Как поддельный Ledger Live попал в App Store
Apple сообщил Cointelegraph, что фейковое приложение было размещено разработчиком под названием «SAS Software Company». Компания использовала так называемую стратегию bait-and-switch – сначала приложение проходило модерацию как легитимное, а затем его описание и скриншоты менялись, чтобы имитировать настоящий Ledger Live.
После установки приложение просило пользователей ввести сид-фразу – набор из 12 или 24 слов, который даёт полный доступ к криптокошельку. Получив эти данные, мошенники выводили все средства.
Apple признал, что подобные схемы – не редкость. Только в 2024 году компания удалила или отклонила более 17 000 приложений за использование тактики bait-and-switch. Помимо этого, были отклонены свыше 320 000 заявок, помеченных как спам, копии или вводящие в заблуждение, и заблокированы более 37 000 потенциально мошеннических приложений.
Тем не менее поддельный Ledger Live всё равно просочился через фильтры – и оставался доступен достаточно долго, чтобы нанести серьёзный ущерб.
Потери на $9,5 млн за одну неделю: кто пострадал
Блокчейн-детектив ZachXBT обнаружил в понедельник, что более 50 жертв потеряли средства в период с 7 по 13 апреля. Основной удар пришёлся на трёх крупных инвесторов:
- один потерял $3,23 млн в стейблкоине USDT;
- второй лишился $2 млн в USDC;
- третий – $1,95 млн в Биткоине, Эфириуме и стейкнутом ETH.
💬 Заходите в наш Telegram-чат 2Bitcoins, если хотите обсудить новость с другими читателями.
Среди пострадавших оказался и известный американский музыкант Гарретт Даттон, выступающий под псевдонимом G. Love. Он публично рассказал, что потерял $420 000 в Биткоине – фактически свои пенсионные накопления в криптовалюте.
Итого три крупнейших жертвы потеряли более $7 млн, а остальные 47+ пострадавших – около $2,5 млн суммарно.
Поддельные крипто-приложения в App Store: масштаб угрозы шире Ledger
Это не первый случай, когда мошенники используют официальные магазины приложений для кражи криптовалюты. В конце 2023 года аналогичная схема сработала в Microsoft Store – тогда фейковый Ledger Live обошёл модерацию Microsoft, и пользователи потеряли около $600 000.
📲 Следите за новостями в нашем Telegram-канале 2Bitcoins.
Apple борется с bait-and-switch мошенничеством как минимум с 2013 года, когда в App Store появился клон игры Pokémon Yellow от Nintendo. Но крипто-кошельки – куда более привлекательная цель: одна украденная сид-фраза может дать доступ к миллионам долларов.
Главный вывод для любого держателя криптовалюты прост: никогда не вводите сид-фразу в приложение или на сайт, даже если они выглядят как официальные. Настоящий Ledger Live никогда не запрашивает сид-фразу через программное обеспечение – она вводится только на самом аппаратном устройстве при восстановлении. Скачивать Ledger Live стоит исключительно с официального сайта Ledger.
Эта история показывает, что даже модерация Apple не даёт гарантий безопасности. Пока фишинговые схемы продолжают обходить фильтры крупнейших платформ, крипто-инвесторам остаётся рассчитывать прежде всего на собственную бдительность.
ПОДПИСЫВАЙТЕСЬ НА НАШ КАНАЛ В ТЕЛЕГРАМЕ, ЧТОБЫ БЫТЬ В КУРСЕ.
