موسیقی‌دان فیلادلفیایی جی. لاو نزدیک به ۶ بیت‌کوین را به اپلیکیشن جعلی کیف پول لجر در اپ استور اپل از دست داد

نکات کلیدی:

• موسیقیدان G. Love در ۱۱ آوریل ۲۰۲۶، ۵.۹۲ بیت‌کوین را به یک اپلیکیشن جعلی Ledger در اپ استور مک اپل از دست داد. ارزش دارایی سرقت‌شده در زمان انتشار ۴۲۴٬۱۷۵ دلار است.
• بازرس آنچین ZachXBT تأیید کرد که گفته می‌شود وجوه سرقتی از طریق آدرس‌های واریز Kucoin پول‌شویی شده‌اند.
• Ledger به کاربران هشدار می‌دهد برای جلوگیری از سرقت عبارت سید، نرم‌افزار را فقط از ledger.com دانلود کنند و هرگز از اپ‌استورها استفاده نکنند.

هک بیت‌کوین G. Love

گرت داتن، خواننده گروه G. Love & Special Sauce، همان روز در X به‌صورت عمومی افشا کرد که این ضرر را متحمل شده است. او هنگام راه‌اندازی کیف پول سخت‌افزاری Ledger خود روی یک رایانه جدید اپل، در اپ استور به دنبال اپلیکیشن رسمی Ledger Live گشت. اپلیکیشنی که دانلود کرد معتبر به نظر می‌رسید. اما نبود.

اپلیکیشن جعلی از او خواست عبارت سید ۲۴ کلمه‌ای‌اش را وارد کند که به آن عبارت بازیابی محرمانه (secret recovery phrase) هم گفته می‌شود. به محض اینکه آن را تایپ کرد، مهاجمان بلافاصله دارایی‌های بیت‌کوین او را تخلیه کردند.

داتن در X نوشت: «امروز روز خیلی سختی داشتم، وقتی Ledgerم را به کامپیوتر جدیدم منتقل کردم، در یک هک/کلاه‌برداری صندوق بازنشستگی‌ام را از دست دادم.» او هش تراکنش و یک آدرس بیت‌کوین را منتشر کرد و از دنبال‌کنندگان خواست کسانی که می‌خواهند به او کمک کنند تا «re-up» کند، برایش پول ارسال کنند.

او بعداً تأیید کرد که فقط بیت‌کوینش تحت تأثیر قرار گرفته است. هیچ دارایی دیگری درگیر نبود.

بازرس آنچین ZachXBT خیلی سریع وجوه را ردیابی کرد. او تأیید کرد حدود ۵.۹۲ BTC سرقت شده و ظاهراً در قالب ۹ تراکنش به آدرس‌های واریز Kucoin منتقل و پول‌شویی شده است. سوابق تراکنش‌ها در هر مرورگر بلاک‌چین BTC به‌صورت عمومی قابل مشاهده است.

واکنش عمومی در X دوگانه بود. بسیاری از کاربران ابراز همدردی کردند. برخی دیگر درباره معقول‌بودن روایت پرسش مطرح کردند و اشاره کردند که کیف پول‌های سخت‌افزاری Ledger نیاز به تأیید فیزیکی روی خود دستگاه دارند. بعضی نیز آدرس عمومی دریافت کمک مالی را یک نشانه هشدار دانستند. داتن توضیح داد که با مهندسی اجتماعی قانع شده بود داوطلبانه عبارت سید را وارد کند؛ همان بردار حمله‌ای که این کلاه‌برداری برای سوءاستفاده از آن طراحی شده بود.

داتن نوشت: «من… خوبم.» «فقط سخته که سرت کلاه بره. به جهنم همه شما نفرت‌پراکن‌هایی که منو دروغگو صدا کردید. من از ۲۰۱۷ توی سیرک کریپتو هستم. امروز غافلگیرم کردند. تقصیر خودم بود که دقیق‌تر نبودم. اما بگذارید به‌عنوان هشدار باشد. کلاه‌برداری خیلی زیاده.»

این حادثه پس از یک الگوی مستند رخ داده که کاربران macOS را هدف می‌گیرد. شرکت امنیت سایبری Moonlock در سال ۲۰۲۵ گزارش داد بدافزارهایی طراحی شده‌اند که نصب‌های قانونی Ledger Live را روی macOS جایگزین می‌کنند و کاربران را به واردکردن عبارت‌های سیدشان ترغیب می‌کنند. جست‌وجوهای مک اپ استور برای «Ledger» اپلیکیشن‌های جعلی‌ای را نشان داده که توسط فروشندگان شخص ثالث فهرست شده‌اند، نه توسعه‌دهنده واقعی یعنی Ledger SAS.

Ledger سال‌هاست اعلام کرده نرم‌افزارش فقط از طریق ledger.com در دسترس است. این شرکت در اپ‌استورهای مصرف‌کننده حضور ندارد. هر اپلیکیشنی که تحت نام توسعه‌دهنده‌ای متفاوت ظاهر شود، جعلی است.

مکانیک این حمله ساده است. کاربر در یک اپ‌استور جست‌وجو می‌کند، یک فهرست قانع‌کننده پیدا می‌کند، آن را نصب می‌کند و وقتی اپ عبارت سید را درخواست می‌کند، آن را وارد می‌کند. از آن لحظه، مهاجم به‌طور کامل و دائمی به هر کیف پولی که از آن عبارت مشتق شده دسترسی پیدا می‌کند. خود کیف پول سخت‌افزاری پس از افشای سید هیچ محافظتی فراهم نمی‌کند.

خودحضانتی (Self-custody) مستلزم این است که عبارت سید هرگز از دستگاه فیزیکی Ledger خارج نشود. این عبارت باید فقط در جریان راه‌اندازی اولیه، مستقیماً روی خود دستگاه وارد شود. تایپ‌کردن آن در هر اپلیکیشن، وب‌سایت یا رایانه‌ای کل کیف پول را به خطر می‌اندازد.

تا تاریخ ۱۲ آوریل ۲۰۲۶، رسانه‌های جریان اصلی هنوز این داستان را پوشش نداده بودند. Bitcoin.com News نخستین رسانه‌ای بود که این حادثه را گزارش کرد. G. Love اشاره کرد که به مسیرش ادامه خواهد داد و بابت سلامتی، خانواده و حرفه موسیقی‌اش—از جمله اجرای اخیر در Tortuga Fest—ابراز قدردانی کرد.

هیچ اقدام حقوقی‌ای اعلام نشده است.