原創 問道 刊登於蜂巢tech
又一名比特幣持有者被冒牌app騙了。
近日,《華盛頓郵報》報道,iphone使用者菲利普·克里斯托杜魯(phillipe christodoulou)因在蘋果應用商店下載了假冒的trezor錢包app,被盜走了時值60萬美元的btc。去年12月,就有美國使用者稱因假trezorapp而損失了共計1.4萬美元的eth和btc。
trezor是一個儲存加密資產硬體錢包,官方從未釋出移動客戶端。但從去年12月到今年2月,一款連結著trezor錢包官網的冒牌app先後出現在谷歌、蘋果的應用商店裡。儘管它被錢包官方和使用者舉報多次,也被應用商店刪除過,但它總會在不久後再次出現。
移動應用分析公司sensor tower資料顯示,trezor的假app至少在1月22日到2月3日在蘋果應用商店(app store)上架,已被下載了約1000次;而在安卓系統上,它也被下載了大約1000次。
事實上,不止加密資產錢包被仿冒。蜂巢財經發現,歐易okex、幣安等交易平臺的app也存在冒牌的「李鬼」,蘋果、安卓手機均難倖免。有報道顯示,前段時間火爆網路的社交應用clubhouse也出現了安卓版仿品,並在應用中植入木馬病毒,竊取使用者資料,作惡目標之一便是加密資產交易所的使用者。
硬體錢包假app偷走使用者btc
《華盛頓郵報》報道,上個月,菲利普·克里斯托杜魯想檢視自己的比特幣餘額,於是在iphone上的應用商店(app store)上搜尋「trezor」,這是他用來儲存加密貨幣的硬體錢包品牌。
克里斯托杜魯把它下載下來,然後輸入他的金鑰。結果,不到一秒鐘時間,他的17.1 btc就不見了,這是他所有的積蓄,價值60萬美元。
克里斯托杜魯遇到了假的trezor app,因為硬體錢包trezor官方從未上線過移動客戶端。迷惑了他的不僅是帶著錢包官網連結的假app,還包括蘋果應用(app store)商店。這款應用在商店中的評價接近5顆星。
根據分析公司app figures的資料,在被下架之前,trezor這款應用在app store上有155條評論。當克里斯托杜魯開啟書面評論時,他看到了其他被騙者的抱怨。他認為,這款應用的五星評級肯定是假的。
比起小偷,他對蘋果公司更氣憤,「蘋果的應用商店被譽為一個安全可信的地方,每個應用進入商店之前都應該是經過稽覈的……他們背叛了我對他們的信任。」
事實上,去年12月,美國使用者詹姆斯·費茨就曾遭遇過類似的情況。去年12月,他看到加密資產價格上漲,便從交易所購買了價值約1.4萬美元的eth和btc。為了確保資產安全,他專門買了trezor model t硬體錢包,並在iphone上下載了名為trezor的應用程式。該應用程式曾要求提供他助記詞,但他提交後,應用並沒有連線到他的硬體錢包上,他以為這個app不能用。
直到幾周後費茨才意識到問題的嚴重性,在購買了更多eth後,他開啟trezor錢包,發現什麼都沒有。他去了reddit上的trezor支援論壇尋求答案,一位發帖人告訴他,根本就沒有trezor應用程式,「我的心咯噔一下。」他才意識到被騙了,和克里斯托杜魯一樣,他認為號稱安全的蘋果應用商店,應該為沒有盡到應用嚴審義務而擔責。
克里斯托杜魯給蘋果的客戶支援部門打了電話,一名代表稱,他會把電話轉給主管。但截至《華盛頓郵報》刊發報道前,他沒有收到來自蘋果的處理迴應。
區塊鏈分析公司chainalysis審查了兩名受害者提供的資訊,確認他們的加密資產被轉移到了一個可疑賬戶,該公司發言人認為,這兩起盜竊案似乎有關聯,「有證據表明,這是一個巨大的騙局,能帶來數十萬美元的收入。」
冒牌app繞過應用商店稽覈
蜂巢財經在國內及海外的蘋果商店上檢索發現,目前,trezor app沒再被列入,但無法確保它不會再度出現,因為此前它已經屢次被舉報、下架,但過一段時間又會出現。
舉報者即包括像克里斯托杜魯這樣的受騙使用者,也包括trezor硬體錢包的官方人員。
trezor是一家知名的硬體錢包製造商,總部位於捷克,隸屬於satoshi labs公司。trezor並沒有釋出過官方的移動應用程式。據這兩家公司稱,竊賊建立了一個假的應用程式,去年12月在谷歌play store上釋出過,今年1月在蘋果的app store上架。這個假應用騙一些不知情的trezor使用者輸入了助記詞。
2月1日,trezor官方通知過蘋果公司,應用商店裡有一款抄襲應用。2月3日,應用商店刪除了這款應用。但使用者克里斯托杜魯說,幾天後它又出現了,然後又被刪除。
