Peamised väljatõed:
- ZachXBT seadis $9,5 miljoni varastamise valesti esitatud Ledger Live'i Apple'i App Store'i rakendusega seoses eeldatavalt üle 150 Kucoin'i deposiitide aadressiga.
- Muusik G. Love kaotas peaaegu 6 BTC'd; kolm suurimat ohvrit kaotasid igaüks aprilli 7.–13. vahel kümneid miljoneid dollareid.
- Apple eemaldas lõpuks petliku rakenduse App Store'ist.
Vale Ledger Live'i iOS-rakendus drenas $9,5 miljonit enne Apple'i eemaldamist – ZachXBT leidis seda
ZachXBT postitas oma avastused teisipäeval, 14. aprillil, platvormil X, kirjeldades, kuidas vale rakendus ohverdas aprilli 7.–13. vahel rohkem kui 50 kasutajat Bitcoin-, EVM-, Tron-, Solana- ja Ripple-võrgustikes. Apple eemaldas rakenduse päeva enne tema postitust.
Kolm suurimat ohvrit kaotasid igaüks kümneid miljoneid dollareid. Üks kasutaja kaotas 9. aprillil $3,23 miljonit USDT'd. Teine ohver kaotas 11. aprillil $2,079 miljonit USDC'd. Kolmas kaotas 8. aprillil $1,95 miljonit krüptovaluutat, sealhulgas 20,64 BTC'd, 211 stETH't ja 70 ETH't.
Teiste petetute hulka kuulus ka muusik Garrett Dutton, kes on tuntud kui G. Love ja kes kaotas vale rakenduse tõttu peaaegu 6 BTC'd. ZachXBT tuvastas AudiA6 kui tsentraliseeritud segamisteenuse, mida kasutati varastatud vahendite liigutamiseks.
Ta kirjeldas AudiA6-d teenusena, mis võtab kõrged tasud ebaseaduslike vahendite töötlemise eest, ja väitis, et varastatud vahendid liikusid läbi selle teenusega seotud Kucoin'i deposiitide aadresside. Uurija väitis ka, et eraldi ähvardaja pesitas Bitcoin Depot'i juhtumist pärit $3,5 miljonit rohkem kui 25 Kucoin'i deposiitide aadressi kaudu päevade jooksul enne Ledger'iga seotud vargust.
Platvormil X, pärast seda kui Kucoin'i ametlik X-konto postitas juhusliku A & B hääletuspostituse, otsustas ZachXBT vastata oma süüdistustega. „C) Kas soovite kogukonnale selgitada, miks lubas Kucoin ähvardajal viimasel nädalal pesitada $9,5 miljonit+ seoses vale Ledger'i rakendusega läbi üle 150 Kucoin'i deposiitide aadressi?“ küsis ZachXBT. Ahela uurija lisas:
Kui Kucoin'i ametlik X-konto reageeris skandaalile, paludes UID-i ja piletinumbrit asja uurimiseks, vastas ZachXBT fotoga vastsündinu identifitseerimisdokumendist, vihjates, et börsi teadmisega klient (KYC) kontrolliprotsess on ebapiisav.
Kucoin ei olnud avalikult neid konkreetseid süüdistusi kommentaariga vastanud ajal, mil see artikkel ilmus. UID-i ja piletinumbri küsimine tuli tõenäoliselt klienditeenindusagendi poolt.
ZachXBT ütles, et olukord võib pakkuda alust klassihalduskaebusele Apple'i vastu petliku rakenduse majutamise eest. ZachXBT poolt avaldatud varguse aadressid hõlmavad mitmeid blokiahelaid, sealhulgas Bitcoin, Ethereum, Tron, Solana ja Ripple, ning tuvastavad igale ohvrile vastavaid rahakotte.
Vale Ledger Live'i rakenduse olemasolu Apple'i App Store'is tõstis laiemaid küsimusi selle kohta, kuidas kurjasti orienteeritud tarkvara läbib Apple'i ülevaatuse protsessi ja kui kaua see saab toimida enne eemaldamist.
Märkuses, mille ta jagas Bitcoin.com News'iga, rõhutas Ledgeri tehnoloogiline juht Charles Guillemet, et tema firma ei küsi kunagi seed-fraasi. „Ledger ei küsi teie 24 sõna. Kui keegi või mingi rakendus teilt neid 24 sõna küsib, siis eeldage, et midagi on valesti,“ selgitas Guillemet.
„Ledger meenutab kogukonnale seda pidevalt. Te ei saa usaldada tarkvarakeskkonda, kus te olete – mitte oma brauserit, mitte oma rakenduste poe, mitte oma töölauda. Rünnakuid teostatakse kõikjal, kus on võimalus, sealhulgas ametlikul levitamisplatvormil. Ainus kindel kaitse on hoida oma privaatsed võtmed eraldi riistvaraseadmes turvalise ekraaniga, näiteks Ledgeri allkirjastajas, ja mitte sisestada oma seed-fraasi kunagi üheski rakenduses ega veebisaidis. Teie 24 sõna on teie rahakott,“ lisas riistvararahakoti firma tehnoloogiline juht.
Allikas: https://news.bitcoin.com/zachxbt-says-apple-app-store-fake-ledger-app-stole-9-5m-from-50-victims-in-one-week/
