جی. لاو (G. Love)، موسیقی‌دان آمریکایی، ۵٫۹ بیت کوین معادل تقریباً ۴۲۰٬۰۰۰ دلار را پس از دانلود یک اپلیکیشن جعلی لجر از فروشگاه اپل هنگام راه‌اندازی کامپیوتر جدید خود از دست داد. این هنرمند ساکن فیلادلفیا، ارز دیجیتال سرقت‌شده را صندوق بازنشستگی خود توصیف کرد. محقق آنچین زک‌ایکس‌بی‌تی (ZachXBT) بعداً ردپای وجوه را تا آدرس‌های واریزی کوکوین دنبال کرد.

جی. لاو که به خاطر آثار ترکیبی بلوز و هیپ‌هاپ خود شناخته می‌شود، این حادثه را در ۱۱ آوریل ۲۰۲۶ (۲۲ فروردین ۱۴۰۵) فاش کرد. او گفت تمام دارایی بیت کوین خود را پس از نصب تصادفی یک اپلیکیشن مخرب لجر هنگام انتقال به کامپیوتر جدید از دست داده است. ضرر گزارش‌شده در مجموع ۵٫۹۲ بیت کوین بود که با قیمت لحظه‌ای بیت کوین نزدیک به ۷۰٬۹۵۵ دلار، تقریباً ۴۲۰٬۰۰۰ دلار می‌شود.

این یک حادثه فیشینگ است، نه ضرر ناشی از نوسانات بازار. جی. لاو گفت بیت کوین‌ها بلافاصله پس از تعامل او با اپلیکیشن جعلی ناپدید شدند.

معامله بیت کوین با اهرم ۳۰ برابری

حمله اپلیکیشن جعلی لجر چگونه انجام شد

نکته مهم در این پرونده این است که جی. لاو یک کیف پول سخت‌افزاری تقلبی نخریده بود. بردار حمله یک اپلیکیشن نرم‌افزاری جعلی بود که در مک اپ استور اپل فهرست شده و خود را به جای نرم‌افزار رسمی لجر لایو (Ledger Live) جا زده بود. بر اساس گزارش‌ها، اپلیکیشن جعلی از جی. لاو خواست عبارت بازیابی ۲۴ کلمه‌ای خود را وارد کند. پس از ارسال این اطلاعات، مهاجمان به کلیدهای خصوصی کیف پول دسترسی کامل پیدا کردند و بلافاصله وجوه را تخلیه کردند.

صفحه راهنمای فیشینگ خود لجر به صراحت هشدار می‌دهد که اپلیکیشن‌های جعلی لجر والت و لجر لایو یک الگوی کلاهبرداری شناخته‌شده هستند. این شرکت تأکید می‌کند که عبارت بازیابی هرگز نباید در هیچ اپلیکیشن یا وب‌سایتی وارد شود.

چرا اعتماد به اپ استور می‌تواند در کلاهبرداری‌های کریپتو شکست بخورد

کاربران اغلب فرض می‌کنند اپلیکیشن‌های فهرست‌شده در اپ استور یا مک اپ استور اپل از نظر امنیتی بررسی شده‌اند. این پرونده نشان می‌دهد که اپلیکیشن‌های مخرب همچنان می‌توانند از فرآیندهای بررسی عبور کنند؛ به‌ویژه زمانی که برندهای شناخته‌شده کریپتو را تقلید می‌کنند. این کلاهبرداری از یک لحظه رایج راه‌اندازی سوءاستفاده می‌کند: زمانی که کاربر به دستگاه جدید مهاجرت می‌کند و به دنبال نرم‌افزار کیف پول می‌گردد.

فوریت راه‌اندازی کیف پول روی سخت‌افزار جدید فرصتی برای مهاجمانی ایجاد می‌کند که اپلیکیشن‌های مشابه را در فروشگاه‌های رسمی قرار داده‌اند. تا زمان نگارش این گزارش، هیچ بیانیه عمومی یا اطلاعیه حذف از سوی اپل در گزارش‌های موجود منتشر نشده بود.

