Krátce poté, co si brazilský bezpečnostní výzkumník objednal údajně originální hardwarovou peněženku Ledger Nano S Plus z čínského online tržiště, zjistil, že nejde o běžný padělek, ale o promyšleně upravené zařízení určené ke krádeži kryptoměn. Případ znovu ukazuje, že útočníci stále častěji míří na uživatele, kteří dávají přednost self-custody a chtějí své prostředky držet mimo burzy. Ledger následně potvrdil, že osvěta kolem padělaných zařízení je pro celý ekosystém stále důležitější.
Padělek se tvářil jako originál
Výzkumník vystupující na Redditu pod přezdívkou Past_Computer2901 uvedl, že zařízení koupil pro osobní použití a zpočátku neměl důvod o jeho pravosti pochybovat. Produkt byl nabízen za stejnou cenu jako v oficiálním obchodě Ledger a důvěryhodně působilo i balení a samotná nabídka. Podezření přišlo až ve chvíli, kdy peněženku připojil k legitimní aplikaci Ledger Live, kterou už měl na počítači nainstalovanou. Zařízení totiž neprošlo vestavěnou kontrolou pravosti Genuine Check. Právě tento moment odhalil, že nejde o originální hardware, ale o sofistikovaně upravený produkt.
Podle výzkumníka je podvod cílen především na nové uživatele Ledgeru, kteří ještě nemají zkušenost s prvotním nastavením zařízení. V krabici se nacházel QR kód, který by uživatele za běžných okolností nasměroval ke stažení škodlivé verze aplikace Ledger Live. Ta by následně mohla zobrazit falešné potvrzení pravosti a navodit dojem, že je vše v pořádku. Pokud by uživatel pokračoval podle pokynů útočníků, mohl by nakonec vyzradit seed frázi, tedy nejcitlivější údaj potřebný k ovládání peněženky. Jakmile se útočník k seed frázi dostane, může prostředky kdykoli vybrat.
Co odhalila rozborka zařízení
Po neúspěšné kontrole pravosti se výzkumník rozhodl zařízení fyzicky rozebrat. Uvnitř našel jasné známky manipulace s hardwarem i firmwarem. Upozornil například na obroušené značení čipů a také na přítomnost WiFi a Bluetooth antény zabudované přímo v zařízení. To je zásadní varovný signál, protože legitimní hardwarové peněženky Ledger jsou navrženy tak, aby soukromé klíče zůstávaly plně offline. Jakákoli nečekaná bezdrátová konektivita proto vyvolává velmi vážné otázky.
Další analýza se zaměřila na firmware. Výzkumník uvedl, že po přepnutí čipu do bootovacího režimu se zařízení nejprve identifikovalo jako Nano S Plus 7704 se sériovým číslem. Po dokončení bootovací sekvence se však objevilo jméno jiného výrobce, konkrétně společnosti Espressif Systems. Jde o veřejně obchodovanou čínskou polovodičovou firmu se sídlem v Šanghaji. Samotná přítomnost názvu této společnosti ještě automaticky nedokazuje její přímou účast na podvodu, ukazuje ale na původ použitých komponent a na to, že zařízení bylo sestaveno z odlišného hardwarového základu, než jaký by člověk očekával u originálního produktu Ledger.
Jak podvod funguje v praxi
Schéma je účinné právě proto, že kombinuje více vrstev důvěryhodnosti. Uživatel obdrží profesionálně vypadající balení, cenovka nevybočuje z oficiální nabídky a první dojem nevyvolává podezření. Pokud navíc kupující ještě nikdy Ledger nenastavoval, může snadno uvěřit instrukcím v balení a stáhnout si falešnou aplikaci. Ta pak simuluje standardní proces aktivace peněženky a může uživatele dovést až k zadání obnovovací fráze. Ve chvíli, kdy seed fráze opustí bezpečné offline prostředí a dostane se do rukou podvodníků, je peněženka fakticky kompromitována.
Podobné útoky jsou součástí širšího trendu, kdy se podvodníci zaměřují na uživatele self-custody pomocí útoků na dodavatelský řetězec, sociálního inženýrství nebo falešných schvalovacích procesů. Nejde tedy jen o padělaný kus hardwaru, ale o celý podvodný ekosystém navržený tak, aby oběť vedl krok za krokem k odevzdání přístupu k vlastním aktivům. Útok je o to nebezpečnější, že nevypadá jako klasický phishingový e-mail nebo podezřelý odkaz. Naopak se tváří jako legitimní nákup a standardní inicializace zařízení.
