假Ledger Live应用通过苹果Mac App Store审核,72小时内窃取超950万美元加密货币

假冒Ledger Live应用混入苹果Mac App Store,蓝调音乐人G. Love损失5.92 BTC(约42.4万美元)。一周内至少50名受害者被盗超950万美元,单笔最大超100万美元。

蓝调摇滚音乐人Garrett Dutton(艺名G. Love)刚刚上了加密货币安全领域最昂贵的一课。他在苹果Mac App Store下载了自以为是的官方Ledger Live应用,结果损失5.92 BTC(约42.4万美元)。

那并非真货——而是一个用于窃取24词助记词的钓鱼克隆应用。Dutton在为新Mac设置Ledger硬件钱包时正好落入陷阱。

这款假应用并非只针对一位音乐人。4月7日至13日间,假Ledger Live克隆体已造成50多名受害者,在比特币和以太坊相关网络上至少被盗950万美元。其中三笔个人被盗金额超过100万美元。

该应用以开发者名称“Leva Heal Limited”发布,与真正的法国硬件钱包制造商Ledger SAS毫无关联。骗局手法如下:假冒应用模仿真实Ledger Live界面,引导用户在假“钱包恢复”流程中输入24词恢复短语。

链上调查员ZachXBT追踪被盗资金,发现它们被路由至150多个KuCoin存款地址,并使用名为AudiA6的混币服务来掩盖资金流向。

苹果在接到用户报告和调查后已从Mac App Store下架该应用。但此时950万美元已不翼而飞。

Ledger多次警告用户,其应用绝不会要求用户在电脑或手机上输入24词恢复短语。助记词只能直接在硬件设备上输入。Dutton当时正在更换新电脑,在App Store搜索Ledger Live,找到看似正确的应用并跟随提示操作。

加密货币投资者的实用教训极其简单:永远不要在任何软件应用中输入你的助记词——无论是手机、电脑,哪怕应用看起来完全一样且来自官方应用商店。

对于持有大量加密货币的投资者,此事件也应促使他们全面审视安全措施:直接收藏官方Ledger网站;只从经过验证的来源下载软件;在安装任何加密相关软件前核实开发者名称。

AudiA6混币服务和150多个KuCoin存款地址表明攻击者拥有精心策划的退出策略。一旦资金进入混币器,追回难度将指数级增加。ZachXBT的链上工作可能有助于执法机构追查部分赃款。

免责声明:本文提供的信息不是交易建议。BlockWeeks.com不对根据本文提供的信息所做的任何投资承担责任。我们强烈建议在做出任何投资决策之前进行独立研究或咨询合格的专业人士。

(0)
区块链小猫的头像区块链小猫作者
上一篇 2小时前
下一篇 2小时前

相关推荐

发表回复

登录后才能评论
分享本页
返回顶部