《華盛頓郵報》報道,根據蘋果公司的說法,這個假冒的trezor應用程式是透過「誘騙」進入蘋果應用商店的——儘管這款應用名為trezor,使用了硬體錢包的logo和顏色,但它自稱是一款「加密」應用,可以加密iphone檔案並儲存密碼。偽造trezor應用程式的開發者曾告訴蘋果的應用稽覈團隊「沒有參與任何加密貨幣」。結果,一段時間後,trezor應用變成了一個加密貨幣錢包,而蘋果應用商店的稽覈團隊並不知情。
蘋果應用商店不允許這種變更,但相關人員表示,不知道這種變更是何時發生的。該公司表示,這得依賴使用者、客戶發現違規問題並報告。
谷歌則表示,它知道谷歌play store上出現了兩款假冒的trezor應用程式,並下架了它們。但報道顯示,谷歌並沒有說明trezor的應用程式是如何進入商店的,也沒有說明是否對開發者調查、是否通知了執法部門,到底該商店中發現了多少其他詐騙應用程式,這個資料也沒有被透露。
而分析公司app figures發現了8款出現在play store上的假trezor應用。屢刪屢現的過程中,這款冒牌應用可能已經騙了很多人。
移動應用分析公司sensor tower表示,至少從1月22日到2月3日,trezor應用在蘋果應用商店(appstore)存在過,幾乎被下載了1000次,而在安卓系統上,它也同樣被下載約1000次。
交易平臺app現「李鬼」
事實上,不僅trezor錢包被作惡者冒名造出了假app,市面上包括歐易okex、幣安等主流交易平臺,都存在品牌、logo、ui被盜用、造假app的情況。
今年2月,李磊(化名)看到特斯拉創始人馬斯克多次評價比特幣的新聞,開始關注到btc。由於此前從未有過任何交易經驗,他在網路檢索了「買比特幣」,結果被搜尋引擎推送了名為「okex客戶端」的app。
李磊是蘋果手機的使用者,「但這個應用並不是我在蘋果應用商店下的,而是透過網頁連結裝載在手機上的。」他告訴蜂巢財經,在安裝、註冊完賬戶後,他在一名客服人員的指導下,購買了價值1000元的usdt,「對方指導著我買入了一個看多訂單,我以為這就算買到了比特幣,結果,10分鐘不到,我的賬戶就歸零了。」
李磊後來在一名炒幣的朋友那得知,他下載的「okex客戶端」並非加密資產交易平臺歐易okex的官方客戶端,「和朋友的app一對比才知道,儘管介面也是藍色的,也帶著okex 的商標,但應用內的欄目根本不一樣,朋友說,我是遇到了假冒的野雞期貨交易所。」
目前,受政策制約,中國的蘋果應用商店不支援任何加密資產交易平臺的app上架,國內如華為應用市場、應用寶等安卓應用商店也無法下載到主流交易所app,但這兩大應用商店中,存在「張冠李戴」的情況。
蜂巢財經發現,在華為應用市場中,存在一款名為「okex計步器」的應用,logo與okex的相同,但它的確是一款計步器,可能存在商標盜用的問題,但對於幣圈使用者來說,下錯了也不會「傷錢」。而應用寶中則存在交易平臺打擦邊球的狀態,比如某交易所品牌在介紹上顯示為「筆記應用」,而下載後實則為加密資產交易應用。
而在小米應用裡,確確實實存在歐易okex的盜版,包括盜用了商標、中文名、英文名,下載後的確是一個交易平臺,但與歐易okex正版app的使用介面完全不同。已經有下載者評論其為「假軟體、詐騙軟體」。
國內的移動端應用商店對加密資產交易平臺app的管控姑且算嚴,多數以禁止上架的方式避免了小白落入假軟體的陷阱,而像李磊那樣經瀏覽器檢索、從某個連結中下載安裝app的方式卻並不受限,當然也更危險,更容易下載到假的移動客戶端。
可疑app冒用幣安品牌的情況就屬於上述風險。一款經瀏覽器進入百度手機助手訪問的安卓app盜用了真幣安的logo,如果仔細對比app頭像,可以發現僅存在顏色深淺的差異。下載後,假app被手機的安全助手攔截,並提示存在安全風險。假如強行安裝,仍可提供註冊入口,且不識別在真幣安上的註冊賬戶。這意味著,假如有使用者強行安裝,將會落入陷阱。
目前,包括歐易okex、火幣、幣安在內的加密資產交易平臺,都在官方渠道中曾釋出過防釣魚、防假客服、防假官網的安全風險提示。牛市當前,網際網路的廣域性有可能讓不熟悉加密資產交易的小白使用者遇到「李鬼」,被套走、盜走他們用真金白銀買來加密資產。
對此,比特幣老玩家提示,新人、小白可以透過社交網路,檢索交易平臺的官方社交渠道,比如微博、twitter這些,如果無法確認是否為官方,可以檢視評論、點贊等使用者活躍度來判斷,然後從官方渠道獲得官網地址和正規的app下載方式,「另外,也可以檢視coingecko這些加密資產資料平臺,一般,這些資料平臺上提供的平臺官網地址較為有效,它們也常常是正規交易平臺的引流入口,當然,還是需要自己反覆核對,確保最終的真實性。」
你如何防範涉加密資產的「李鬼」app?
