Lộ diện mô hình lừa đảo ví cứng Ledger Nano S Plus giả mạo nhắm vào người dùng tự lưu ký tiền mã hóa

Một nhà nghiên cứu bảo mật tại Brazil vừa lên tiếng cảnh báo về một mô hình lừa đảo “*giả mạo thiết bị Ledger*” nhắm vào người dùng tiền mã hóa sử dụng hình thức *tự lưu ký (self-custody)*. Theo Cointelegraph đưa tin ngày 13 (giờ địa phương), các vụ tấn công chuỗi cung ứng, ứng dụng giả mạo và lừa đảo thông qua cấp quyền đang ngày càng tinh vi, đến mức làm lung lay cả niềm tin vào độ an toàn của *ví cứng/hardware wallet*.

Theo bài đăng trên kênh Reddit “ledgerwallet” của một tài khoản có tên “Past_Computer2901”, nhà nghiên cứu này cho biết đã mua một thiết bị Ledger Nano S Plus từ một sàn thương mại điện tử Trung Quốc, với mức giá gần tương đương hàng *chính hãng*. Hộp, bao bì và trang bán hàng đều được thiết kế giống hệt sản phẩm thật, nhưng ngay khi kết nối với ứng dụng Ledger Live, thiết bị đã không vượt qua được bước “kiểm tra chính hãng”. Khi tháo rời, anh phát hiện bên trong là phần cứng và firmware bị chỉnh sửa, kèm cả ăng-ten Wi-Fi và Bluetooth được giấu kín.

Mô hình lừa đảo này đặc biệt nhắm vào nhóm người lần đầu sử dụng ví cứng. Bên trong hộp có in mã QR dẫn người dùng đến một phiên bản *Ledger Live* độc hại. Tại đây, kẻ gian dựng sẵn một bước “Genuine Check” (kiểm tra chính hãng) giả mạo để đánh cắp *cụm từ khôi phục (seed phrase)* ngay trong quá trình cài đặt. Khi đã có seed, kẻ tấn công có thể rút toàn bộ tài sản trên ví bất kỳ lúc nào. Nhà nghiên cứu nhấn mạnh, ứng dụng Ledger Live chỉ nên được tải trực tiếp từ trang ledger.com và thiết bị cũng chỉ nên mua từ kênh bán chính thức này.

Các vụ rủi ro bảo mật *tiền mã hóa* gần đây không còn dừng ở những email hay website lừa đảo đơn giản. Hồi đầu tháng, một ứng dụng Ledger Live giả mạo đã vượt qua quy trình xét duyệt và xuất hiện trên chợ ứng dụng App Store của Apple. Hơn 50 người dùng đã nhập seed phrase vào ứng dụng này, dẫn đến thiệt hại tổng cộng khoảng 9,5 triệu USD trước khi app bị gỡ bỏ. bình luận Từ góc nhìn bảo mật, đây là ví dụ điển hình cho thấy chuỗi tấn công có thể bắt đầu ngay từ bước người dùng tìm kiếm và cài đặt ứng dụng “chính thống”.

Trong bối cảnh các thiết bị giả mạo được thiết kế để qua mặt cả bước xác thực chính hãng, giới chuyên gia cho rằng người dùng *tiền mã hóa* cần siết chặt quy trình kiểm tra từ lúc mua ví cứng, tải ứng dụng, đến giai đoạn thiết lập ban đầu. Việc “lưu trữ ngoại tuyến” không còn là lá chắn tuyệt đối nếu phần cứng và phần mềm bị thay thế ngay từ nguồn. bình luận Với sự gia tăng của tấn công chuỗi cung ứng, nguyên tắc “mua từ nguồn chính thức, tải app từ trang chính thức, tuyệt đối không chia sẻ seed phrase” đang trở thành lớp phòng thủ tối thiểu cho bất kỳ nhà đầu tư sử dụng ví tự lưu ký.