พบ Ledger Nano S+ ปลอมจากตลาดจีน ฝังเฟิร์มแวร์ขโมย Seed Phrase

เมื่อวันที่ 16 เมษายน 2569 นักวิจัยความปลอดภัยทางไซเบอร์ชาวบราซิลที่ใช้ชื่อบน Reddit ว่า “Past_Computer2901” ได้โพสต์คำเตือนในช่อง r/ledgerwallet หลังค้นพบ Ledger Nano S+ ปลอมที่ซื้อมาจากแพลตฟอร์มอีคอมเมิร์ซของจีนในราคาเดียวกับร้านค้าทางการ ตามรายงานจาก Cointelegraph บรรจุภัณฑ์และหน้ารายการสินค้าดูน่าเชื่อถือ แต่เมื่อเชื่อมต่อกับแอป Ledger Live อย่างเป็นทางการ อุปกรณ์กลับไม่ผ่านการตรวจสอบความเป็นของแท้ (Genuine Check) และเมื่อตรวจสอบภายในพบหลักฐานการดัดแปลงที่น่าตกใจหลายอย่าง ข่าวนี้ถูกรายงานอย่างกว้างขวางเมื่อวันที่ 17 เมษายน 2569

เฟิร์มแวร์ปลอม ฝัง WiFi-Bluetooth รอส่งข้อมูลออกนอก

สิ่งที่ทำให้ฮาร์ดแวร์วอลเล็ตปลอมชิ้นนี้น่ากังวลเป็นพิเศษคือความซับซ้อนของการดัดแปลง นักวิจัยพบรอยขีดข่วนบนเครื่องหมายชิป และที่สำคัญกว่านั้นคือพบเสาอากาศ WiFi และ Bluetooth ฝังอยู่ภายในตัวเครื่อง ซึ่งไม่มีอยู่ใน Ledger Nano S+ ของแท้เลย เสาอากาศเหล่านี้บ่งชี้ว่าอุปกรณ์ถูกออกแบบมาเพื่อส่งข้อมูลออกไปยังภายนอกแบบไร้สาย

การวิเคราะห์เฟิร์มแวร์เจาะลึกยิ่งพบข้อเท็จจริงที่น่าตกใจกว่านั้น เมื่อเริ่มต้นระบบ อุปกรณ์แสดงตัวเองเป็น “Nano S+ 7704” พร้อมหมายเลขซีเรียล แต่เมื่อกระบวนการบูตเสร็จสมบูรณ์ ชื่อผู้ผลิตที่แท้จริงที่ปรากฏขึ้นคือ Espressif Systems บริษัทเซมิคอนดักเตอร์ที่จดทะเบียนในเซี่ยงไฮ้ ยิ่งไปกว่านั้น เฟิร์มแวร์ยังถูกออกแบบมาเพื่อบันทึก PIN และ Seed Phrase ไว้ในรูปแบบข้อความธรรมดา (plaintext) โดยไม่เข้ารหัส พร้อมฮาร์ดโค้ดโดเมนของเซิร์ฟเวอร์ควบคุมภายนอกหลายแห่งไว้เพื่อรับส่งข้อมูลที่ขโมยมา

กับดักสังคมวิศวกรรม ดึงผู้ใช้ออกจากแอปจริงสู่แอปปลอม

จุดที่ต้องเน้นย้ำคือ แอป Ledger Live ของแท้ยังคงตรวจจับอุปกรณ์ปลอมนี้ได้ นักวิจัยชี้แจงว่าแผนการนี้ไม่ได้พยายามหลอกผ่านแอปจริง แต่กลับออกแบบมาเพื่อป้องกันไม่ให้ผู้ใช้โต้ตอบกับแอปจริงเลย โดยอาศัยวิศวกรรมสังคม (Social Engineering) QR โค้ดที่มาพร้อมกล่องจะนำผู้ใช้ไปยังเว็บไซต์ปลอมที่เลียนแบบ ledger.com ซึ่งจะหลอกให้ดาวน์โหลดแอป Ledger Live ปลอมแทน แอปปลอมนี้จะแสดงผล “ผ่านการตรวจสอบ” เสมอ และขโมย Seed Phrase ส่งไปยังเซิร์ฟเวอร์ของผู้โจมตีทันที

