Aplicação Falsa da Ledger Passou Pela Apple, Custou ao Músico G. Love Quase 6 BTC

O músico G. Love perdeu 5,92 BTC para uma aplicação falsa da Ledger na Apple Mac App Store. ZachXBT rastreou os fundos roubados até endereços de depósito da KuCoin.

Garrett Dutton, conhecido profissionalmente como G. Love, perdeu quase seis Bitcoin em segundos depois de uma aplicação falsa da Ledger ter passado pela Apple Mac App Store. A aplicação parecia legítima. Não era.

Escrevendo no X, G. Love disse que estava a migrar a sua carteira de hardware Ledger para um novo computador quando descarregou o que parecia ser a aplicação oficial. Os BTC desapareceram instantaneamente. Descreveu a perda como o seu fundo de reforma, construído ao longo de dez anos de retenção.

"Tive um dia muito difícil hoje. Perdi o meu fundo de reforma num hack/burla quando transferi a minha @Ledger para o meu novo computador e por acidente descarreguei uma aplicação maliciosa da ledger da @Apple store," publicou. "Todos os meus BTC desapareceram num instante."

A Apple Aprovou a Burla

A aplicação falsa passou pelo processo de revisão da Apple. Essa parte ainda não foi explicada.Love publicou o hash da transação no X para que outros pudessem verificar o roubo na blockchain. O hash TX — 8753c7d24a28f677089aefb09628eb9b191e843ae965f55ca8ae87540561feaf — confirmou o esvaziamento. Disse que 5,9 BTC era tudo o que tinha. "Trabalhei nisto fuuuuuck tenham cuidado," escreveu.

Numa publicação separada, partilhou o seu endereço de BTC, perguntando à comunidade se alguém queria ajudá-lo a recuperar. "Isto é patético ou engraçado, e sinto-me das duas formas," escreveu.

ZachXBT Rastreou Cada Satoshi

O investigador de blockchain ZachXBT interveio. Rastreou todos os 5,92 BTC através de nove transações separadas, todas passando por endereços de depósito da KuCoin.

"Olá, rastreei os seus 5,92 BTC roubados, e tudo foi lavado através de endereços de depósito da @kucoincom," escreveu ZachXBT no X. Publicou todos os nove hashes de transação. O dinheiro moveu-se rapidamente. Quando alguém notou, já estava dividido por vários endereços e processado através da exchange.

A própria documentação de suporte da Ledger avisa que este tipo de ataque tem estado ativo há algum tempo. De acordo com a página oficial de avisos de fraude da Ledger, agentes maliciosos constroem réplicas convincentes da Ledger Wallet e pressionam os utilizadores a introduzir a sua Frase de Recuperação Secreta de 24 palavras. Essa frase, uma vez digitada em qualquer lugar fora do dispositivo físico Ledger, entrega acesso completo à carteira ao atacante.

A orientação da Ledger é direta: a frase de recuperação nunca deve ser introduzida em qualquer computador, aplicação móvel ou plataforma online. A restauração só acontece no próprio dispositivo de hardware durante a configuração.

O Problema da App Store que Ninguém Corrigiu

Esta não é a primeira vez que uma aplicação falsa de cripto passou pelo processo de revisão da Apple. A documentação da Ledger sinaliza especificamente aplicações falsas do Chrome como um vetor de ataque conhecido, observando que os downloads oficiais devem vir apenas diretamente do website da Ledger.

A Mac App Store deveria ser diferente. A verificação deveria detetar isto. Não detetou. O caso de Love é mais do que uma perda pessoal. O montante, 5,92 BTC, valia aproximadamente $420.000 no momento do roubo. Uma década de acumulação, esvaziada em segundos por uma aplicação que uma grande plataforma aprovou.

O rastreio de ZachXBT coloca os fundos roubados na KuCoin. Permanece incerto se alguma recuperação de ativos se seguirá.

A publicação Aplicação Falsa da Ledger Passou pela Apple, Custou ao Músico G. Love Quase 6 BTC apareceu primeiro no Live Bitcoin News.