音乐家如何在假冒Ledger应用程序上损失5.92 BTC

加密货币评论员Scott Melker表示,他的一位朋友在使用从Apple App Store下载的假冒Ledger应用程序后,损失了价值近45万美元的比特币。

据他所说,音乐人Garrett Dutton(也被称为G. Love)损失了5.92 BTC,这些比特币是他自2017年以来作为长期安全保障而积累的。

G. Love在诈骗应用程序中损失近6 BTC

Melker在社交媒体上发布了这起事件,称盗窃发生在Dutton在不知情的情况下下载了一个假钱包应用程序之后,因为它很难与真正的应用程序区分开来,两者拥有相同的品牌标识和熟悉的界面。就连Melker本人在查看后也无法分辨两者的区别。

Dutton在安装应用程序后被提示输入他的24个单词的助记词,据Melker称,该应用程序随后捕获了助记词,使得该计划背后的犯罪分子能够重建钱包并窃取这位音乐人的BTC。

然而,链上调查员ZachXBT追踪了被盗的加密货币,称其已通过KuCoin洗钱并存入九个不同的地址。

该交易所随后标记了这些交易,委托其反洗钱团队追踪资金,并暂时冻结ZachXBT识别出的账户七天。

从损失中吸取的教训

Melker将这起事件描述为毁灭性的,但这是其他人可以从中学习的重要案例。

他解释说,第一个问题是在没有通过官方来源验证的情况下下载应用程序,并指出人们应该养成在公司网站或经过验证的渠道确认加密货币相关应用程序的习惯。

他强调的另一个重要事项是助记词。在他看来,恢复短语应该只直接输入到硬件设备中或离线存储。这是因为将其放在手机、电脑、应用程序或网站上会在环境受到威胁的情况下造成他人获取访问权限的风险。

此外,用户在使用自托管钱包时应始终承担全部责任。这是因为在这种情况下,访问权限不受恢复系统的保护。

Melker最后表示,硬件钱包通常被认为是安全的,但使用它们的环境可能会使其变得不那么安全。

这不是犯罪分子第一次试图从Ledger用户那里窃取加密货币。今年早些时候,该钱包制造商的一家电子商务合作伙伴Global-e发生数据泄露,暴露了客户信息,攻击者利用这些信息发送网络钓鱼电子邮件,声称Ledger与Trezor合并。

文章《音乐人如何在假冒Ledger应用程序中损失5.92 BTC》首次发表于CryptoPotato。