Apple ลบแอป Ledger Live ปลอมหลังถูกขโมยคริปโตมูลค่า 9.5 ล้านดอลลาร์
Apple ได้ลบแอป Ledger Live ปลอมออกจาก Mac App Store หลังจากมีรายงานว่าแอปดังกล่าวหลอกลวงผู้ใช้คริปโตให้เปิดเผยวลีลับที่ควบคุมกระเป๋าเงินของพวกเขา สำหรับผู้ถือครองทั่วไป เรื่องนี้เป็นการเตือนใจว่ารายการในแอปสตอร์ที่ดูเป็นทางการไม่ได้หมายความว่าเป็นการดาวน์โหลดที่ปลอดภัย
มีรายงานว่าคริปโตมูลค่า 9.5 ล้านดอลลาร์ถูกขโมยจากเหยื่อประมาณ 50 ราย และ BleepingComputer กล่าวว่า Apple ได้ดึงแอปปลอมออกหลังจากได้รับรายงานจากผู้ใช้ Ledger กล่าวว่าการดาวน์โหลด Ledger Live ที่แท้จริงมีให้เฉพาะจากเว็บไซต์ของบริษัทเท่านั้น ไม่ได้มีใน Mac App Store
ประเด็นสำคัญ
- BleepingComputer เชื่อมโยงรายการปลอมใน Mac App Store กับความสูญเสีย 9.5 ล้านดอลลาร์จากเหยื่อประมาณ 50 ราย
- แอปปลอมขอวลีกู้คืน 24 คำ ซึ่งทำให้ผู้โจมตีสามารถควบคุมเงินของผู้ใช้ได้
- Ledger Live ควรดาวน์โหลดเฉพาะจากเว็บไซต์ของ Ledger เท่านั้น และ Ledger กล่าวว่าจะไม่มีวันขอวลีกู้คืน
Apple ลบแอปปลอมแล้ว แต่ปัญหาความไว้วางใจใหญ่กว่านั้น
BleepingComputer รายงานว่ารายการปลอมคัดลอกแบรนด์ Ledger ใกล้เคียงพอที่จะดูเป็นเรื่องปกติ ในขณะที่ MacRumors สังเกตว่า Apple ได้ลบมันออกจาก Mac App Store เนื่องจากรายงานเหล่านั้นยังกล่าวว่า Ledger ไม่ได้แจกจ่ายซอฟต์แวร์ Mac ผ่านสตอร์ของ Apple ความล้มเหลวดูเหมือนจะเป็นปัญหาช่องทางการแจกจ่ายที่ไม่ดีมากกว่าการละเมิดกระเป๋าเงินฮาร์ดแวร์
ภาพรวมที่กว้างขึ้นก็สั่นคลอนอยู่แล้วสำหรับคริปโต Bitcoin ซื้อขายใกล้ $73,683 ในขณะที่ Fear and Greed Index อยู่ที่ 23 ซึ่ง Alternative.me ระบุว่าเป็น Extreme Fear
แผนภูมิ CoinMarketCap แสดงภาพพื้นหลังราคาที่อ้างอิงในบทความนี้เกี่ยวกับ Apple
ภาพพื้นหลังที่กังวลนั้นช่วยอธิบายว่าทำไมความไว้วางใจในแอปสตอร์จึงสำคัญแม้ในเรื่องที่ไม่เกี่ยวกับราคา เนื่องจาก Ledger กล่าวว่าแอปปลอมยังคงเป็นกลวิธีหลอกลวงที่พบบ่อย การให้ความรู้แก่ผู้ใช้จึงมีความสำคัญพอ ๆ กับการออกแบบอุปกรณ์ เช่นเดียวกับแนวทางการรักษาความปลอดภัยที่กว้างขึ้นที่อธิบายไว้ในการรายงานของ Coinlineup เกี่ยวกับ Ethereum Foundation เปิดตัวโปรแกรมเงินอุดหนุนความปลอดภัย 1 ล้านดอลลาร์
แอป Ledger ปลอมขโมยเงินของนักลงทุนได้อย่างไร
Cointelegraph กล่าวว่าเหยื่อถูกขอให้พิมพ์วลีกู้คืน 24 คำลงในแอปปลอม วลีนั้นคือกุญแจหลักของกระเป๋าเงิน ดังนั้นเมื่อมันถูกส่งไป ผู้โจมตีก็สามารถย้ายเงินได้โดยไม่ต้องทำลายฮาร์ดแวร์ของ Ledger
Cointelegraph กล่าวว่า ZachXBT เชื่อมโยงการโจรกรรมกับกิจกรรมระหว่างวันที่ 7 เมษายน ถึง 13 เมษายน 2026 ข้าม Bitcoin, Solana, Tron, XRP Ledger และเครือข่ายที่เข้ากันได้กับ EVM BleepingComputer เน้นความสูญเสีย 3.23 ล้านดอลลาร์, 2.08 ล้านดอลลาร์ และ 1.95 ล้านดอลลาร์ระหว่างวันที่ 8 เมษายน ถึง 11 เมษายน แสดงให้เห็นว่าวลีที่ถูกขโมยเพียงวลีเดียวสามารถกลายเป็นความสูญเสียที่เปลี่ยนชีวิตได้เร็วเพียงใด
