Una aplicación falsa de Ledger pasó desapercibida por Apple y le costó al músico G. Love casi 6 BTC

El músico G. Love perdió 5,92 BTC en una aplicación falsa de Ledger en la Apple Mac App Store. ZachXBT rastreó los fondos robados hasta direcciones de depósito de KuCoin.

Garrett Dutton, conocido profesionalmente como G. Love, perdió casi seis Bitcoin en segundos después de que una aplicación falsa de Ledger se filtrara en la Apple Mac App Store. La aplicación parecía legítima. No lo era.

Escribiendo en X, G. Love dijo que estaba migrando su billetera hardware Ledger a una nueva computadora cuando descargó lo que parecía ser la aplicación oficial. Los BTC desaparecieron instantáneamente. Describió la pérdida como su fondo de jubilación, construido durante diez años de mantenerlo.

"Tuve un día muy difícil hoy. Perdí mi fondo de jubilación en un hackeo/estafa cuando cambié mi @Ledger a mi nueva computadora y por accidente descargué una aplicación maliciosa de ledger de la tienda @Apple", publicó. "Todos mis BTC se fueron en un instante".

Apple aprobó la estafa

La aplicación falsa pasó el proceso de revisión de Apple. Esa parte aún no ha sido explicada.Love publicó el hash de transacción en X para que otros pudieran verificar el robo en cadena. El hash TX — 8753c7d24a28f677089aefb09628eb9b191e843ae965f55ca8ae87540561feaf — confirmó el vaciado. Dijo que 5,9 BTC era todo lo que tenía. "Trabajé en esto fuuuuuck tengan cuidado ahí afuera", escribió.

En una publicación separada, compartió su dirección BTC, preguntando a la comunidad si alguien quería ayudarlo a recuperar. "Esto es patético o gracioso, y me siento de ambas maneras", escribió.

ZachXBT rastreó cada Satoshi

El investigador de blockchain ZachXBT intervino. Rastreó todos los 5,92 BTC a través de nueve transacciones separadas, todas pasando por direcciones de depósito de KuCoin.

"Hola, rastreé tus 5,92 BTC robados, y todo fue lavado a través de direcciones de depósito de @kucoincom", escribió ZachXBT en X. Publicó los nueve hashes de transacción. El dinero se movió rápido. Para cuando alguien se dio cuenta, ya estaba dividido en múltiples direcciones y procesado a través del exchange.

La propia documentación de soporte de Ledger advierte que este tipo de ataque ha estado ocurriendo desde hace tiempo. Según la página oficial de advertencia de fraude de Ledger, actores maliciosos construyen réplicas convincentes de Ledger Wallet e impulsan a los usuarios a ingresar su Frase de Recuperación Secreta de 24 palabras. Esa frase, una vez escrita en cualquier lugar fuera del dispositivo físico Ledger, entrega acceso completo a la billetera al atacante.

La orientación de Ledger es directa: la frase de recuperación nunca debe ingresarse en ninguna computadora, aplicación móvil o plataforma en línea. La restauración solo ocurre en el propio dispositivo hardware durante la configuración.

El problema de la App Store que nadie arregló

Esta no es la primera vez que una aplicación falsa de cripto pasa el proceso de revisión de Apple. La documentación de Ledger señala específicamente aplicaciones falsas de Chrome como un vector de ataque conocido, señalando que las descargas oficiales deben provenir únicamente del sitio web de Ledger directamente.

Se suponía que la Mac App Store era diferente. Se suponía que la verificación detectaría esto. No lo hizo. El caso de Love es más que una pérdida personal. La cantidad, 5,92 BTC, valía aproximadamente $420.000 en el momento del robo. Una década de acumulación, vaciada en segundos por una aplicación que una plataforma importante aprobó.

El rastreo de ZachXBT ubica los fondos robados en KuCoin. Si alguna recuperación sigue siendo incierto.

La publicación Fake Ledger App Slipped Past Apple, Cost Musician G. Love Nearly 6 BTC apareció primero en Live Bitcoin News.