لجر (Ledger)، یکی از بزرگترین تولید کننده‌های کیف پول‌های سخت‌افزاری در بیانیه تازه‌ای به کاربران خود نسبت به استفاده از یکی از افزونه‌های گوگل کروم هشدار داده است. به گفته لجر این افزونه با استفاده از حملات فیشینگ، ارزهای دیجیتال شما را می‌دزدد.

به گزارش کوین تلگراف، دیروز (۱۶ اسفند)، لجر در توییتی با اشاره به یکی از افزونه‌های قلابی مرورگر کروم اعلام کرد که این افزونه اقدام به سرقت ارزهای دیجیتال آنها می‌کند. طبق اعلام لجر این افزونه از کاربران درخواست می‌کند تا رمز بازیابیِ ۲۴ کلمه‌ای خود را وارد کنند.

این حملات توسط کتلین سیمپانو (Catlin Cimpanu)، یک متخصص امنیت فضای مجازی در وب‌سایت زددی نت (ZDNet)، در ۴ مارس (۱۵ اسفند) اعلام شد. به گفته سیمپانو این افزونه مشکوک اولین بار توسط هری دنلی (Harry Denley)، مدیر پلتفرم امنیتی مای کریپتو (MyCrypto) کشف شده بود.

این افزونه لجر لایو (Ledger Live) نام دارد طبق گزارش‌ها یک افزونه تقلبی است. این افزونه با شبیه‌سازی نرم‌افزار لجر لایو، که بر روی تلفن‌های همراه نصب می‌شود، رمز بازیابی کاربران را به سرقت می‌برد. در حال حاضر به نظر می‌رسد گوگل این افزونه را از فروشگاه افزونه‌های کروم پاک کرده است. گزارش‌ها حاکی از آن است که پیش از پاک شدن، این افزونه حداقل ۱۲۰ بار دانلود شده است.

زددی نت در گزارش خود می‌نویسد که این افزونه قصد داشت تا با گول زدن کاربران، خود را افزونه‌ای برای نرم‌افزار لجر لایو جا بزند و برای کاربران امکان چک کردن موجودی حساب و تایید تراکنش‌ها را مهیا کند. با نصب این افزونه از شما خواسته می‌شد که سید (Seed) خود را وارد کنید تا کیف پول لجر شما به افزونه متصل شود. سید یا کلمه بازیابی، عبارتی چند بخشی است که به شما امکان دسترسی به کیف پولتان را می‌دهد.

دنلی، فردی که اولین بار این حمله را کشف کرد، می‌گوید که اصلا با عقل جور نمی‌آید که فردی این افزونه را نصب کند؛ چرا که هر کسی آن را نصب کند حتما یک کیف پول سخت‌افزاری دارد که برای ذخیره امن و آفلاین ارزهایش ساخته شده است!

با این حال به گفته دنلی، تعجب نمی‌کند اگر ببیند افرادی گول آن را خورده باشند. او در ادامه افزود:

مشکل بزرگ در حوزه ارزهای دیجیتال، آموزش دادن این مسئله به مردم است که کلیدها و کلیدهای بازیابی خود را به صورت آفلاین ذخیره کنند.

احتمالا تا به اینجا چندین نفر قربانی این افزونه قلابی شده باشند. این نکته را نیز باید در نظر گرفت که افزونه لجر لایو توسط گوگل نیز تبلیغ می‌شده است.

لجر در بیانیه خود تاکید می‌کند که هیچ گاه از کاربران خود تقاضای عبارت بازیابی‌شان را نمی‌کند. این شرکت همچنین به افراد توصیه جدی کرد که سید ۲۴ کلمه‌ای خود را در هیچ دستگاه متصلِ به اینترنت وارد نکنند. این اولین بار نیست که لجر با مشکلاتی در ارتباط با افزونه‌های تقلبی کروم دست و پنجه نرم می‌کند. اوایل ژانویه (دی) نیز یک افزونه دیگر چیزی در حدود ۱۶,۰۰۰ دلار ارز دیجیتال زی کش را به سرقت برد.