Gefälschte Ledger-App umging Apple, kostete Musiker G. Love fast 6 BTC

Der Musiker G. Love verlor 5,92 BTC an eine gefälschte Ledger-App im Apple Mac App Store. ZachXBT verfolgte die gestohlenen Gelder zu KuCoin-Einzahlungsadressen.

Garrett Dutton, professionell bekannt als G. Love, verlor innerhalb von Sekunden fast sechs Bitcoin, nachdem eine gefälschte Ledger-App durch den Apple Mac App Store geschlüpft war. Die App sah legitim aus. War sie aber nicht.

In einem Beitrag auf X sagte G. Love, er habe seine Ledger-Hardware-Wallet auf einen neuen Computer übertragen, als er heruntergeladen habe, was wie die offizielle App aussah. Die BTC waren sofort weg. Er beschrieb den Verlust als seinen Rentenfonds, den er über zehn Jahre aufgebaut hatte.

„Ich hatte heute einen wirklich harten Tag. Ich habe meinen Rentenfonds durch einen Hack/Betrug verloren, als ich meinen @Ledger auf meinen neuen Computer umgestellt und versehentlich eine bösartige Ledger-App aus dem @Apple Store heruntergeladen habe", postete er. „All meine BTC sind im Nu verschwunden."

Apple genehmigte den Betrug

Die gefälschte App bestand Apples Überprüfungsprozess. Dieser Teil wurde noch nicht erklärt.Love postete den Transaktions-Hash auf X, damit andere den Diebstahl On-Chain verifizieren konnten. Der TX-Hash — 8753c7d24a28f677089aefb09628eb9b191e843ae965f55ca8ae87540561feaf — bestätigte den Abzug. Er sagte, 5,9 BTC seien alles gewesen, was er hatte. „Ich habe daran gearbeitet, fuuuuuck, seid vorsichtig da draußen", schrieb er.

In einem separaten Beitrag teilte er seine BTC-Adresse und fragte die Community, ob jemand ihm bei der Wiederherstellung helfen wolle. „Das ist entweder erbärmlich oder lustig, und ich fühle beides", schrieb er.

ZachXBT verfolgte jeden Satoshi

Der Blockchain-Ermittler ZachXBT schritt ein. Er verfolgte alle 5,92 BTC durch neun separate Transaktionen, die alle über KuCoin-Einzahlungsadressen liefen.

„Hallo, ich habe Ihre 5,92 gestohlenen BTC verfolgt, und alles wurde über @kucoincom-Einzahlungsadressen gewaschen", schrieb ZachXBT auf X. Er postete alle neun Transaktions-Hashes. Das Geld bewegte sich schnell. Als es jemand bemerkte, war es bereits auf mehrere Adressen aufgeteilt und über die Börse verarbeitet worden.

Ledgers eigene Support-Dokumentation warnt, dass diese Art von Angriff schon seit einiger Zeit läuft. Laut Ledgers offizieller Betrugswarnungsseite erstellen böswillige Akteure überzeugende Nachbildungen von Ledger Wallet und drängen Benutzer dazu, ihre 24-Wort-Wiederherstellungsphrase einzugeben. Diese Phrase gewährt dem Angreifer vollständigen Wallet-Zugriff, sobald sie irgendwo außerhalb des physischen Ledger-Geräts eingegeben wird.

Ledgers Anleitung ist eindeutig: Die Wiederherstellungsphrase sollte niemals auf einem Computer, einer mobilen App oder einer Online-Plattform eingegeben werden. Die Wiederherstellung erfolgt nur auf dem Hardware-Gerät selbst während der Einrichtung.

Das App Store-Problem, das niemand behoben hat

Dies ist nicht das erste Mal, dass eine gefälschte Krypto-App Apples Überprüfungsprozess durchlaufen hat. Ledgers Dokumentation kennzeichnet speziell gefälschte Chrome-Anwendungen als bekannten Angriffsvektor und weist darauf hin, dass offizielle Downloads nur direkt von der Ledger-Website stammen sollten.

Der Mac App Store sollte anders sein. Die Überprüfung sollte dies erkennen. Tat sie aber nicht. Loves Fall ist mehr als ein persönlicher Verlust. Der Betrag von 5,92 BTC war zum Zeitpunkt des Diebstahls etwa 420.000 $ wert. Eine Dekade der Akkumulation, in Sekunden abgezogen durch eine App, die eine große Plattform genehmigte.

ZachXBTs Nachverfolgung platziert die gestohlenen Gelder bei KuCoin. Ob eine Wiederherstellung folgt, bleibt unklar.

Der Beitrag Fake Ledger App Slipped Past Apple, Cost Musician G. Love Nearly 6 BTC erschien zuerst auf Live Bitcoin News.