Mycelium советует отказаться от iOS-кошелька: баги в нем косвенно привели к краже $3300 в биткоинах

mycelium_cover (2)
mycelium_cover (2)

В редакцию ForkLog обратился пользователь криптовалютного кошелька Mycelium Wallet Антон З., который стал жертвой мошенников, действовавших от имени компании.

В конце января Антон обнаружил баг в кошельке Mycelium для iOS, который не позволял посмотреть историю транзакций аккаунта. Он сообщил об этом команде разработчиков, воспользовавшись почтовым адресом, указанным в приложении.

Mycelium советует отказаться от iOS-кошелька: баги в нем косвенно привели к краже $3300 в биткоинах

Не получив ответа в течение недели, пользователь написал в Telegram-канал @mycelium_wallet — единственный групповой чат, который отобразился по запросу «@mycelium». На тот момент в нем было более 150 участников.

Mycelium советует отказаться от iOS-кошелька: баги в нем косвенно привели к краже $3300 в биткоинах

Примечание: Telegram-ник @mycelium (указанный в приложении) принадлежит частному лицу, Павлу. Он рассказал ForkLog, что создал этот аккаунт летом 2019 года без какого-либо злого умысла. И заметил, что что-то не так, когда ему стали писать пользователи Mycelium Wallet, полагая, что это контакт службы поддержки. По словам Павла, он в течение полугода неоднократно обращался команде кошелька с просьбой исправить контакт саппорта в приложении, но его обращения были проигнорированы.

Антон написал о баге в чат, указал свою почту, с которой отправлял сообщение, и вскоре получил письмо с адреса wallets.mycelium@gmail.com:

Mycelium советует отказаться от iOS-кошелька: баги в нем косвенно привели к краже $3300 в биткоинах

«В письме была ссылка, пройдя по которой, я увидел пять вопросов, в том числе просьбу перечислить 12 секретных слов, которые я ввожу для доступа в кошелек. Я переспросил на канале, нормально ли то, что меня просят ввести секретные слова. Админ канала ответил в приватный чат, что это необходимо для устранения бага. Дело было уже поздно вечером, я заполнил форму и выслал», — рассказал Антон.

На следующий день он обнаружил, что вся сумма с его баланса в размере 0.3366 BTC (около $3300 на тот момент) выведена, а история транзакций все так же недоступна.

«Написал в Telegram-канал, они тут же подтвердили, что все нормально — это устраняются неполадки. Даже кто-то из канала начал писать, что у него такая же ситуация была и это нормальное явление. В общем меня успокоили».

Однако, когда деньги так и не вернулись, Антон понял, что его обманули.

Mycelium советует отказаться от iOS-кошелька: баги в нем косвенно привели к краже $3300 в биткоинах

Примечательно и то, что фейковая служба поддержки в своем канале предупреждает об участившихся случаях мошенничества от имени команды Mycelium Wallet.

Mycelium советует отказаться от iOS-кошелька: баги в нем косвенно привели к краже $3300 в биткоинах

Похищенную криптовалюту Антон и его товарищи из мотосообщества «Байкеры Беларуси» самостоятельно собрали на помощь детям из интернатов.

Mycelium советует отказаться от iOS-кошелька: баги в нем косвенно привели к краже $3300 в биткоинах

«Я писал на все почтовые адреса службы поддержки, оставил отзыв в App Store с описанием проблемы. Даже нашел в гугле якобы действующий номер техподдержки, но там снова нарвался на мошенников, которые выманивают seed-фразы у всех, кто им звонит», — рассказал Антон редакции ForkLog.

Раньше у пользователя нареканий на работу сервиса не было. Вместе с тем на Bitcointalk существует ветка от ноября 2018 года, где другой клиент Android-версии Mycelium Wallet жаловался на то, что при попытке восстановления доступа к кошельку, приложение создало новый аккаунт, в результате чего он потерял 0.99 BTC.

CEO Mycelium Wallet Александр Кузьмин в комментарии ForkLog сообщил, что команде проекта известно обо всех багах приложения.

«iOS-версия кошелька — это вообще один большой баг. Но так как Mycelium всегда был андроидным кошельком и компания Apple до 2015 года не пускала биткоин-приложения в App Store, то iOS не была приоритетом. Все усилия команды всегда были сосредоточены на Android, хотя мы сделали и выпустили очень простую версию iOS, которая с 2017 года продолжает свое существование в этом виде», — заявил он.

Кузьмин подчеркнул, что смысла развивать текущую версию кошелька Mycelium для iOS нет, и в течение трех-четырех месяцев ее планируют заменить на новый iOS-кошелек, идентичный по своим характеристикам Android-версии.

«Средства, хранимые в iOS-кошельках, неуязвимы при условии, что пользователь сделал бэкап. Но активно пользоваться им ввиду outdated-инфраструктуры мы не рекомендуем», — добавил CEO Mycelium.

Также ForkLog выяснил, что у проекта не существует внутреннего инструмента для отслеживания транзакций и оказать помощь в поиске похищенных средств команда Mycelium не может.

Александр Кузьмин добавил, что официального чата в мессенджере Telegram у компании нет.

«Неверный Telegram контакт — наследие старых времен. Скорее всего, это был наш комьюнити-менеджер — судьба этого юзернейма нам неизвестна».

В конце 2018 года хакеры украли более 200 BTC у пользователей кошельков Electrum посредством фишинговой атаки через множество зловредных серверов.

В апреле 2019 года в результате DoS-атаки на сервера криптовалютных кошельков Electrum хакеры похитили $4,6 млн со 152 тысяч аккаунтов.

Мошенники все чаще прикрываются именем известных брендов. Недавно злоумышленники обманули читателя ForkLog в Telegram-канале, якобы принадлежащем нашей редакции.

Будьте внимательны: проверяйте личность человека, с которым вы общаетесь, и никому не передавайте конфиденциальную информацию!

Подписывайтесь на новости ForkLog в Telegram: ForkLog Feed — вся лента новостей, ForkLog — самые важные новости и опросы.

Подписывайтесь на ForkLog в социальных сетях

Telegram (основной канал) Discord Instagram
Нашли ошибку в тексте? Выделите ее и нажмите CTRL+ENTER

Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!

*Ежедневная рассылка — краткая сводка наиболее важных новостей предыдущего дня. Чтение занимает не больше двух минут. Выходит в рабочие дни в 06:00 (UTC)
*Еженедельная рассылка — объясняем, кто и как изменил индустрию за неделю. Идеально подходит для тех, кто не успевает за новостным потоком в течение дня. Выходит в пятницу в 16:00 (UTC).

Мы используем файлы cookie для улучшения качества работы.

Пользуясь сайтом, вы соглашаетесь с Политикой приватности.

OK