ফিলাডেলফিয়ার সঙ্গীতশিল্পী জি. লাভ অ্যাপলের অ্যাপ স্টোরে ভুয়া লেজার ওয়ালেট অ্যাপে প্রায় ৬ বিটিসি হারালেন

মূল বিষয়গুলো:

• সংগীতশিল্পী জি. লাভ ১১ এপ্রিল, ২০২৬ তারিখে অ্যাপল ম্যাক অ্যাপ স্টোরের একটি ভুয়া লেজার অ্যাপে ৫.৯২ বিটিসি হারিয়েছেন। প্রেস টাইমে চুরি হওয়া স্ট্যাশটির মূল্য $424,175।
• অনচেইন তদন্তকারী ZachXBT নিশ্চিত করেছেন যে চুরি হওয়া তহবিল নাকি Kucoin ডিপোজিট ঠিকানাগুলোর মাধ্যমে লন্ডার করা হয়েছে।
• সিড ফ্রেজ চুরি ঠেকাতে লেজার ব্যবহারকারীদের সতর্ক করেছে—শুধু ledger.com থেকে সফটওয়্যার ডাউনলোড করতে হবে, কখনও অ্যাপ স্টোর থেকে নয়।

জি. লাভ বিটকয়েন হ্যাক

জি. লাভ অ্যান্ড স্পেশাল সস-এর ফ্রন্টম্যান গ্যারেট ডাটন, একই দিন X-এ প্রকাশ্যে জানান যে তিনি ক্ষতির শিকার হয়েছেন। তিনি নতুন একটি অ্যাপল কম্পিউটারে তার লেজার হার্ডওয়্যার ওয়ালেট সেটআপ করছিলেন, তখন তিনি অ্যাপ স্টোরে অফিসিয়াল লেজার লাইভ অ্যাপ্লিকেশন খুঁজেছিলেন। তিনি যে অ্যাপটি ডাউনলোড করেছিলেন সেটি দেখতে বৈধই লাগছিল। কিন্তু তা ছিল না।

ভুয়া অ্যাপটি তাকে তার ২৪-শব্দের সিড ফ্রেজ—যাকে সিক্রেট রিকভারি ফ্রেজও বলা হয়—প্রবেশ করাতে বলে। তিনি তা টাইপ করার সঙ্গে সঙ্গেই হামলাকারীরা তার বিটকয়েন হোল্ডিংস সঙ্গে সঙ্গে খালি করে দেয়।

“আজ আমার সত্যিই খুব খারাপ দিন গেছে—আমি যখন আমার লেজারটা নতুন কম্পিউটারে সুইচ করছিলাম, তখন একটি হ্যাক/স্ক্যাম-এর কারণে আমার অবসর তহবিল হারিয়েছি,” ডাটন X-এ লিখেছেন। তিনি ট্রানজ্যাকশন হ্যাশ এবং একটি বিটকয়েন ঠিকানা পোস্ট করেন, এবং যারা তাকে “re-up” করতে সাহায্য করতে চান তাদেরকে সেখানে ফান্ড পাঠাতে বলেন।

পরে তিনি নিশ্চিত করেন যে শুধু তার বিটকয়েনই প্রভাবিত হয়েছে। অন্য কোনো হোল্ডিংস জড়িত ছিল না।

অনচেইন তদন্তকারী ZachXBT দ্রুত তহবিলগুলো ট্রেস করেন। তিনি নিশ্চিত করেন যে আনুমানিক ৫.৯২ বিটিসি চুরি হয়েছে এবং অভিযোগ অনুযায়ী নয়টি লেনদেনের মাধ্যমে Kucoin ডিপোজিট ঠিকানাগুলোতে লন্ডার করা হয়েছে। লেনদেনের রেকর্ড যেকোনো BTC ব্লকচেইন এক্সপ্লোরারে প্রকাশ্যে দেখা যায়।

X-এ জনমত বিভক্ত ছিল। অনেক ব্যবহারকারী সহানুভূতি প্রকাশ করেন। অন্যরা গল্পটির বিশ্বাসযোগ্যতা নিয়ে প্রশ্ন তোলেন, উল্লেখ করেন যে লেজার হার্ডওয়্যার ওয়ালেট সাধারণত ডিভাইসটিতেই শারীরিকভাবে কনফার্মেশন চায়। কেউ কেউ প্রকাশ্যে থাকা ডোনেশন ঠিকানাটিকে সতর্কতার সংকেত হিসেবে দেখান। ডাটন স্পষ্ট করেন যে তাকে সোশ্যাল ইঞ্জিনিয়ারিং করে স্বেচ্ছায় সিড ফ্রেজ প্রবেশ করাতে বাধ্য করা হয়েছিল—এটাই সেই আক্রমণ ভেক্টর, যেটি কাজে লাগানোর জন্য স্ক্যামটি তৈরি করা হয়েছিল।

