Aplikasi Ledger Palsu Lolos dari Apple, Merugikan Musisi G. Love Hampir 6 BTC

Musisi G. Love kehilangan 5,92 BTC karena aplikasi Ledger palsu di Apple Mac App Store. ZachXBT melacak dana curian tersebut ke alamat deposit KuCoin.

Garrett Dutton, yang dikenal secara profesional sebagai G. Love, kehilangan hampir enam Bitcoin dalam hitungan detik setelah aplikasi Ledger palsu lolos melalui Apple Mac App Store. Aplikasi tersebut terlihat sah. Ternyata tidak.

Menulis di X, G. Love mengatakan dia sedang memindahkan dompet perangkat keras Ledger-nya ke komputer baru ketika dia mengunduh apa yang tampak sebagai aplikasi resmi. BTC-nya langsung hilang. Dia menggambarkan kerugian tersebut sebagai dana pensiunnya, yang dibangun selama sepuluh tahun menyimpan.

"Saya mengalami hari yang sangat berat hari ini. Saya kehilangan dana pensiun saya dalam peretasan/Penipuan ketika saya memindahkan @Ledger saya ke komputer baru dan secara tidak sengaja mengunduh aplikasi ledger berbahaya dari toko @Apple," tulisnya. "Semua BTC saya hilang dalam sekejap."

Apple Menyetujui Penipuan Tersebut

Aplikasi palsu tersebut lolos dari proses peninjauan Apple. Bagian itu masih belum dijelaskan.Love memposting hash transaksi di X sehingga orang lain dapat memverifikasi pencurian tersebut di on-chain. Hash TX — 8753c7d24a28f677089aefb09628eb9b191e843ae965f55ca8ae87540561feaf — mengkonfirmasi pengurasan tersebut. Dia mengatakan 5,9 BTC adalah semua yang dia miliki. "Saya bekerja untuk ini siaaaaal berhati-hatilah di luar sana," tulisnya.

Dalam postingan terpisah, dia membagikan alamat BTC-nya, menanyakan kepada komunitas apakah ada yang ingin membantunya memulihkan. "Ini entah menyedihkan atau lucu, dan saya merasakan keduanya," tulisnya.

ZachXBT Melacak Setiap Satoshi

Investigator blockchain ZachXBT turun tangan. Dia melacak semua 5,92 BTC melalui sembilan transaksi terpisah, semuanya berjalan melalui alamat deposit KuCoin.

"Hai saya melacak 5,92 BTC Anda yang dicuri, dan semuanya dicuci melalui alamat deposit @kucoincom," tulis ZachXBT di X. Dia memposting semua sembilan hash transaksi. Uangnya bergerak cepat. Pada saat ada yang menyadari, uang tersebut sudah terpecah ke beberapa alamat dan diproses melalui bursa.

Dokumentasi dukungan Ledger sendiri memperingatkan bahwa jenis serangan ini telah berjalan untuk beberapa waktu. Menurut halaman peringatan penipuan resmi Ledger, pelaku jahat membangun replika Ledger Wallet yang meyakinkan dan mendorong pengguna untuk memasukkan Frasa Pemulihan Rahasia 24 kata mereka. Frasa tersebut, setelah diketik di mana saja di luar perangkat fisik Ledger, memberikan akses dompet lengkap kepada penyerang.

Panduan Ledger sangat jelas: frasa pemulihan tidak boleh dimasukkan di komputer mana pun, aplikasi seluler, atau platform online. Pemulihan hanya terjadi pada perangkat keras itu sendiri selama pengaturan.

Masalah App Store yang Tidak Ada yang Perbaiki

Ini bukan pertama kalinya aplikasi kripto palsu lolos melalui proses peninjauan Apple. Dokumentasi Ledger secara khusus menandai aplikasi Chrome palsu sebagai vektor serangan yang diketahui, mencatat unduhan resmi hanya boleh berasal dari situs web Ledger secara langsung.

Mac App Store seharusnya berbeda. Pemeriksaan seharusnya menangkap ini. Ternyata tidak. Kasus Love lebih dari sekadar kerugian pribadi. Jumlahnya, 5,92 BTC, bernilai sekitar $420.000 pada saat pencurian. Akumulasi satu dekade, terkuras dalam hitungan detik oleh aplikasi yang disetujui platform besar.

Pelacakan ZachXBT menempatkan dana curian tersebut di KuCoin. Apakah ada pemulihan yang terjadi masih belum jelas.

Postingan Fake Ledger App Slipped Past Apple, Cost Musician G. Love Nearly 6 BTC pertama kali muncul di Live Bitcoin News.