Appleストアで偽Ledgerアプリ発覚　40万ドル超のビットコイン流出

アップルのMac App Storeに掲載されていた偽のLedgerアプリが、ミュージシャンのG. Love氏から約6ビットコインを奪った。氏は、この悪質なソフトウェアにリカバリーフレーズを入力した。盗まれたビットコインの価値は42万4000ドルを超える。

ガレット・ダットン氏（G. Loveの名で知られる）は、4月11日のX投稿で、Ledgerの環境を新たなアップルコンピュータに移行中の被害を説明した。

ビットコイン盗難、偽ウォレットアプリのリスクを浮き彫りに

氏によれば、App StoreでLedger Liveを検索して本物らしいアプリをダウンロードし、画面の指示に従った。アプリは24語のシードフレーズを要求した。入力した直後、攻撃者にビットコインが抜き取られた。

ダットン氏によると、盗まれた資金は退職金の一部だった。

オンチェーン調査員ザックXBT氏は、盗まれた5.92BTCがKuCoinの入金アドレスとして特定されているアドレス経由で流されたと述べた。

資金が回収できるかという問いに対し、ザックXBT氏はKuCoinが介入する見込みはないと答えた。

代わりに同調査員は、KuCoinが都合の良い時だけコンプライアンスを装っていると非難した。また、同社が2月にMiCAライセンスを取得した3か月後に失ったことを、深刻なコンプライアンス問題の証拠だと指摘した。

ザックXBT氏はさらに続け、違法サービスがこのプラットフォーム内のブローカーや個人口座を利用し続けており、目立った規制当局の抵抗もないという。また、多数の入金アドレスから、被害資金はインスタント取引所を経由して送金された可能性が高いと述べた。

一方、Pudgy Penguinsのセキュリティ責任者であるBeau氏は、暗号資産ユーザーに向けて、ラップトップやスマートフォンなどインターネット接続デバイスにハードウェアウォレットのシードフレーズを入力しないよう警告している。

同氏は、詐欺師はしばしば偽のウォレットアプリを電子メール、偽広告、あるいは物理的な郵送で拡散するという。セキュリティ専門家として、ユーザーはウォレットソフトのダウンロードやアップデートを求める全ての連絡を、独自に検証するまでは詐欺と見なすべきだと付け加えた。