Kolejne oszustwo Ledger Live. 14 000 XRP skradzionych za pośrednictwem fałszywego rozszerzenia Chrome popularnego portfela firmy Ledger. Środki znalazły się na adresie, na którym swój przystanek znalazły monety o wartości, jak dotąd, ponad 2,5 miliona dolarów. Co ciekawe, tylko w marcu ten adres rzekomo ukradł 1,4 mln XRP.
Wcześnie rano w sobotę, niejaka Lean Nekera opublikowała na Redditcie informację, że ona i jej mąż stracili około 14 800 XRP (około 2 500 USD według obecnych stawek), używając rozszerzenia Ledger w przeglądarce Chrome. Komentatorzy dość szybko zwrócili uwagę na kardynalne błędy bezpieczeństwa, które popełniła Lean. Cały wątek ma już (w chwili przygotowywania niniejszej publikacji) ponad 150 komentarzy.
Strata środków na własne życzenie
Według Nekera, przekazała ona XRP ze swojego portfela Ledger do rozszerzenia przeglądarki Chrome, które już wcześniej było oznaczone jako scam. Lean napisała o tym tak:
„Jedynym oprogramowaniem do Ledgera w sklepie Chrome jest rozszerzenie„ Ledger Live Wallet ” lub „ Ledger Live ”. Z opisu w sklepie wynika, że jego źródłem jest Ledger.com ® lub Ledger Official ® i pod każdym względem wygląda to wiarygodnie”.
Po pobraniu rozszerzenia pojawia się prośba o wybranie wersji portfela sprzętowego i podanie klucza prywatnego do kryptowalutowego adresu. Nekera pisze:
„Siedziałam wpisując każde słowo kluczowe z frazy odzyskiwania, dokładnie sprawdzając każde z nich i ani przez moment nie pomyślałam, że ta aplikacja nie jest legalna. Czuję się bardzo głupio”.
Tylko w tym miesiącu, przez fałszywe rozszerzenie Chrome, skradziono ponad 1,4 miliona XRP
Według Lean ponad 14 889 XRP zniknęło z jej adresu natychmiast po wpisaniu wszystkich słów frazy odzyskiwania:
„Gdy zaczęłam zastanawiać się nad przeniesieniem niewielkiej ilości XRP, którą odzyskałam tego ranka, kątem oka patrzyłam, jak 14 889,740739 XRP znika z naszego konta. Cały proces zajął mniej niż 8 minut”.
„Wielorybi” charakter portfela, który ukradł tokeny, budzi oczywiście podejrzenia. Obecnie znajduje się na nim ponad 14 milionów XRP (około 2,5 miliona dolarów). W ciągu ostatnich kilku dni odnotowano duże transakcje, o których mówi się, że pochodzą z oszustwa. Lean zgłosiła kradzież odpowiednim organom, w tym Ripple, FBI i lokalnemu wydziałowi ds. oszustw w Wielkiej Brytanii.
Według danych opublikowanych przez @xrpforensics na Twitterze, Leger Live/ Ledger Live Wallet oszukały inwestorów na ponad 1,4 miliona XRP tylko w ciągu ostatniego miesiąca:
Fake “Ledger Live” chrome extensions are used to collect user backup passphrases. They are advertised in Google searches and use Google Docs for collecting data. Accounts are being emptied and we have seen more than 200K XRP being stolen the past month alone.@Ledger @Google
— xrplorer.com forensics (@xrpforensics) March 24, 2020
Chroń swoje cyfrowe aktwa
Nie dość powiedzieć, żeby nigdy, przenigdy nie podawać nikomu kluczy prywatnych ani jakichkolwiek dodatkowych składników zabezpieczeń. Przypadek Lean Nekera pokazuje dobitnie, jak łatwo o utratę środków w przypadku braku edukacji czy świadomości mechanizmów, które rządzą kryptowalutami.
Przypomnijmy zatem podstawowe zasady bezpiecznego przechowywania kryptowalut oraz specyfikę działania bezpiecznych portfeli kryptowalut: