Nhạc sĩ G. Love mất 5.92 BTC vào ứng dụng Ledger giả mạo trên Apple Mac App Store. ZachXBT đã truy vết số tiền bị đánh cắp đến các địa chỉ gửi tiền KuCoin.
Garrett Dutton, được biết đến với nghệ danh G. Love, đã mất gần sáu Bitcoin trong vài giây sau khi một ứng dụng Ledger giả mạo lọt qua được Apple Mac App Store. Ứng dụng trông có vẻ hợp pháp. Nhưng thực tế thì không.
Viết trên X, G. Love cho biết anh đang chuyển ví cứng Ledger của mình sang máy tính mới thì đã tải xuống thứ trông giống ứng dụng chính thức. Số BTC biến mất ngay lập tức. Anh mô tả khoản lỗ này là quỹ hưu trí của mình, được tích lũy qua mười năm nắm giữ.
“Hôm nay tôi đã có một ngày thực sự tồi tệ. Tôi đã mất quỹ hưu trí của mình trong một vụ hack/lừa đảo khi chuyển @Ledger của tôi sang máy tính mới và vô tình tải xuống một ứng dụng ledger độc hại từ cửa hàng @Apple,” anh đăng tải. “Tất cả BTC của tôi biến mất trong tích tắc.”
Apple Đã Phê Duyệt Vụ Lừa Đảo
Ứng dụng giả mạo đã vượt qua quy trình đánh giá của Apple. Phần này vẫn chưa được giải thích.Love đã đăng mã hash giao dịch lên X để những người khác có thể xác minh vụ trộm trên chuỗi. Mã hash TX — 8753c7d24a28f677089aefb09628eb9b191e843ae965f55ca8ae87540561feaf — đã xác nhận việc rút sạch. Anh nói 5.9 BTC là tất cả những gì anh có. “Tôi đã làm việc cho cái này fuuuuuck hãy cẩn thận ngoài kia,” anh viết.
Trong một bài đăng riêng biệt, anh đã chia sẻ địa chỉ BTC của mình, hỏi cộng đồng liệu có ai muốn giúp anh khôi phục. “Điều này hoặc là thảm hại hoặc là buồn cười, và tôi cảm thấy cả hai,” anh viết.
ZachXBT Truy Vết Từng Satoshi
Nhà điều tra blockchain ZachXBT đã vào cuộc. Anh đã truy vết toàn bộ 5.92 BTC qua chín giao dịch riêng biệt, tất cả đều chạy qua các địa chỉ gửi tiền KuCoin.
“Xin chào, tôi đã truy ra 5.92 BTC bị đánh cắp của bạn, và tất cả đã được rửa thông qua các địa chỉ gửi tiền @kucoincom,” ZachXBT viết trên X. Anh đã đăng tất cả chín mã hash giao dịch. Tiền di chuyển nhanh chóng. Đến khi ai đó phát hiện ra, nó đã bị chia nhỏ qua nhiều địa chỉ và xử lý thông qua sàn giao dịch.
Tài liệu hỗ trợ của chính Ledger cảnh báo rằng loại tấn công này đã diễn ra được một thời gian. Theo trang cảnh báo gian lận chính thức của Ledger, các tác nhân độc hại xây dựng các bản sao giống hệt Ledger Wallet và đẩy người dùng nhập Cụm từ Khôi phục Bí mật 24 từ. Cụm từ đó, một khi được nhập vào bất kỳ đâu bên ngoài thiết bị Ledger vật lý, sẽ trao toàn quyền truy cập ví cho kẻ tấn công.
Hướng dẫn của Ledger rất rõ ràng: cụm từ khôi phục không bao giờ được nhập vào bất kỳ máy tính, ứng dụng di động hoặc nền tảng trực tuyến nào. Việc khôi phục chỉ xảy ra trên chính thiết bị phần cứng trong quá trình thiết lập.
Vấn Đề App Store Chưa Ai Sửa
Đây không phải là lần đầu tiên một ứng dụng tiền điện tử giả mạo lọt qua quy trình đánh giá của Apple. Tài liệu của Ledger đặc biệt gắn cờ các ứng dụng Chrome giả mạo là một vector tấn công đã biết, lưu ý rằng việc tải xuống chính thức chỉ nên đến từ trang web Ledger trực tiếp.
Mac App Store lẽ ra phải khác. Việc kiểm duyệt lẽ ra phải ngăn chặn điều này. Nhưng nó đã không làm được. Trường hợp của Love không chỉ là một mất mát cá nhân. Số tiền, 5.92 BTC, có giá trị khoảng 420.000 USD tại thời điểm bị đánh cắp. Một thập kỷ tích lũy, bị rút sạch trong vài giây bởi một ứng dụng mà một nền tảng lớn đã phê duyệt.
Việc truy vết của ZachXBT cho thấy số tiền bị đánh cắp đang ở KuCoin. Liệu có bất kỳ sự khôi phục nào sau đó hay không vẫn chưa rõ ràng.
Để lại một bình luận