“আমি না—সব ঠিক আছে,” ডাটন লিখেছেন। “শুধু স্ক্যাম খাওয়া কঠিন। যারা আমাকে মিথ্যাবাদী বলেছে, তোমাদের সব হেটারদের ধ***। আমি ২০১৭ থেকে ক্রিপ্টো সার্কাসে আছি। আজ তারা আমাকে অপ্রস্তুত করে ফেলেছে। আরও সতর্ক না হওয়াটা পুরোপুরি আমারই দোষ। কিন্তু এটাকে সতর্কবার্তা হিসেবে নাও। এখানে এত স্ক্যাম।”

ঘটনাটি macOS ব্যবহারকারীদের লক্ষ্য করে নথিভুক্ত একটি প্যাটার্নের সঙ্গে মিলে যায়। সাইবারসিকিউরিটি প্রতিষ্ঠান Moonlock ২০২৫ সালে রিপোর্ট করেছিল এমন ম্যালওয়্যার নিয়ে, যা macOS-এ বৈধ লেজার লাইভ ইনস্টলেশনগুলোকে প্রতিস্থাপন করে এবং ব্যবহারকারীদের সিড ফ্রেজ প্রবেশ করাতে প্রম্পট করে। “Ledger” লিখে ম্যাক অ্যাপ স্টোরে সার্চ করলে অনেক সময় আসল ডেভেলপার Ledger SAS-এর বদলে তৃতীয় পক্ষের বিক্রেতাদের তালিকাভুক্ত ভুয়া অ্যাপ দেখা গেছে।

Ledger বহু বছর ধরে বলে আসছে যে তাদের সফটওয়্যার শুধু ledger.com-এর মাধ্যমেই পাওয়া যায়। কোম্পানিটি কনজিউমার অ্যাপ স্টোরগুলোতে উপস্থিত নয়। অন্য কোনো ডেভেলপার নামের অধীনে দেখা যেকোনো অ্যাপই প্রতারণামূলক।

এই আক্রমণের প্রক্রিয়াটি সরল। একজন ব্যবহারকারী অ্যাপ স্টোরে সার্চ করে, একটি বিশ্বাসযোগ্য লিস্টিং খুঁজে পায়, ইনস্টল করে, এবং অ্যাপটি চাইলে সিড ফ্রেজ প্রবেশ করায়। সেই মুহূর্তে আক্রমণকারীর কাছে ওই ফ্রেজ থেকে ডেরাইভ হওয়া প্রতিটি ওয়ালেটে পূর্ণ ও স্থায়ী অ্যাক্সেস চলে যায়। সিড ফাঁস হয়ে গেলে হার্ডওয়ালেট নিজে আর কোনো সুরক্ষা দিতে পারে না।

সেলফ-কাস্টডিতে সিড ফ্রেজ কখনও লেজার ডিভাইসের শারীরিক সীমানার বাইরে যাওয়া উচিত নয়। এটি শুধু প্রাথমিক সেটআপের সময় সরাসরি ডিভাইসেই প্রবেশ করানো উচিত। কোনো অ্যাপ, ওয়েবসাইট, বা কম্পিউটারে এটি টাইপ করলে পুরো ওয়ালেট কমপ্রোমাইজ হয়ে যায়।

১২ এপ্রিল, ২০২৬ পর্যন্ত মূলধারার সংবাদমাধ্যমগুলো এখনও গল্পটি কভার করেনি। Bitcoin.com News ঘটনাটি নিয়ে প্রথম রিপোর্ট করে। জি. লাভ ইঙ্গিত দেন যে তিনি সামনে এগিয়ে যাবেন এবং নিজের স্বাস্থ্য, পরিবার, ও সংগীত ক্যারিয়ারের জন্য কৃতজ্ঞতা প্রকাশ করেন—এর মধ্যে Tortuga Fest-এ সাম্প্রতিক একটি পারফরম্যান্সও রয়েছে।

কোনো আইনি পদক্ষেপের ঘোষণা দেওয়া হয়নি।