Приложения в App Store воровали доступ к криптокошелькам пользователей. Как это вышло?

Модераторы Apple пропустили как минимум 3 фейковых приложения, которые под видом криптовалютных кошельков собирали данные о настоящих кошельках пользователей. Несмотря на всю серьезность проверки, которой славится App Store, в магазин приложений Apple все равно смогли попасть мошеннические программы. Приложения выпускались под одним аккаунтом разработчика «MOSTIK, OOO» и на момент написания этого материала уже удалены из App Store. Но сколько людей просто подарили доступ к своим криптокошелькам за то время, пока фейковые приложения были в открытом доступе?

Мошенники в App Store

Приложения, о которых идет речь, назывались ConnectWallet, Wasabi: Wallet CoinJoin и KeepKey Watch Wallet. Решив, что это обычные приложения — кошельки, пользователи загружали их и авторизовывались со своими данными, а именно вводили seed-фразу (cид-фразу).

Что такое cид-фраза

Сид-фраза — это список из 12 или 24 слов в определенном порядке, который используется для открытия или восстановления доступа к криптовалютному кошельку при смене или порче устройства. Она создается при первичной настройке (создании) криптокошелька и автоматически генерируется компьютером.

Сид-фразу не рекомендуется хранить на мобильном устройстве или компьютере, многие записывают ее и помещают в банковскую ячейку, чтобы никто не смог получить доступ к кошельку. О том, как еще можно защитить свои криптоактивы, можно узнать на 2bitcoins.ru.

Другими словами, если кто-то получит доступ к сид-фразе, он запросто сможет открыть кошелек пользователя и, например, перевести все активы оттуда на свои кошельки. Обмен криптовалют не регулируется законодательством, поэтому доказать факт кражи будет сложно.

Приложения ConnectWallet, Wasabi: Wallet CoinJoin и KeepKey Watch Wallet занимались именно тем, что под видом кошельков собирали сид-фразы. Все, кто авторизовались в этих приложениях, просто подарили мошенникам все свои активы в криптовалютах.

Как выявить поддельный криптокошелек

Неизвестно, сколько пользователей ввели свои данные в приложениях от «MOSTIK, OOO», но потенциальный ущерб может составлять от нескольких миллионов рублей до миллионов долларов, так как размер криптоактивов у всех разный, а на недавнем росте валют многие увеличили свой капитал в несколько раз. Это лишний раз доказывает, что нужно тщательно проверять приложения, связанные с криптовалютами, — как минимум посмотреть на дату публикации и периодичность обновлений. Еще лучше посмотреть отзывы и почитать о приложении в интернете.

Что будут делать пострадавшие пользователи, непонятно. С одной стороны, логично было бы обратиться с претензией в Apple, ведь именно модераторы App Store пропустили мошеннические приложения. Но это не единственный случай, когда в магазин проникло мошенническое приложение для торговли криптовалютами. Так, в марте этого года в App Store появилось фейковое приложение, которое выдавало себя за сервис Trezor. Один из пользователей iOS воспользовался им, авторизовался, ввел сид-фразу и потерял 17,1 биткойна, что по нынешнему курсу примерно равняется 700 тысячам долларов.

Тогда в Apple заявили, что разработчик подал на проверку приложение для безопасного хранения данных на iPhone, а потом, когда его допустили к публикации, изменил его на криптовалютный кошелёк. Модераторы не смогли вовремя обнаружить факт подмены, из-за чего оказалось, что в App Store есть полный аналог приложения Trezor для криптовалютных операций, за тем лишь исключением, что оригинальный сервис к нему не имел никакого отношения. Как писал мой коллега Иван Кузнецов, после этого Apple провела большой аудит каталога и, по ее собственному признанию, вычислила ещё несколько поддельных приложений для операций с криптовалютами. Видимо, не все.

А как вы думаете, это вина Apple или самих пользователей, которые доверили свои кошельки мошенникам? Давайте обсудим в комментариях или в нашем Телеграм-чате.