音樂家如何在假冒Ledger應用程式上損失5.92 BTC

加密貨幣評論員 Scott Melker 表示,他的一位朋友在使用從 Apple App Store 下載的假冒 Ledger 應用程式後,損失了價值近 45 萬美元的比特幣。

據他所說,音樂家 Garrett Dutton(亦稱為 G. Love)損失了 5.92 BTC,這些比特幣是他自 2017 年以來作為長期安全網而積累的。

G. Love 在詐騙應用程式中損失近 6 BTC

Melker 在社群媒體上發布了這起事件,表示這起盜竊發生在 Dutton 不知情的情況下下載了假冒錢包應用程式之後,由於該應用程式具有相同的品牌和相同的熟悉介面,很難將其與真實應用程式區分開來。就連 Melker 本人在查看後也無法分辨兩者的差異。

Dutton 在安裝應用程式後被提示輸入他的 24 個單詞助記詞,根據 Melker 的說法,該應用程式隨後捕獲了助記詞,並允許該計畫背後的犯罪分子重建錢包並竊取這位音樂家的 BTC。

然而,鏈上調查員 ZachXBT 追蹤了被盜的加密貨幣,稱這些資金已透過 KuCoin 洗錢並存入九個不同的地址。

該交易所隨後標記了這些交易,指派其 AML 團隊追蹤資金,並暫時凍結 ZachXBT 識別出的帳戶七天。

從損失中學到的教訓

Melker 將這起事件描述為毀滅性的,但也是其他人可以學習的重要例子。

他解釋說,第一個問題是在未透過官方來源驗證的情況下下載應用程式,指出人們應該養成在公司網站或經過驗證的管道上確認加密貨幣相關應用程式的習慣。

他強調的另一個重要事項是助記詞。在他看來,恢復短語應該只直接輸入到硬體裝置中或離線儲存。這是因為將其放在手機、電腦、應用程式或網站上會造成風險,如果環境被入侵,其他人可能會獲得訪問權限。

此外,使用者在使用自託管錢包時應始終承擔全部責任。這是因為在這些情況下,訪問權限不受恢復系統的保護。

Melker 最後表示,硬體錢包通常被認為是安全的,但使用它們的環境可能會使其變得不那麼安全。

這不是犯罪分子第一次嘗試從 Ledger 使用者那裡竊取加密貨幣。今年稍早,該錢包製造商的電子商務合作夥伴之一 Global-e 發生了資料洩露事件,暴露了客戶的資訊,攻擊者利用這些資訊發送聲稱 Ledger 與 Trezor 合併的網路釣魚郵件。

這篇文章《音樂家如何在假冒 Ledger 應用程式上損失 5.92 BTC》首次出現在 CryptoPotato。