情境示意圖,圖片來源/Dmitry Demidko on unsplash

如果你是加密貨幣用戶,可能會為了強化自己的資產安全而選擇購買硬體錢包,不過,華盛頓郵報本周踢爆數起以偽造的硬體錢包App,盜走用戶加密貨幣的事故,駭客假冒的品牌為Trezor,該程式同時登上了App Store與Google Play,在兩個程式市集的下載量都超過1,000次,且至少有8名受害者。

Trezor為捷克的硬體錢包製造商,使用者只要將硬體錢包藉由USB介面連結電腦,再輸入PIN碼或者再加上密碼短語,就能存取硬體錢包中所存放的加密貨幣。理論上硬體錢包相對安全,但它有一個功能是在硬體錢包遺失或毀損時,使用者可利用一個秘密的「種子詞」(Seed Phrase)取回錢包中的資產。此外,Trezor並未發表任何的行動程式。

然而,駭客卻在App Store與Google Play上出版了名為Trezor的行動程式,誘導使用者下載,並要求使用者輸入種子詞,進而將受害者錢包中的加密貨幣搜括一空。

報導中的兩名受害者Phillipe Christodoulou與James Fajcz皆為蘋果用戶,其中,Christodoulou是因想要利用手機來查看錢包中的加密貨幣餘額,於是於今年2月1日自App Store下載了Trezor程式,並輸入了自己的種子詞,沒多久以後他再將硬體錢包插入電腦,卻發現價值60萬美元的17.1個比特幣全都不見了。

Fajcz則是在去年12月買進了價值約1.4萬美元的比特幣及以太幣,接著購買了Trezor硬體錢包,再從App Store下載了Trezor程式,他輸入種子詞之後發現該程式並未連至他的Trezor錢包,但當下不以為意,只是在幾周後再買進以太幣,並將Trezor錢包插入電腦想查看餘額時,卻什麼都沒有。

Christodoulou在發現比特幣不見之際,重新連上App Store檢查Trezor程式,顯示該程式有155個評價,而且平均分數接近5顆星。

雖然不管是Google或蘋果都在幾天內就將詐騙的Trezor程式下架,並將開發者停權,但已有超過2,000名用戶下載。Christodoulou與Fajcz都向蘋果投訴,卻得到蘋果不對此負責的答案,蘋果則向華盛頓郵報說明,此一假冒的Trezor程式在提交時說自己是加密程式,可用來加密iPhone檔案及儲存密碼,並成功上架,但後來卻逕行將內容更改為加密貨幣錢包。

華盛頓郵報引用加密貨幣詐騙調查公司Coinfirm的數據指出,從2019年10月迄今,該公司至少接獲超過7,000筆的加密貨幣資產遭竊的詢問,而有關Trezor詐騙程式的案件,在iOS上有5起,在Android上則有3起。

熱門新聞

Advertisement