音乐人在假冒Ledger应用程序骗局后损失42万美元比特币，暴露钱包漏洞

来自费城的美国音乐家 G. Love 据报在 Apple App Store 下载假冒 Ledger 钱包应用程序后,落入精心设计的网络钓鱼骗局,损失约 5.92 BTC,价值约 420,000 美元。

公开分享的详情显示,这位艺术家下载了一个被认为是合法硬件钱包设置应用程序的受损版本。在安装过程中,他被要求输入 24 个单词的助记词,这是任何加密货币钱包中提供完全访问权限的关键元素。

输入助记词后,黑客迅速接管了钱包并立即转走了资金。这突显了一个令人不安的趋势,即越来越逼真的网络钓鱼攻击,即使是经验丰富的用户也可能通过大多数人信任的渠道被欺骗。

G. Love 在社交媒体上分享了以下帖子和他的经历图片,警告其他用户不要使用非官方钱包应用程序。

攻击者利用助记词漏洞实时转走用户资金

这种攻击是对加密货币安全关键原则的毁灭性提醒:不要分享,尤其不要将助记词输入任何与已建立的硬件设备无关的应用程序。

在这种情况下,假冒应用程序模仿了合法的 Ledger 钱包入门流程,从而营造了虚假的安全感。通过模仿合法软件使用的界面和说明,攻击者能够欺骗用户忽略有关潜在威胁的警告并提取敏感信息。

助记词被盗用意味着不需要进一步的身份验证。攻击者完全访问了钱包,并能够在片刻之后转移 5.92 BTC。

加密货币交易无法像传统银行转账那样撤销,因此一旦您的资金被转移,几乎是不可逆转的。这一事实使得助记词网络钓鱼成为加密货币中最具破坏性的攻击手段之一。

ZachXBT 追踪资金至与 KuCoin 相关的地址

用户名为 ZachXBT 的链上调查员追踪了交易轨迹,发现资金已通过与 KuCoin 相关的地址发送。

他的分析表明,攻击者可能使用了交易所基础设施来隐藏资金转移,这是一种经常使用的方法,试图使追踪更加困难,恢复的可能性更小。

ZachXBT 提供了有关交易流程和可能终点的详细信息。

深入分析显示,资金可能已经通过众多存款地址,可能与允许快速兑换和提取而无需严格身份验证的即时交换服务相关联。

交易所监管受到质疑,合规漏洞普遍存在

除了追踪资金外,ZachXBT 还提出了关于围绕中心化交易所的合规和非法活动监控的系统性问题。

像 KuCoin 这样持有他人资金的平台被添加以作补充:"坏人利用经纪人或个人账户进行洗钱操作始终令人担忧,"他说。他在声明中表示,这些账户有时被用作转移被盗资产的渠道,而不会引起足够的审查。

执法工作面临的一个挑战是,如果存在许多存款地址,可能会使追踪资金变得更加困难,因为攻击者可以分散被掩盖的资金,然后通过多个入口点转移或交换它们。

这尤其突显了加密货币领域的一个更大问题:对安全性的渴望与用户隐私。交易所对流动性和访问至关重要,但缺乏合规性很容易使坏人得逞。

可信环境中假冒应用程序的风险日益增加

然而,Apple App Store 中出现此类应用程序提出了重大的平台级安全和应用审核级别问题。

对于许多用户来说,官方应用商店被视为安全空间。然而,这一事件表明,即使是精心策划的市场也容易受到复杂骗局的影响。攻击者通过设计看起来和感觉像合法服务的应用程序,变得更加熟练地规避审核流程。

这一趋势对于较新或不太精通技术的用户尤其危险,他们在下载软件时通常依赖应用商店的信任信号。

鉴于 Ledger 品牌在硬件钱包安全方面的声誉,他们经常成为网络钓鱼活动的目标。此类攻击利用了预期行为与实际安全实践之间的差距,尤其是在助记词管理方面。

对加密货币用户的教训以及我们的未来方向

G. Love 的遭遇严肃提醒了在加密货币世界中使用自我保护特权对抗网络攻击的重要性。尽管底层区块链技术是安全的,但用户层面的弱点是一个薄弱环节。

最佳实践,如检查应用程序是否真实、不下载第三方应用程序以及永远不要在硬件设备之外输入助记词,都是必不可少的。然而,用户在设置钱包时应与官方来源进行交叉核对,并使用来自经过验证的公司网站的直接链接。

与此同时,这种情况要求整个生态系统承担更多责任,从应用商店运营商到中心化交易所。通过改进审查流程和响应机制以及更好的合规框架,可以缓冲此类攻击。

随着加密货币采用率持续增长,威胁的复杂程度也在增加。该行业必须在开放访问和充分的消费者保护之间找到平衡,以应对日益复杂的骗局。

归根结底,这个案例具有教育意义:它体现了加密货币领域的一个简单事实,即控制您的密钥意味着您控制您的资金,如果您失去了这种控制(即使是短时间),损害可能是无法弥补的。

免责声明:这不是交易或投资建议。在购买任何加密货币或投资任何服务之前,请务必进行自己的研究。

在 Twitter 上关注我们 @nulltxnews 以获取最新的加密货币、NFT、AI、网络安全、分布式计算和 元宇宙新闻!