Ну обход DPI по опережающему запросу происходит таким вот методом: при обращении к скрытому сайту, он выдает один результат, а при обращении к примеру с отправкой пакета "1111" он редиректит тебя совсем в другое место, запрещенное. Это если очень и очень грубо.

Также может быть и в Леджер Лайве: код открыт, все чисто, но при обращении Ledger Live на указанный домен (проверка времени по Токио) и при получении определенного ответа, чип генерирует транзакцию и подтверждает ее, а леджер лайв просто считай наблюдает, для него это как будто пользователь работает. Как то так, грубо, интересно было бы в этом покопаться. Микроконтроллеры в принципе могут делать такие вот штуки, и очень даже просто.