Muzikant G. Love verloor 5,92 BTC aan een nep-Ledger-app in de Apple Mac App Store. ZachXBT heeft de gestolen fondsen getraceerd naar stortadressen van KuCoin.
Garrett Dutton, professioneel bekend als G. Love, verloor bijna zes Bitcoin in enkele seconden nadat een nep-Ledger-app door de beveiliging van de Apple Mac App Store glipte. De app zag er legitiem uit. Maar dat was hij niet.
Op X schreef G. Love dat hij zijn Ledger-hardwarewallet naar een nieuwe computer aan het overzetten was toen hij downloadde wat de officiële app leek te zijn. De BTC was onmiddellijk verdwenen. Hij beschreef het verlies als zijn pensioenfonds, opgebouwd in tien jaar van HODL-en.
“Ik had vandaag een heel zware dag. Ik verloor mijn pensioenfonds bij een hack/zwendel toen ik mijn @Ledger overzette naar mijn nieuwe computer en per ongeluk een kwaadaardige ledger-app uit de @Apple store downloadde,” postte hij. “Al mijn BTC is in een oogwenk verdwenen.”
Apple keurde de zwendel goed
De nep-app passeerde het beoordelingsproces van Apple. Dat deel is nog steeds niet uitgelegd. Love postte de transactie-hash op X zodat anderen de diefstal op de chain konden verifiëren. De TX-hash — 8753c7d24a28f677089aefb09628eb9b191e843ae965f55ca8ae87540561feaf — bevestigde de leegroof. Hij zei dat 5,9 BTC alles was wat hij had. “Ik heb hieraan gewerkt, fuuuuuck, wees voorzichtig daarbuiten,” schreef hij.
In een aparte post deelde hij zijn BTC-adres en vroeg hij de gemeenschap of iemand wilde helpen met herstel. “Dit is ofwel zielig of grappig, en ik voel me beide,” schreef hij.
ZachXBT traceerde elke Satoshi
Blockchain-onderzoeker ZachXBT stapte erin. Hij traceerde alle 5,92 BTC via negen afzonderlijke transacties, die allemaal door stortadressen van KuCoin liepen.
“Hoi, ik heb je gestolen 5,92 BTC uitgetraceerd, en het werd allemaal witgewassen via @kucoincom stortadressen,” schreef ZachXBT op X. Hij postte alle negen transactie-hashes. Het geld bewoog snel. Tegen de tijd dat iemand het merkte, was het al verdeeld over meerdere adressen en verwerkt via de beurs.
Ledgers eigen ondersteuningsdocumentatie waarschuwt dat dit soort aanval al enige tijd gaande is. Volgens Ledgers officiële waarschuwingspagina voor fraude bouwen kwaadwillende actoren overtuigende replica’s van Ledger Wallet en zetten ze gebruikers ertoe aan hun 24-woorden Herstelfrase in te voeren. Die frase, eenmaal ergens anders ingetypt dan op het fysieke Ledger-apparaat, geeft de aanvaller volledige toegang tot de portemonnee.
Ledgers richtlijn is duidelijk: de herstelfrase mag nooit worden ingevoerd op een computer, mobiele app of online platform. Herstel gebeurt alleen op het hardware-apparaat zelf tijdens de installatie.
Het App Store-probleem dat niemand heeft opgelost
Dit is niet de eerste keer dat een nep-crypto-app door het beoordelingsproces van Apple kwam. Ledgers documentatie markeert specifiek nep-Chrome-applicaties als een bekende aanvalsvector en merkt op dat officiële downloads alleen rechtstreeks van de Ledger-website moeten komen.
De Mac App Store zou anders moeten zijn. De screening zou dit moeten oppikken. Dat gebeurde niet. Loves geval is meer dan een persoonlijk verlies. Het bedrag, 5,92 BTC, was ten tijde van de diefstal ongeveer $420.000 waard. Een decennium van accumulatie, in seconden leeggehaald door een app die een groot platform goedkeurde.
ZachXBT’s trace leidt de gestolen fondsen naar KuCoin. Of er enig herstel volgt, is nog onduidelijk.
Geef een reactie