Ledger varuje: nakupujte jen z ověřených zdrojů
Mluvčí společnosti Ledger pro Cointelegraph uvedl, že je stále důležitější zvyšovat povědomí o padělaných zařízeních. Firma podle něj důrazně doporučuje, aby si uživatelé při nákupu přes online tržiště ověřili identitu prodejce. Zároveň by měli stahovat oficiální aplikace Ledger Wallet výhradně z ověřených zdrojů pro desktop i mobilní zařízení. Prakticky to znamená jediné: nejbezpečnější je nakupovat hardware přímo přes ledger.com a software stahovat pouze z oficiálních kanálů.
Stejné doporučení zaznělo i od samotného výzkumníka. Ten uživatele vyzval, aby používali pouze oficiální web Ledgeru a v případě, že zařízení neprojde Genuine Check, jej okamžitě přestali používat. Takové selhání by podle něj mělo být považováno za kritické varování. Pokračovat v nastavování kompromitovaného zařízení by mohlo vést ke ztrátě všech uložených prostředků.
Padělky navazují na předchozí útoky
Nově popsaný incident nepřichází ve vakuu. Už dříve se objevily případy falešných aplikací Ledger Live, které se dokázaly dostat i do Apple App Store prostřednictvím taktiky bait and switch. V jednom z nedávných případů bylo více než 50 obětí přiměno k odhalení seed frází, přičemž celkové ztráty dosáhly 9,5 milionu dolarů, než Apple škodlivou aplikaci odstranil. Aktuální kauza s padělaným hardwarem ukazuje, že útočníci nezůstávají jen u softwaru, ale rozšiřují své metody i na fyzická zařízení.
To je pro kryptoměnový sektor mimořádně citlivé téma, protože hardwarové peněženky jsou dlouhodobě vnímány jako jeden z nejbezpečnějších způsobů úschovy digitálních aktiv. Pokud se však uživatel dostane k podvrženému zařízení nebo neoficiální aplikaci, může být tento bezpečnostní model zcela obrácen proti němu. Místo ochrany aktiv se z peněženky stane prostředek jejich odcizení. Bezpečnost self-custody proto nestojí jen na samotném zařízení, ale i na původu produktu, pravosti softwaru a správném chování uživatele.
Na co si dát při nákupu peněženky pozor
Případ je silnou připomínkou několika základních pravidel. Hardwarovou peněženku je vhodné kupovat pouze od oficiálního výrobce nebo od jasně autorizovaných distributorů. Po doručení je nutné zkontrolovat proces inicializace a vždy využít oficiální aplikaci staženou z důvěryhodného zdroje. Seed frázi by uživatel nikdy neměl zadávat do neověřených aplikací, webů ani formulářů. A pokud zařízení vykazuje neobvyklé chování nebo neprojde kontrolou pravosti, je namístě jej okamžitě odpojit a dále nepoužívat.
Zvláštní pozornost si zaslouží i marketingové triky podvodníků. Stejná cena jako u oficiálního produktu nemusí být známkou legitimity, ale naopak součástí kamufláže. Útočníci se tím snaží odstranit podezření, které by jinak vzbudila nápadně nízká cena. Také profesionální fotografie, věrohodně působící recenze nebo kvalitní balení dnes samy o sobě nic negarantují. V prostředí kryptoměn platí dvojnásob, že důvěra musí vycházet z ověřeného zdroje, nikoli z dojmu.
Bezpečnost není jen otázkou technologie
Odhalený padělek Ledgeru ukazuje, že kryptobezpečnost je stále více bojem proti kombinovaným útokům, které propojují hardware, software i psychologii uživatele. Útočníci nespoléhají pouze na technickou zranitelnost, ale na to, že oběť bude postupovat automaticky a bez ověření. Proto je vzdělávání uživatelů stejně důležité jako samotné bezpečnostní prvky zařízení. Každý krok od nákupu po inicializaci peněženky musí probíhat s maximální obezřetností.
Pro trh s hardwarovými peněženkami je tento případ dalším varováním, že reputace značky sama o sobě nestačí. I renomované jméno může být zneužito prostřednictvím padělků, falešných aplikací a podvodných prodejců. Uživatelé, kteří chtějí mít kryptoměny pod vlastní kontrolou, by proto měli počítat s tím, že největší slabinou často nebývá blockchain, ale distribuční řetězec a lidská chyba. A právě na tyto body se současní podvodníci zaměřují stále agresivněji.
