Välgutatud Ledgeri rakendus läbis Apple’i kontrolli, kostis muusikalt G. Love peaaegu 6 BTC

Muusik G. Love kaotas 5,92 BTCd vale Ledgeri rakendusele Apple’i Mac App Store’is. ZachXBT jälgis varastatud vahendeid KuCoini sissemakse-aadressidele.

Garrett Dutton, kelle kutsumisnimi on G. Love, kaotas peaaegu kuus Bitcoinit sekundites pärast seda, kui vale Ledgeri rakendus läbis Apple’i Mac App Store’i. Rakendus nägi usutav välja. Tegelikult ei olnud see seda.

Kirjutades X-is, mainis G. Love, et ta üles seadis oma Ledgeri riistvaraliselt portfelli uuele arvutile, kui allalaadis selleks ilmselt ametliku rakenduse. BTC-d ei olnud enam olemas. Ta kirjeldas kaotust oma pensionifondina, mille ta oli kogunud kümne aasta jooksul hoides.

„Täna oli mul väga raske päev. Kaotasin oma pensionifondi ühe häkkimise/valesti tehtud tehingu tõttu, kui ma liigutasin oma @Ledgeri üle oma uuele arvutile ja allalaadinud valesti Apple’i @Apple store’st kurjasti Ledgeri rakenduse,“ postitas ta. „Kõik mu BTC on hetkeseisuga kadunud.“

Apple kinnitas pettuse

Vale rakendus läbis Apple’i ülevaatuse protsessi. Seda osa pole siiani selgitatud.Love postitas X-is tehingu räsi, et teised saaksid varguse ahelaülevalt kinnitada. TX-räsi — 8753c7d24a28f677089aefb09628eb9b191e843ae965f55ca8ae87540561feaf — kinnitas varguse. Ta ütles, et 5,9 BTC oli kõik, mis tal oli. „Olen selle üle töötanud fuuuuuck – olge ettevaatlikud,“ kirjutas ta.

Eraldi postituses jagas ta oma BTC-aadressi ja palus kogukonnalt abi taastamiseks. „See on kas patetlik või naljakas, ja ma tunnen mõlemat,“ kirjutas ta.

ZachXBT jälgis iga satoshit

Blockchain-uurija ZachXBT astus sisse. Ta jälgis kõiki 5,92 BTC-d üle üheksa eraldi tehingu, kõik läbisid KuCoini sissemakse-aadresse.

„Tere! Jälgisin sinu varastatud 5,92 BTC-d ja kõik see pesiti läbi @kucoincom sissemakse-aadresside,“ kirjutas ZachXBT X-is. Ta postitas kõigi üheksa tehingu räsid. Rahad liikusid kiiresti. Kui keegi üldse tähelepanu pööras, oli raha juba jagatud mitmeks aadressiks ja töödeldud börsil.

Ledgeri enda toetusdokumentatsioon hoiatab, et selline rünnak on käimas juba mõnda aega. Sõltuvalt Ledgeri ametlikust pettuste hoiatuse leheküljest ehitavad kurjatud tegijad veenvalt välja näivaid Ledger Walleti koopiasid ning sunnivad kasutajaid sisestama oma 24-sõnalise saladusliku taastusfrase. See fraas, kui seda sisestatakse kuhugi mujale kui füüsilisse Ledgeri seadmesse, annab rünnakutele täieliku juurdepääsu portfellile.

Ledgeri juhis on selge: taastusfrase ei tohi kunagi sisestada ühelgi arvutis, mobiilirakenduses ega veebiplatvormil. Taastamine toimub ainult riistvaraseadmes ise seadistamise ajal.

Rakenduste poe probleem, mida keegi ei ole parandanud

See ei ole esimene kord, kui vale krüptorakendus läbis Apple’i ülevaatuse protsessi. Ledgeri dokumentatsioon täpsustab, et vale Chrome’i rakendused on teadaolev rünnakute vektor ja märgib, et ametlikud allalaadimised peaksid tulema ainult otse Ledgeri veebisaidilt.

Mac App Store pidanuks olema teistsugune. Ülevaatuse pidanuks selle kinnitama. Nii ei juhtunud. Love’i juhtum on rohkem kui isiklik kaotus. Summa, 5,92 BTC, oli varguse ajal umbes 420 000 USA dollarit väärt. Kümnendite pikkune kogumine, millest sai kõik ära sekundites ühe suure platvormi poolt heaks kiidetud rakenduse tõttu.

ZachXBT jälgimine viis varastatud vahendid KuCoini. Kas mingit taastamist järgneb, on seni selge.

Postitus Fake Ledger App Slipped Past Apple, Cost Musician G. Love Nearly 6 BTC ilmus esimesena Live Bitcoin News’is.