Um pesquisador conhecido no Reddit como Past_Computer2901 relatou uma operação de falsificação que envolve unidades clonadas da Ledger capazes de extrair a frase semente e disseminar software malicioso. A investigação aponta não só o roubo direto de criptoativos, mas também a exploração de múltiplos sistemas operacionais — incluindo Android, Windows, macOS e iOS — através de binários e de fluxos alternativos de instalação.
O caso ganhou repercussão em redes sociais e levantou dúvidas sobre os pontos fracos da cadeia de suprimentos e das práticas de venda em marketplaces.
O autor documentou a descoberta em três postagens no Reddit, publicadas em quarta-feira (15), quinta-feira (16) e sexta-feira (17), e afirma ter comunicado a equipe de segurança da Ledger. Ele descreveu ter comprado uma suposta “Ledger Nano S” em um marketplace chinês por um preço que chamou atenção. Ao abrir o produto, decidiu desmontá-lo e fotografar as diferenças. As evidências técnicas incluíam substituição do chip original e um firmware com identificação inexistente, além da exposição em texto claro das palavras de recuperação.
Index du contenu:
Como o golpe funciona
Segundo a análise do pesquisador, a peça central da fraude é a alteração do componente de segurança: o chip original (ST33) foi trocado por um ESP32-S3, com marcações lixadas para impedir rastreamento. O firmware exibido no dispositivo falso aparecia como “Ledger Nano S+ V2.1”, uma versão que não existe nas listas oficiais. Ao inicializar, a unidade grava a frase semente em texto simples e a envia para um servidor de comando e controle — referido como C2 — controlado pelos golpistas. Além disso, o pacote de suporte distribuía instaladores maliciosos para desktop e um fluxo por TestFlight para iOS, contornando revisões tradicionais.
Vetores técnicos identificados
O investigador descreve cinco vetores de ataque claramente separados: o próprio hardware adulterado, e os quatro ambientes de software — Android, Windows, macOS e iOS. No caso do desktop, o usuário recebia um .exe ou um .dmg que instalava um Ledger Live falsificado; no celular, a entrega passava por apps clonados ou por TestFlight para evitar filtros. Tudo isso convergia para a exfiltração da seed phrase e para a implantação de backdoors que permitem controle remoto ou extração de chaves.
Engenharia social e cadeia de suprimentos
Além da adulteração física, o golpe explora fortemente a engenharia social. Dentro das caixas falsas havia um cartão com um QR code que levava o comprador a um site que imitava o domínio oficial — dessa forma, o usuário é induzido a nunca acessar ledger.com. O site clone direciona para um instalador de um Ledger Live apócrifo que, por sua vez, valida a própria unidade adulterada. Embora o legítimo Genuine Check do software consiga sinalizar uma unidade falsa, esse mecanismo raramente é alcançado quando o fluxo inicial é comprometido pela página fraudulenta e pelo QR code.
Por que novatos são o alvo
O pesquisador argumenta que, isolada, a unidade falsa parece convincente — embalagem aceitável, preço similar ao oficial e um produto que, sem outra carteira legítima ao lado para comparar, engana facilmente compradores menos experientes. Ele explicou que adquiriu o dispositivo com intenção de uso real e que a importação de uma Ledger oficial na China tem obstáculos logísticos, motivo pelo qual o anúncio parecia uma opção plausível. Sua defesa responde a críticas e reforça que o golpe mira quem compra sua primeira hardware wallet.
Como se proteger
Alerta rápido
As recomendações práticas são diretas: baixar o Ledger Live somente do domínio oficial digitado manualmente, comprar hardware apenas em canais oficiais e validar o Genuine Check ao ligar o dispositivo. Evite seguir QR codes presentes em embalagens não verificadas e desconfie de anúncios com preço idêntico ao da loja oficial em marketplaces de terceiros. Se o dispositivo falhar no Genuine Check, interrompa o uso imediatamente. O pesquisador disse ainda que pretende adquirir mais unidades da mesma loja para mapear a extensão da operação e preparar um relatório técnico formal para a Ledger.