Podrobione aplikacja Ledger w Mac App Store skradła 9,5 mln dolarów kryptowalut
Podrobiona wersja aplikacji Ledger Live niezauważenie skradła ponad 9,5 miliona dolarów kryptowalut od ponad 50 osób — w tym muzyka G. Love’a — dopóki Apple nie usunęła jej z Mac App Store. Jeśli kiedykolwiek ufałeś aplikacji tylko dlatego, że była w oficjalnym sklepie, ta historia pokazuje, dlaczego nawet to nie zawsze jest bezpieczne.
Jak podrobiona aplikacja oszukała prawdziwych użytkowników
Ledger to znana firma produkująca fizyczne "portfele sprzętowe" — małe urządzenia, które bezpiecznie przechowują aktywa cyfrowe, takie jak bitcoin, offline, poza zasięgiem hakerów. Aby zarządzać tymi aktywami, użytkownicy często pobierają oficjalne oprogramowanie Ledger Live. Ale w ubiegłą niedzielę w sklepie aplikacji Apple pojawiła się przekonująca podmiana tego narzędzia.
Podrobiona aplikacja wyglądała niemal identycznie jak oryginał. Po instalacji prosiła użytkowników o podłączenie ich urządzenia Ledger i wpisanie frazy odzyskiwania — ciągu z 12–24 słów, który działa jak główny klucz do wszystkich Twoich aktywów kryptograficznych. Udostępnienie tej frazy dowolnej aplikacji lub stronie oznacza natychmiastową utratę pełnej kontroli nad Twoimi środkami.
Wyobraź sobie swoją frazę odzyskiwania jako kombinację do sejfu domowego. Jeśli ktoś przekona Cię do wpisania jej w podrobioną aplikację bankową, może opróżnić Twój sejf — nawet jeśli aplikacja wygląda całkowicie legalnie.
Ofiary straciły wszystko w kilka minut
Śród poszkodowanych był Garrett Dutton, znany jako G. Love, który stracił około 447 000 dolarów w bitcoinax. Przed chwilą przełożył się na nowy komputer i, ufając temu, że sklep aplikacji Apple zawiera tylko sprawdzone programy, pobrał to, co uważał za Ledger Live. W ciągu kilku sekund jego cały portfel kryptowalutowy zniknął.
Badacz blockchaina ZachXBT śledził skradzione środki i stwierdził:
- Łączna suma skradzionych środków wyniosła ponad 9,5 miliona dolarów w bitcoina, Solany, XRP i USDT.
- Jedna z ofiar straciła 3,27 miliona dolarów w stablecoinach.
- Co najmniej trzech ludzi straciło więcej niż 1,95 miliona dolarów każdy.
Złoczyńcy szybko przetransferowali pieniądze przez ponad 150 adresów depozytowych powiązanych z giełdą KuCoin, używając usługi AudiA6, która miesza skradzione środki z innymi, by ukryć ich pochodzenie — podobnie jak ktoś może myć gotówkę, przepuszczając ją przez kilka firm.
Dlaczego aplikacja została dopuszczona do App Store?
App Store Apple ma surowe zasady weryfikacji, ale oszustwo staje się coraz lepsze w obchodzeniu systemu. Podrobiona aplikacja wykorzystała podobne branding, poprawne napisy i wystarczająco precyzyjnie imitowała rzeczywiste funkcje, by przejść pierwszą kontrolę. Pozostała w sprzedaży prawie jedną nedelyu — od 7 do 13 kwietnia — zanim została usunięta.
To nie pierwszy przypadek, gdy użytkownicy Ledger zostają ofiarą. Firma ostrzega, że ataki typu phishing często przychodzą przez podrobione aplikacje, e-maile, rozmowy telefoniczne czy nawet przesyłki pocztowe imitujące dokumenty oficjalne. W zeszłym roku władze amerykańskie zwróciły 600 000 dolarów kryptowalut, skradzionych przez podrobione wiadomości od Ledger.
Co to oznacza dla zwykłych ludzi?
Nie musisz posiadać kryptowalut, by wyciągnąć wniosek z tej historii: zaufanie nie gwarantuje bezpieczeństwa tylko dlatego, że coś pochodzi z dużej platformy, takiej jak Apple. Zawsze sprawdzaj URL, wydawcę aplikacji i nigdy, w żadnych warunkach, nie wprowadzaj swojej frazy odzyskiwania w żadne oprogramowanie — prawdziwe aplikacje Ledger nigdy jej nie poproszą.
Jeśli korzystasz z portfela sprzętowego:
- Pobieraj oprogramowanie wyłącznie z oficjalnej strony firmy (ledger.com), a nie ze sklepów aplikacji.
- Utrzymuj prawdziwą stronę w zakładkach, by uniknąć literówek.
- Traktuj swoją frazę odzyskiwania jak hasło, którego nigdy nie udostępniasz — nawet obsłudze klienta.
Kluczowe wnioski
- Podrobiona aplikacja Ledger Live w Mac App Store skradła 9,5 miliona dolarów kryptowalut od ponad 50 użytkowników.
- Śród ofiar znajdują się postacie publiczne, takie jak muzyk G. Love, który stracił prawie pół miliona dolarów.
- Oszustwo działało poprzez oszukanie użytkowników, zmuszając ich do wpisania prywatnej frazy odzyskiwania — klucza do ich aktywów cyfrowych.
- Skradzione środki szybko zostały umyte przez KuCoin za pomocą usług mieszających, by ukryć ślady.
- Nawet sprawdzone sklepy aplikacji nie są chronione przed zaawansowanymi podrobieniami; konieczna jest ostrożność.
— Editorial Team