🚨巴西的一名网络安全研究员揭露了一场大规模的诈骗行动，他在一个中国市场购买了一只“Ledger”硬件钱包——价格奇怪地便宜，包装从远处看似原装。

这是他拆开设备后发现的情况：
“硬件钱包”
在外壳内部有一个完全不同的芯片——那是你在便宜的物联网设备上会找到的类型，而不是设计用来保护你的加密货币的钱包。标记被物理打磨掉了，以隐藏它的真实身份。
固件假装是一个真实存在的Ledger版本，甚至连不存在的(Ledger Nano S+ V2.1)也被伪装成这样。更糟糕的是：你在上面写的每个助记词和PIN码都以明文存储，并直接发送到攻击者的服务器(kkkhhhnnn[.]com)。瞬间……
它被设计用来在大约20个不同的区块链钱包中窃取资金。
假应用程序
卖家还贴心地附带了一个“Ledger Live”应用程序。这是一个修改版——甚至没有正确签名，攻击者连最基本的安全措施都懒得做——在你使用时悄悄窃取数据。
就在你以为这就是全部时，同一团队还在分发针对Windows、macOS甚至iOS的恶意软件——利用TestFlight完全潜入苹果的App Store审核流程。
研究员已向Ledger的安全团队提交了完整报告。预计在他们完成分析后，会有更深入的技术细节披露。