Fałszywa aplikacja Ledger ominęła Apple, kosztowała muzyka G. Love prawie 6 BTC

Muzyk G. Love stracił 5,92 BTC na rzecz fałszywej aplikacji Ledger w Apple Mac App Store. ZachXBT wyśledził skradzione środki do adresów depozytowych KuCoin.

Garrett Dutton, znany zawodowo jako G. Love, stracił prawie sześć Bitcoinów w ciągu kilku sekund po tym, jak fałszywa aplikacja Ledger przeszła przez Apple Mac App Store. Aplikacja wyglądała legalnie. Nie była.

Pisząc na X, G. Love powiedział, że migrował swój portfel sprzętowy Ledger na nowy komputer, kiedy pobrał coś, co wyglądało na oficjalną aplikację. BTC zniknęły natychmiast. Opisał stratę jako swój fundusz emerytalny, budowany przez dziesięć lat trzymania.

„Miałem dziś naprawdę ciężki dzień. Straciłem swój fundusz emerytalny w wyniku włamania/oszustwa, kiedy przełączałem mój @Ledger na nowy komputer i przez przypadek pobrałem złośliwą aplikację ledger ze sklepu @Apple" – napisał. „Wszystkie moje BTC zniknęły w mgnieniu oka."

Apple Zatwierdziło Oszustwo

Fałszywa aplikacja przeszła proces weryfikacji Apple. Ta część wciąż nie została wyjaśniona.Love opublikował hash transakcji na X, aby inni mogli zweryfikować kradzież w blockchain. Hash TX — 8753c7d24a28f677089aefb09628eb9b191e843ae965f55ca8ae87540561feaf — potwierdził wyciągnięcie środków. Powiedział, że 5,9 BTC to wszystko, co miał. „Pracowałem nad tym kurwa bądźcie tam ostrożni" – napisał.

W osobnym poście udostępnił swój adres BTC, pytając społeczność, czy ktoś chce mu pomóc w odzyskaniu środków. „To jest albo żałosne, albo zabawne, i czuję to w obie strony" – napisał.

ZachXBT Wyśledził Każdego Satoshi

Śledczy blockchain ZachXBT wkroczył do akcji. Wyśledził wszystkie 5,92 BTC przez dziewięć oddzielnych transakcji, wszystkie przechodzące przez adresy depozytowe KuCoin.

„Cześć, wyśledziłem Twoje skradzione 5,92 BTC i wszystko zostało wyprane przez adresy depozytowe @kucoincom" – napisał ZachXBT na X. Opublikował wszystkie dziewięć hashy transakcji. Pieniądze przemieszczały się szybko. Zanim ktokolwiek zauważył, były już podzielone na wiele adresów i przetworzone przez giełdę.

Własna dokumentacja wsparcia Ledger ostrzega, że tego rodzaju atak trwa już od jakiegoś czasu. Według oficjalnej strony ostrzeżeń przed oszustwami Ledger, złośliwi aktorzy budują przekonujące repliki Ledger Wallet i zmuszają użytkowników do wprowadzenia ich 24-słownej Tajnej Frazy Odzyskiwania. Ta fraza, gdy tylko zostanie wpisana gdziekolwiek poza fizycznym urządzeniem Ledger, przekazuje atakującemu pełny dostęp do portfela.

Wytyczne Ledger są jasne: fraza odzyskiwania nigdy nie powinna być wprowadzana na żadnym komputerze, aplikacji mobilnej ani platformie internetowej. Przywracanie odbywa się tylko na samym urządzeniu sprzętowym podczas konfiguracji.

Problem App Store, Którego Nikt Nie Naprawił

To nie pierwszy raz, gdy fałszywa aplikacja kryptowalutowa przeszła przez proces weryfikacji Apple. Dokumentacja Ledger konkretnie oznacza fałszywe aplikacje Chrome jako znany wektor ataku, zauważając, że oficjalne pobierania powinny pochodzić wyłącznie bezpośrednio ze strony internetowej Ledger.

Mac App Store miał być inny. Weryfikacja miała to wychwycić. Nie wychwycił. Sprawa Love'a to coś więcej niż osobista strata. Kwota, 5,92 BTC, była warta około 420 000 dolarów w momencie kradzieży. Dekada akumulacji, wyczerpana w ciągu sekund przez aplikację zatwierdzoną przez dużą platformę.

Śledzenie ZachXBT umieszcza skradzione środki w KuCoin. Czy nastąpi jakiekolwiek odzyskanie, pozostaje niejasne.

Post Fałszywa Aplikacja Ledger Przeszła Przez Apple, Kosztowała Muzyka G. Love Prawie 6 BTC pojawił się najpierw na Live Bitcoin News.