Apple usuwa fałszywą aplikację Ledger Live po kradzieży kryptowalut wartej 9,5 mln USD
Apple usunął fałszywą aplikację Ledger Live z Mac App Store po doniesieniach, że oszukała użytkowników kryptowalut, nakłaniając ich do ujawnienia tajnej frazy kontrolującej ich portfele. Dla zwykłych posiadaczy kryptowalut ta historia jest przypomnieniem, że oficjalnie wyglądająca aplikacja w sklepie to nie to samo co bezpieczne pobieranie.
Według doniesień z około 50 ofiar skradziono kryptowaluty o wartości 9,5 miliona dolarów, a BleepingComputer poinformował, że Apple usunął fałszywą aplikację po zgłoszeniach użytkowników. Ledger twierdzi, że prawdziwa aplikacja Ledger Live jest dostępna do pobrania tylko z ich własnej strony internetowej, a nie z Mac App Store.
KLUCZOWE WNIOSKI
- BleepingComputer powiązał fałszywą ofertę w Mac App Store ze stratami w wysokości 9,5 miliona dolarów wśród około 50 ofiar.
- Fałszywa aplikacja prosiła o 24-wyrazową frazę odzyskiwania, co dało atakującym kontrolę nad środkami użytkowników.
- Ledger Live należy pobierać tylko ze strony Ledger, a Ledger twierdzi, że nigdy nie prosi o frazę odzyskiwania.
Apple usunął fałszywą aplikację, ale problem zaufania jest większy
BleepingComputer poinformował, że fałszywa oferta skopiowała branding Ledger na tyle dokładnie, aby wyglądać rutynowo, podczas gdy MacRumors zauważył, że Apple usunął ją z Mac App Store. Ponieważ te doniesienia mówią również, że Ledger nie dystrybuuje swojego oprogramowania Mac przez sklep Apple, niepowodzenie wygląda bardziej jak zła brama dystrybucji niż naruszenie portfela sprzętowego.
Szersze tło było już niepewne dla kryptowalut. Bitcoin był notowany blisko 73 683 dolarów, podczas gdy wskaźnik strachu i chciwości wynosił 23, co Alternative.me określa jako Ekstremalny Strach.
Wykres CoinMarketCap ilustrujący tło cenowe, do którego odnosi się ten artykuł o Apple.
To nerwowe tło pomaga wyjaśnić, dlaczego zaufanie do sklepu z aplikacjami ma znaczenie nawet w historii niezwiązanej z ceną. Ponieważ Ledger twierdzi, że fałszywe aplikacje pozostają powszechną taktyką oszustów, edukacja użytkowników ma teraz takie samo znaczenie jak projektowanie urządzeń, podobnie jak szerszy nacisk na bezpieczeństwo opisany w relacji Coinlineup dotyczącej Ethereum Foundation Launches $1M Security Subsidy Program.
Jak fałszywa aplikacja Ledger kradła środki inwestorów
Cointelegraph poinformował, że ofiary zostały poproszony o wpisanie 24-wyrazowej frazy odzyskiwania do fałszywej aplikacji. Ta fraza jest głównym kluczem do portfela, więc po jej przekazaniu atakujący mogli przenosić środki bez łamania sprzętu Ledger.
Cointelegraph poinformował, że ZachXBT powiązał kradzieże z aktywnością między 7 a 13 kwietnia 2026 roku w sieciach Bitcoin, Solana, Tron, XRP Ledger i kompatybilnych z EVM. BleepingComputer podkreślił straty w wysokości 3,23 miliona dolarów, 2,08 miliona dolarów i 1,95 miliona dolarów między 8 a 11 kwietnia, pokazując, jak szybko pojedyncza skradziona fraza może zamienić się w życiową stratę.
Ten wzór odpowiada ostrzeżeniu CTO Ledger, Charlesa Guillemeta, że użytkownicy nie powinni domyślnie ufać dopracowanym środowiskom oprogramowania. Odpowiada również ryzyku warstwy oprogramowania opisanemu w raporcie Coinlineup dotyczącym TRON Post-Quantum Signatures on Mainnet, gdzie silniejsze obietnice bezpieczeństwa nadal zależą od tego, co użytkownicy instalują i zatwierdzają.
Według drugorzędnych doniesień, które cytowały śledzenie przez ponad 150 adresów depozytowych KuCoin, skradzione środki mogły być przekazywane przez sieć prania pieniędzy, ale Apple i KuCoin nie potwierdziły publicznie tej trasy, gdy raporty zostały opublikowane. BleepingComputer osobno poinformował, że KuCoin tymczasowo zamroził podejrzane konta w oczekiwaniu na możliwe działania następcze.
Co użytkownicy Ledger powinni zrobić po oszustwie w App Store
Cointelegraph poinformował, że Guillemet powiedział, że Ledger nigdy nie prosi o 24-wyrazową frazę odzyskiwania i ostrzegł użytkowników, aby nie ufali automatycznie oficjalnie wyglądającemu oprogramowaniu.
Wytyczne Ledger dotyczące phishingu mówią, że fałszywe aplikacje Ledger Wallet i Ledger Live to powszechna taktyka oszustów, a jedynym oficjalnym punktem pobierania jest ledger.com/ledger-live. Dla zwykłego użytkownika najbezpieczniejsza zasada jest prosta: dodaj tę stronę do zakładek i ignoruj każdą inną ścieżkę instalacji.
Ten rodzaj podstawowej weryfikacji ma znaczenie, nawet gdy produkty kryptowalutowe stają się bardziej dopracowane dla użytkowników głównego nurtu. Relacja Coinlineup dotycząca planu rozliczenia tokenizowanych obligacji Ripple i Kyobo Life Insurance pokazuje, ile wysiłku wkłada się w sprawianie, aby narzędzia blockchain wydawały się znajome, ale gładsze opakowanie nadal nie dowodzi, że oprogramowanie jest autentyczne.
MacRumors poinformował, że Apple nie opublikowało publicznego oświadczenia dotyczącego harmonogramu usunięcia lub niepowodzenia przeglądu, gdy raporty zostały opublikowane. Ten sam raport przekazał niezłożony pomysł pozwu zbiorowego od ZachXBT, ale bez przytoczonego pozwu, bardziej użyteczny wniosek krótkoterminowy jest praktyczny: nigdy nie wpisuj frazy odzyskiwania do aplikacji, której sam nie zweryfikowałeś.
Zastrzeżenie: Ten artykuł ma wyłącznie charakter informacyjny i nie stanowi porady finansowej ani inwestycyjnej. Rynek kryptowalut i aktywów cyfrowych niesie ze sobą znaczne ryzyko. Zawsze przeprowadzaj własne badania przed podjęciem decyzji.
Możesz także polubić
Cena Bitcoina zatrzymuje się na 76 000 USD, gdy Wall Street tworzy fundusz czerpiący z niego zyski
BitMine zgłasza kwartalną stratę 3,82 mld USD, ponieważ inwestycja w Ethereum ciąży na wynikach