เหตุการณ์นี้เกิดขึ้นในช่วงเวลาเดียวกับที่มีรายงานว่าแอป Ledger Live ปลอมบน Apple App Store ได้ขโมยเงินคริปโตไปกว่า 9.5 ล้านดอลลาร์จากเหยื่อมากกว่า 50 ราย ระหว่างวันที่ 7-13 เมษายน 2569 โดย Apple ได้ลบแอปดังกล่าวออกจาก App Store แล้ว ความถี่ในการโจมตีที่สูงขึ้นอย่างรวดเร็วนี้บ่งชี้ว่ากลุ่มอาชญากรกำลังทดลองรูปแบบการโจมตีผู้ใช้ฮาร์ดแวร์วอลเล็ตในหลายช่องทางพร้อมกัน

วิธีป้องกันตัวเองจากฮาร์ดแวร์วอลเล็ตปลอม

สำหรับผู้ที่ใช้หรือวางแผนจะซื้อ Ledger มีข้อควรระวังที่สำคัญหลายประการ ประการแรกคือควรซื้อจากเว็บไซต์ ledger.com โดยตรง หรือตัวแทนจำหน่ายที่ได้รับการรับรองอย่างเป็นทางการเท่านั้น ห้ามซื้อจากตลาดออนไลน์ของบุคคลที่สามหรือแพลตฟอร์มอีคอมเมิร์ซที่ไม่รู้จัก ประการที่สองคือเมื่อได้รับอุปกรณ์ใหม่ ต้องเชื่อมต่อกับแอป Ledger Live ที่ดาวน์โหลดโดยตรงจาก ledger.com เท่านั้น ไม่ใช่ผ่าน QR โค้ดที่มาพร้อมกล่อง และประการที่สามคือห้ามกรอก Seed Phrase 24 คำลงในซอฟต์แวร์ใดๆ ทั้งสิ้น ไม่ว่าจะผ่านช่องทางใด

ก่อนหน้านี้ Siam Blockchain ได้รายงานว่า แฮกเกอร์อ้างเจาะ Trezor ได้ พร้อมสรุป 5 วิธีป้องกัน Hardware Wallet ที่คนถือคริปโตต้องรู้ ซึ่งแสดงให้เห็นว่าทั้ง Ledger และ Trezor ต่างตกเป็นเป้าหมายของแผนการโจมตีที่ซับซ้อนมากขึ้นเรื่อยๆ นอกจากนี้ยังมีรายงานก่อนหน้าเรื่อง โจรส่งจดหมายกระดาษถึงหน้าบ้าน หลอกกรอก Seed Phrase ซึ่งแสดงให้เห็นว่ารูปแบบการโจมตีฮาร์ดแวร์วอลเล็ตขยายตัวออกไปนอกโลกดิจิทัลแล้ว

ส่วนตัวผู้เขียนมองว่าเหตุการณ์นี้น่าตกใจมาก เพราะมันแสดงให้เห็นว่าผู้โจมตีลงทุนอย่างจริงจังในการสร้างฮาร์ดแวร์ปลอมที่มีความซับซ้อนระดับนี้ การฝัง WiFi และ Bluetooth เข้าไปในอุปกรณ์ที่ดูเหมือน Ledger แท้ทุกอย่างไม่ใช่เรื่องที่ทำได้ง่ายๆ บ่งบอกว่าเบื้องหลังน่าจะมีทรัพยากรและความเชี่ยวชาญระดับสูง สิ่งที่น่าจับตาต่อจากนี้คือ Ledger จะออกมาตรการตรวจสอบเพิ่มเติมอะไรบ้าง และจะมีการตรวจพบอุปกรณ์ปลอมลักษณะนี้จากตลาดอื่นๆ อีกหรือไม่ สำหรับคนที่ซื้อ Ledger มาจากช่องทางที่ไม่แน่ใจ แนะนำให้รีบทดสอบด้วย Genuine Check บนแอปจริงโดยเร็ว ถ้าไม่ผ่านให้หยุดใช้ทันที และย้าย Seed Phrase ไปยังอุปกรณ์ใหม่ที่ซื้อจากแหล่งที่เชื่อถือได้

ที่มา: Cointelegraph

ภาพจาก AI