รูปแบบนั้นสอดคล้องกับคำเตือนของ Charles Guillemet CTO ของ Ledger ที่ว่าผู้ใช้ไม่ควรเชื่อถือสภาพแวดล้อมซอฟต์แวร์ที่ขัดเงาโดยค่าเริ่มต้น นอกจากนี้ยังตรงกับความเสี่ยงในชั้นซอฟต์แวร์เบื้องหลังรายงานของ Coinlineup เกี่ยวกับ TRON Post-Quantum Signatures บน Mainnet ที่สัญญาความปลอดภัยที่แข็งแกร่งขึ้นยังคงขึ้นอยู่กับสิ่งที่ผู้ใช้ติดตั้งและอนุมัติ
ตามรายงานรองที่อ้างอิงการติดตามผ่านที่อยู่ฝาก KuCoin มากกว่า 150 ที่อยู่ เงินที่ถูกขโมยอาจถูกส่งผ่านเครือข่ายฟอกเงิน แต่ Apple และ KuCoin ยังไม่ได้ยืนยันเส้นทางนั้นต่อสาธารณะเมื่อรายงานถูกเผยแพร่ BleepingComputer รายงานแยกต่างหากว่า KuCoin ได้แช่แข็งบัญชีที่เกี่ยวข้องชั่วคราวรอการติดตามผลที่เป็นไปได้
สิ่งที่ผู้ใช้ Ledger ควรทำหลังจากการหลอกลวงใน App Store
Cointelegraph รายงานว่า Guillemet กล่าวว่า Ledger ไม่เคยขอวลีกู้คืน 24 คำ และเตือนผู้ใช้ไม่ให้เชื่อถือซอฟต์แวร์ที่ดูเป็นทางการโดยอัตโนมัติ
คำแนะนำการฟิชชิ่งของ Ledger กล่าวว่าแอป Ledger Wallet และ Ledger Live ปลอมเป็นกลวิธีหลอกลวงที่พบบ่อย และจุดดาวน์โหลดอย่างเป็นทางการเพียงจุดเดียวคือ ledger.com/ledger-live สำหรับผู้ใช้ทั่วไป กฎที่ปลอดภัยที่สุดนั้นง่าย: บุ๊กมาร์กหน้านั้นและเพิกเฉยต่อเส้นทางการติดตั้งอื่น ๆ ทั้งหมด
การตรวจสอบพื้นฐานประเภทนั้นมีความสำคัญแม้ในขณะที่ผลิตภัณฑ์คริปโตได้รับการขัดเงามากขึ้นสำหรับผู้ใช้ทั่วไป การรายงานของ Coinlineup เกี่ยวกับแผนการชำระบัญชีพันธบัตรที่โทเคนไนซ์ของ Ripple และ Kyobo Life Insurance แสดงให้เห็นว่ามีความพยายามมากแค่ไหนในการทำให้เครื่องมือบล็อกเชนรู้สึกคุ้นเคย แต่บรรจุภัณฑ์ที่เรียบเนียนขึ้นยังไม่ได้พิสูจน์ว่าซอฟต์แวร์นั้นแท้จริง
MacRumors กล่าวว่า Apple ไม่ได้เผยแพร่แถลงการณ์สาธารณะเกี่ยวกับไทม์ไลน์การลบหรือความล้มเหลวในการตรวจสอบเมื่อรายงานถูกเผยแพร่ รายงานเดียวกันถ่ายทอดแนวคิดการฟ้องคดีหมู่ที่ยังไม่ได้ยื่นจาก ZachXBT แต่เนื่องจากไม่มีคดีที่อ้างอิง ข้อสรุปที่มีประโยชน์ในระยะใกล้มากกว่าคือเชิงปฏิบัติ: อย่าพิมพ์วลีกู้คืนลงในแอปที่คุณไม่ได้ตรวจสอบด้วยตัวเอง
ข้อจำกัดความรับผิด: บทความนี้มีวัตถุประสงค์เพื่อให้ข้อมูลเท่านั้นและไม่ถือเป็นคำแนะนำทางการเงินหรือการลงทุน ตลาดสกุลเงินดิจิทัลและสินทรัพย์ดิจิทัลมีความเสี่ยงสูง ควรศึกษาข้อมูลด้วยตนเองเสมอก่อนตัดสินใจ
คุณอาจชอบเช่นกัน
Ether.fi มอบ ETH มูลค่า 3 พันล้านดอลลาร์ให้กับ ETHGas ขณะที่ตลาด Blockspace เริ่มได้รับความนิยม
MoonPay บ่งชี้ถึงความเป็นไปได้ของการเป็นพันธมิตรกับ Ripple ทำให้เกิดความคึกคักเกี่ยวกับ XRP
