Поддельное приложение Ledger обошло защиту Apple, музыкант G. Love потерял почти 6 BTC

Музыкант G. Love потерял 5,92 BTC из-за поддельного приложения Ledger в Apple Mac App Store. ZachXBT отследил украденные средства до адресов депозитов KuCoin.

Гарретт Даттон, профессионально известный как G. Love, потерял почти шесть биткоинов за считанные секунды после того, как поддельное приложение Ledger проскользнуло через Apple Mac App Store. Приложение выглядело легитимным. Но таковым не являлось.

Написав в X, G. Love рассказал, что переносил свой аппаратный кошелек Ledger на новый компьютер, когда загрузил то, что казалось официальным приложением. BTC исчез мгновенно. Он описал потерю как свой пенсионный фонд, накопленный за десять лет хранения.

"У меня сегодня был очень тяжелый день. Я потерял свой пенсионный фонд в результате взлома/мошенничества, когда переключал свой @Ledger на новый компьютер и случайно скачал вредоносное приложение ledger из магазина @Apple," написал он. "Все мои BTC исчезли в одно мгновение."

Apple одобрила мошенничество

Поддельное приложение прошло процесс проверки Apple. Эта часть до сих пор не получила объяснения.Love опубликовал хэш транзакции в X, чтобы другие могли проверить кражу в блокчейне. Хэш транзакции — 8753c7d24a28f677089aefb09628eb9b191e843ae965f55ca8ae87540561feaf — подтвердил слив. Он сказал, что 5,9 BTC было всё, что у него было. "Я работал над этим, чёёёрт, будьте осторожны там," написал он.

В отдельном посте он поделился своим BTC-адресом, спрашивая сообщество, хочет ли кто-нибудь помочь ему восстановиться. "Это либо жалко, либо смешно, и я чувствую и то, и другое," написал он.

ZachXBT отследил каждый сатоши

Блокчейн-следователь ZachXBT вмешался. Он отследил все 5,92 BTC через девять отдельных транзакций, все проходили через адреса депозитов KuCoin.

"Привет, я отследил ваши украденные 5,92 BTC, и всё было отмыто через адреса депозитов @kucoincom," написал ZachXBT в X. Он опубликовал все девять хэшей транзакций. Деньги двигались быстро. К тому времени, как кто-то заметил, они уже были разделены между несколькими адресами и обработаны через биржу.

Собственная документация поддержки Ledger предупреждает, что этот вид атаки продолжается уже некоторое время. Согласно официальной странице предупреждений о мошенничестве Ledger, злоумышленники создают убедительные реплики Ledger Wallet и заставляют пользователей вводить свою 24-словную секретную фразу восстановления. Эта фраза, будучи введенной где-либо за пределами физического устройства Ledger, передаёт полный доступ к кошельку атакующему.

Руководство Ledger прямолинейно: фразу восстановления никогда не следует вводить на каком-либо компьютере, мобильном приложении или онлайн-платформе. Восстановление происходит только на самом аппаратном устройстве во время настройки.

Проблема App Store, которую никто не исправил

Это не первый случай, когда поддельное криптоприложение прошло через процесс проверки Apple. Документация Ledger специально отмечает поддельные приложения Chrome как известный вектор атак, указывая, что официальные загрузки должны производиться только с веб-сайта Ledger напрямую.

Mac App Store должен был быть другим. Проверка должна была это выявить. Этого не произошло. Случай Love — это больше, чем личная потеря. Сумма, 5,92 BTC, стоила примерно $420 000 на момент кражи. Накопления за десятилетие, слитые за секунды приложением, которое одобрила крупная платформа.

Отслеживание ZachXBT указывает на украденные средства в KuCoin. Последует ли какое-либо восстановление, остается неясным.

Пост Fake Ledger App Slipped Past Apple, Cost Musician G. Love Nearly 6 BTC впервые появился на Live Bitcoin News.