นักดนตรีดังสูญ Bitcoin กว่า $424,000 หลังโหลดแอป Ledger ปลอมจาก Mac App Store

เมื่อวันที่ 11 เม.ย. 2569 ตามเวลาไทย G. Love (Garrett Dutton) นักดนตรีชาวอเมริกันที่รู้จักกันดีในวงการเพลง ได้โพสต์บน X เปิดเผยว่าตนสูญเสีย Bitcoin ทั้งหมด 5.92 BTC มูลค่าประมาณ $424,175 หลังจากดาวน์โหลดแอปพลิเคชัน Ledger ปลอมจาก Apple Mac App Store ขณะกำลังตั้งค่า Ledger hardware wallet บนคอมพิวเตอร์เครื่องใหม่ โดยเขาระบุว่า “สูญเสียเงินออมเกษียณทั้งหมดใน Bitcoin ไปในทันที” ตามรายงานจาก Cointelegraph ซึ่งได้เผยแพร่ข่าวนี้เมื่อวันที่ 12 เม.ย. 2569 นอกจากนี้ นักสืบออนเชนชื่อดัง ZachXBT ยังได้ยืนยันว่าเงินที่ถูกขโมยถูกฟอกผ่าน 9 ธุรกรรมไปยังที่อยู่รับเงินของ KuCoin และยังตั้งคำถามถึงกระบวนการตรวจสอบแอปของ Apple ที่ปล่อยให้แอปปลอมผ่านการอนุมัติได้

แอปปลอมใช้เทคนิคอะไรขโมย Bitcoin

แอปพลิเคชัน Ledger ปลอมดังกล่าวใช้กลลวงที่เรียบง่ายแต่ได้ผล นั่นคือการหลอกให้เหยื่อกรอก Seed Phrase หรือ Secret Recovery Phrase 24 คำ ซึ่งเป็นรหัสหลักที่ใครมีในครอบครองก็สามารถเข้าควบคุมกระเป๋าเงินทั้งหมดได้ทันที ทันทีที่ G. Love กรอกข้อมูลดังกล่าว แฮกเกอร์ก็เข้าควบคุมกระเป๋าเงินได้และโอน Bitcoin ทั้งหมดออกไปแทบในพริบตา

Ledger ได้ย้ำเตือนมาโดยตลอดว่าผู้ใช้งานควรดาวน์โหลดซอฟต์แวร์ Ledger Live อย่างเป็นทางการจากเว็บไซต์ ledger.com เท่านั้น และไม่ควรใช้ App Store ของบุคคลที่สาม Charles Guillemet ประธานเจ้าหน้าที่ฝ่ายเทคนิคของ Ledger ยังระบุชัดเจนว่า ซอฟต์แวร์ใดก็ตามที่ขอให้กรอก Seed Phrase ถือเป็นการหลอกลวง 100% โดยไม่มีข้อยกเว้น เนื่องจากกระบวนการตั้งค่าที่ถูกต้องจะต้องจัดการ Seed Phrase บนตัวอุปกรณ์ฮาร์ดแวร์โดยตรงเท่านั้น

เหตุการณ์นี้ไม่ใช่ครั้งแรกบน Mac App Store และ Microsoft Store

น่าเป็นห่วงว่าเหตุการณ์แบบนี้เกิดขึ้นซ้ำแล้วซ้ำเล่า เมื่อเดือน ก.พ. 2569 มีผู้ใช้รายหนึ่งสูญเสียเงินกว่า $1 ล้านจากการดาวน์โหลดแอป Ledger ปลอมจาก Mac App Store เช่นกัน และในปี 2566 มีการพบแอป Ledger Live ปลอมบน Microsoft Store ส่งผลให้ผู้ใช้สูญเสีย Bitcoin รวมกว่า 16.8 BTC มูลค่าประมาณ $588,000 ในขณะนั้น ซึ่ง ZachXBT เป็นผู้ติดตามเงินในครั้งนั้นด้วยเช่นกัน

ยิ่งไปกว่านั้น บริษัทด้านความปลอดภัย Moonlock เคยรายงานในปี 2568 ถึงแคมเปญมัลแวร์ที่มุ่งเป้าผู้ใช้ macOS โดยเฉพาะ ด้วยการแทนที่ Ledger Live ของจริงด้วยเวอร์ชันปลอมที่ขอ Seed Phrase ซึ่งแคมเปญดังกล่าวมีการเคลื่อนไหวมาตั้งแต่ ส.ค. 2567 แล้ว เหตุการณ์เหล่านี้สะท้อนถึงช่องโหว่ในกระบวนการตรวจสอบแอปของ Apple ที่ยังไม่สามารถกรองแอปอันตรายออกได้อย่างมีประสิทธิภาพ

วิธีป้องกันตัวเองจากแอป Ledger ปลอม

สำหรับผู้ใช้งาน Ledger hardware wallet ทุกคน มีจุดสำคัญที่ต้องจำให้ขึ้นใจ ได้แก่ ดาวน์โหลด Ledger Live จาก ledger.com เท่านั้น ไม่ว่าจะเป็น App Store ของ Apple, Google Play Store หรือ Microsoft Store ล้วนมีความเสี่ยงที่แอปปลอมจะแทรกเข้ามาได้ทั้งสิ้น นอกจากนี้ ห้ามกรอก Seed Phrase 24 คำบนซอฟต์แวร์ใดๆ บนคอมพิวเตอร์หรือสมาร์ตโฟนเด็ดขาด การกรอก Seed Phrase ควรทำบนตัวอุปกรณ์ฮาร์ดแวร์ผ่านหน้าจอของอุปกรณ์เท่านั้น หากแอปหรือเว็บไซต์ใดก็ตามขอให้กรอก Seed Phrase ให้ถือว่าเป็นการหลอกลวงทุกกรณี

ส่วนตัวผู้เขียนมองว่าเหตุการณ์นี้น่าเศร้ามากเพราะ G. Love เสียเงินออมเกษียณทั้งหมดไป แต่มันก็เป็นบทเรียนราคาแพงที่ชุมชนคริปโตควรเรียนรู้ร่วมกัน สิ่งที่น่าเป็นห่วงมากกว่าคือ Apple มักถูกมองว่า “ปลอดภัยกว่า” เมื่อเทียบกับ Android แต่กรณีนี้พิสูจน์ให้เห็นชัดว่าไม่มีแพลตฟอร์มใดที่ปลอดภัย 100% หากกระบวนการตรวจสอบยังมีช่องโหว่ และที่น่าสังเกตคือเหตุการณ์คล้ายกันนี้เกิดขึ้นซ้ำมาหลายปีแล้ว แต่แอปปลอมก็ยังหลุดรอดเข้ามาใน App Store ได้เรื่อยๆ สำหรับทุกคนที่ถือ hardware wallet อยู่ อยากให้ทบทวนอีกครั้งว่าคุณดาวน์โหลด Ledger Live มาจากที่ไหน และจำไว้ว่า Seed Phrase คือกุญแจหลักของทุกอย่าง ไม่ต้องกรอกให้กับใครหรือซอฟต์แวร์ใดเลยนอกจากบนตัวอุปกรณ์ฮาร์ดแวร์เท่านั้น

ที่มา: @Cointelegraph

ภาพจาก AI