بیت کوین‌های سرقت‌شده پس از سرقت به کجا رفتند

محقق آنچین زک‌ایکس‌بی‌تی در ۱۲ آوریل (۲۳ فروردین) به صورت عمومی به پست جی. لاو پاسخ داد و اعلام کرد که وجوه سرقت‌شده را ردیابی کرده است. زک‌ایکس‌بی‌تی هش‌های تراکنش خاصی را شناسایی کرد و گفت وجوه به آدرس‌های کوکوین واریز شده‌اند. هیچ بیانیه عمومی از کوکوین درباره این واریزها در گزارش‌های موجود یافت نشد.

بیت کوین
برای خریدوفروش بیت کوین آماده‌اید؟

خریدوفروش سریع و آسان بیت کوین با واریز تومان در هر ساعت از شبانه‌روز

خرید بیت کوین

هیچ بازیابی، توقیف یا اقدام قانونی تأییدشده‌ای مرتبط با این پرونده به صورت عمومی گزارش نشده است. جزئیات ردیابی بر اساس تحلیل زک‌ایکس‌بی‌تی است.

وقتی بیت کوین سرقت‌شده از طریق آدرس‌های واریزی به یک صرافی متمرکز می‌رسد، بازیابی معمولاً به مسدود کردن وجوه توسط صرافی قبل از برداشت یا تبدیل بستگی دارد. بدون واکنش سریع تیم انطباق صرافی، پنجره بازیابی به سرعت بسته می‌شود. این الگو در پرونده‌های سرقت کریپتو آشناست.

مایکل سیلور (Michael Saylor) استدلال کرده که شفافیت بیت کوین پاسخگویی ایجاد می‌کند، اما در عمل، سرعت پولشویی اغلب از هماهنگی اجرای قانون پیشی می‌گیرد.

چرا این پرونده هشداری برای کاربران لجر و اپل است

توصیف جی. لاو از بیت کوین سرقت‌شده به عنوان صندوق بازنشستگی‌اش، ویرانی شخصی ناشی از این کلاهبرداری‌ها را برجسته می‌کند. این پرونده یک حادثه منفرد نیست؛ لجر چندین کمپین فیشینگ جاری را که کاربرانش را هدف قرار می‌دهند مستند کرده است. درس اصلی مشخص است: هر اپلیکیشن یا وب‌سایتی که عبارت بازیابی ۲۴ کلمه‌ای می‌خواهد، تقریباً قطعاً جعلی است. نرم‌افزار رسمی لجر هرگز در عملیات عادی عبارت بازیابی کامل را درخواست نمی‌کند.

در حالی که چارچوب‌های نظارتی برای دارایی‌های دیجیتال در حال توسعه هستند، حفاظت از مصرف‌کننده در توزیع اپلیکیشن همچنان یک شکاف باقی مانده است. فرآیند بررسی اپل اپلیکیشن جعلی لجر را قبل از رسیدن به جی. لاو شناسایی نکرد.

چک‌لیست قبل از نصب نرم‌افزار کیف پول روی دستگاه جدید

  • فقط از منابع رسمی دانلود کنید: مستقیماً به ledger.com/download بروید به جای جستجو در اپ استورها.
  • نام توسعه‌دهنده را تأیید کنید: بررسی کنید که ناشر فهرست‌شده با شرکت رسمی مطابقت دارد، نه یک غلط املایی جزئی یا نهاد ناشناخته.
  • هرگز عبارت بازیابی خود را در نرم‌افزار وارد نکنید: عبارت بازیابی فقط باید به صورت فیزیکی در خود دستگاه سخت‌افزاری هنگام بازیابی وارد شود.
  • در شبکه‌های اجتماعی بررسی متقابل انجام دهید: قبل از نصب، توییتر رسمی پروژه یا کانال‌های پشتیبانی را برای هشدار درباره اپلیکیشن‌های جعلی بررسی کنید.
  • از تأیید کیف پول سخت‌افزاری استفاده کنید: دستگاه‌های لجر صفحه تأیید نمایش می‌دهند؛ همیشه تراکنش‌ها را روی دستگاه تأیید کنید، نه فقط روی صفحه نمایش.