假 Ledger 應用程式繞過 Apple 審查，音樂家 G. Love 損失近 6 BTC

音樂人 G. Love 因 Apple Mac App Store 上的假 Ledger 應用程式損失了 5.92 BTC。ZachXBT 追蹤被盜資金至 KuCoin 存款地址。

專業名稱為 G. Love 的 Garrett Dutton,在一個假 Ledger 應用程式通過 Apple Mac App Store 審核後,幾秒內損失了近六枚 Bitcoin。該應用程式看起來很正規。但實際上並非如此。

在 X 上發文時, G. Love 表示他正在將 Ledger 硬體錢包遷移到新電腦時,下載了一個看似官方的應用程式。BTC 瞬間消失。他將這筆損失描述為他持有十年所累積的退休基金。

「我今天過得非常艱難。當我將 @Ledger 轉換到新電腦時,不小心從 @Apple 商店下載了一個惡意的 Ledger 應用程式,在駭客攻擊/詐騙中損失了我的退休基金,」他發文表示。「我所有的 BTC 瞬間消失了。」

Apple 批准了這個詐騙應用

這個假應用程式通過了 Apple 的審核流程。這部分至今仍未得到解釋。Love 在 X 上發布了交易雜湊值,以便其他人可以在鏈上驗證這次盜竊。交易雜湊值 — 8753c7d24a28f677089aefb09628eb9b191e843ae965f55ca8ae87540561feaf — 確認了資金被竊。他表示 5.9 BTC 是他的全部。「我為此努力了這麼久,該死的,大家在外面要小心,」他寫道。

在另一篇貼文中, 他分享了自己的 BTC 地址,詢問社群是否有人願意幫助他恢復。「這要麼很可悲,要麼很可笑,而我兩種感覺都有,」他寫道。

ZachXBT 追蹤了每一聰

區塊鏈調查員 ZachXBT 介入了。他通過九筆獨立交易追蹤了全部 5.92 BTC,所有交易都經過 KuCoin 存款地址。

「嗨,我追蹤了你被盜的 5.92 BTC,全部通過 @kucoincom 存款地址進行洗錢,」ZachXBT 在 X 上寫道。他發布了全部九個交易雜湊值。資金轉移得很快。當有人注意到時,資金已經分散到多個地址並通過交易所處理。

Ledger 自己的支援文件警告這類攻擊已經持續了一段時間。根據 Ledger 官方詐騙警告頁面,惡意行為者製作令人信服的 Ledger Wallet 複製品,並誘使用戶輸入他們的 24 字助記詞。一旦在 Ledger 實體裝置之外的任何地方輸入該助記詞,就會將錢包的完整存取權交給攻擊者。

Ledger 的指引很明確:助記詞絕不應在任何電腦、行動應用程式或線上平台上輸入。恢復只能在設定期間在硬體裝置本身上進行。

無人修復的 App Store 問題

這不是第一次假 加密貨幣應用程式通過 Apple 的審核流程。Ledger 的文件特別標記假 Chrome 應用程式為已知的攻擊途徑,並指出官方下載應該僅直接來自 Ledger 網站。

Mac App Store 本應有所不同。審查本應能發現這個問題。但並沒有。Love 的案例不僅僅是個人損失。被盜金額 5.92 BTC 在當時價值約 420,000 美元。十年的累積,被一個主要平台批准的應用程式在幾秒內竊取。

ZachXBT 的追蹤顯示被盜資金位於 KuCoin。是否能夠追回仍不清楚。

本文《假 Ledger 應用程式通過 Apple 審核,讓音樂人 G. Love 損失近 6 BTC》首次發表於 Live Bitcoin News。