Une fausse application Ledger a contourné Apple et coûté près de 6 BTC au musicien G. Love

Le musicien G. Love a perdu 5,92 BTC à cause d'une fausse application Ledger sur l'Apple Mac App Store. ZachXBT a tracé les fonds volés vers des adresses de dépôt KuCoin.

Garrett Dutton, connu professionnellement sous le nom de G. Love, a perdu près de six Bitcoin en quelques secondes après qu'une fausse application Ledger ait réussi à passer sur l'Apple Mac App Store. L'application semblait légitime. Elle ne l'était pas.

Écrivant sur X, G. Love a déclaré qu'il migrait son portefeuille matériel Ledger vers un nouvel ordinateur lorsqu'il a téléchargé ce qui semblait être l'application officielle. Les BTC ont disparu instantanément. Il a décrit cette perte comme son fonds de retraite, constitué sur dix ans de détention.

« J'ai eu une journée vraiment difficile aujourd'hui. J'ai perdu mon fonds de retraite dans un piratage/arnaque lorsque j'ai transféré mon @Ledger sur mon nouvel ordinateur et que j'ai accidentellement téléchargé une application Ledger malveillante depuis le store @Apple », a-t-il publié. « Tous mes BTC ont disparu en un instant. »

Apple a approuvé l'arnaque

La fausse application a passé le processus de révision d'Apple. Cette partie n'a toujours pas été expliquée.Love a publié le hash de transaction sur X afin que d'autres puissent vérifier le vol sur la chaîne. Le hash TX — 8753c7d24a28f677089aefb09628eb9b191e843ae965f55ca8ae87540561feaf — a confirmé le drainage. Il a déclaré que 5,9 BTC était tout ce qu'il avait. « J'ai travaillé là-dessus puuutain faites attention là-bas », a-t-il écrit.

Dans un post séparé, il a partagé son adresse BTC, demandant à la communauté si quelqu'un voulait l'aider à récupérer. « C'est soit pathétique soit drôle, et je ressens les deux », a-t-il écrit.

ZachXBT a tracé chaque Satoshi

L'enquêteur blockchain ZachXBT est intervenu. Il a tracé les 5,92 BTC à travers neuf transactions distinctes, toutes passant par des adresses de dépôt KuCoin.

« Salut, j'ai tracé vos 5,92 BTC volés, et tout a été blanchi via des adresses de dépôt @kucoincom », a écrit ZachXBT sur X. Il a publié les neuf hashs de transaction. L'argent s'est déplacé rapidement. Au moment où quelqu'un l'a remarqué, il était déjà divisé entre plusieurs adresses et traité via la plateforme d'échange.

La documentation de support de Ledger elle-même avertit que ce type d'attaque se produit depuis un certain temps. Selon la page officielle d'avertissement contre la fraude de Ledger, des acteurs malveillants construisent des répliques convaincantes de Ledger Wallet et poussent les utilisateurs à entrer leur phrase de récupération secrète de 24 mots. Cette phrase, une fois saisie n'importe où en dehors du dispositif Ledger physique, donne un accès complet au portefeuille à l'attaquant.

Les directives de Ledger sont directes : la phrase de récupération ne doit jamais être saisie sur un ordinateur, une application mobile ou une plateforme en ligne. La restauration ne se produit que sur le dispositif matériel lui-même lors de la configuration.

Le problème de l'App Store que personne n'a résolu

Ce n'est pas la première fois qu'une fausse application cryptomonnaie passe le processus de révision d'Apple. La documentation de Ledger signale spécifiquement les fausses applications Chrome comme un vecteur d'attaque connu, notant que les téléchargements officiels ne doivent provenir que directement du site Web de Ledger.

Le Mac App Store était censé être différent. La vérification était censée attraper cela. Ce n'a pas été le cas. Le cas de Love est plus qu'une perte personnelle. Le montant, 5,92 BTC, valait environ 420 000 $ au moment du vol. Une décennie d'accumulation, vidée en quelques secondes par une application approuvée par une plateforme majeure.

Le traçage de ZachXBT place les fonds volés chez KuCoin. Il reste incertain si une récupération suivra.

Le post Fake Ledger App Slipped Past Apple, Cost Musician G. Love Nearly 6 BTC est apparu en premier sur Live Bitcoin News.