escala aparente da operação. O aviso, acrescentou, destinava-se a informar em vez de alarmar os utilizadores. Análise do firmware apontou para uma preocupação mais profunda na cadeia de abastecimento O caso tornou-se mais sério após o investigador examinar o firmware do dispositivo. Segundo o seu relato, os indicadores de código e hardware apontavam para a Espressif Systems, uma empresa chinesa de semicondutores, sugerindo que o falsificado pode ter sido construído com componentes não associados a dispositivos Ledger genuínos. Isso não prova envolvimento direto da própria empresa, mas sugere que o falso foi montado com cuidado técnico suficiente para ir além de uma clonagem meramente cosmética. Para os utilizadores de criptomoedas, a lição é desconfortável, mas direta. As carteiras de hardware devem reduzir as suposições de confiança, mas comprá-las em mercados não oficiais pode reintroduzir exatamente o tipo de risco que pretendem eliminar. Neste caso, o falsificado só foi detectado porque o comprador usou a aplicação oficial antes de fazer algo pior, como inserir credenciais de recuperação num dispositivo que nunca foi legítimo para começar.