Concluzii principale:
- ZachXBT a conectat un furt de 9,5 milioane $ dintr-o aplicație falsă Ledger Live din Apple App Store la presupuse 150+ adrese de depunere Kucoin.
- Muzicianul G. Love a pierdut aproape 6 BTC; cele 3 victime majore au pierdut fiecare sume de 7 cifre între 7-13 aprilie.
- Apple a ajuns să elimine aplicația falsă din App Store.
Aplicația falsă Ledger Live iOS a furat 9,5 milioane $ înainte ca Apple să o elimine, descoperă ZachXBT
ZachXBT și-a publicat descoperirile marți, 14 aprilie, pe X, explicând cum aplicația falsă a victimizat peste 50 de utilizatori între 7 și 13 aprilie pe rețelele Bitcoin, EVM, Tron, Solana și Ripple. Apple a eliminat aplicația cu o zi înainte de postarea sa.
Cele trei victime majore au pierdut fiecare sume de șapte cifre. Un utilizator a pierdut 3,23 milioane $ în USDT pe 9 aprilie. O a doua victimă a pierdut 2,079 milioane $ în USDC pe 11 aprilie. O a treia a pierdut criptomonede în valoare de 1,95 milioane $ pe 8 aprilie, incluzând 20,64 BTC, 211 stETH și 70 ETH.
O altă victimă printre cei fraudați a fost muzicianul Garrett Dutton, cunoscut profesional ca G. Love, care a pierdut aproape 6 BTC din cauza aplicației false. ZachXBT a identificat AudiA6 ca serviciul centralizat de mixare folosit pentru a muta fondurile furate.
El a descris AudiA6 ca un serviciu care percepe comisioane mari pentru a procesa bani iliciți și a susținut că fondurile furate au trecut prin adrese de depunere Kucoin conectate la acel serviciu. Investigatorul a afirmat, de asemenea, că un alt actor de amenințare a spălat 3,5 milioane $ din incidentul Bitcoin Depot prin peste 25 de adrese de depunere Kucoin în zilele dinaintea furtului legat de Ledger.
Pe X, după ce contul oficial X al Kucoin a postat o postare aleatorie de vot A & B, ZachXBT a decis să răspundă cu acuzațiile sale. "C) Vreți să explicați comunității de ce Kucoin a permis unui actor de amenințare să spele peste 9,5 milioane $ legate de o aplicație Ledger falsă prin peste 150 de adrese de depunere Kucoin în ultima săptămână?" a întrebat ZachXBT. Investigatorul onchain a adăugat:
Când contul oficial X al Kucoin a răspuns controversei solicitând un UID și un număr de tichet pentru a investiga problema, ZachXBT a răspuns cu o fotografie a documentului de identitate al unui sugar, sugerând că procesul de verificare know-your-customer (KYC) al bursei este inadecvat.
Kucoin nu răspunsese public la acele acuzații specifice până la momentul publicării. Răspunsul cu UID și numărul de tichet provenea probabil de la un agent de servicii pentru clienți.
ZachXBT a declarat că situația ar putea oferi temei pentru un proces colectiv împotriva Apple pentru găzduirea aplicației frauduloase. Adresele de furt publicate de ZachXBT acoperă multiple blockchain-uri, inclusiv Bitcoin, Ethereum, Tron, Solana și Ripple, identificând portofele specifice conectate la fiecare victimă.
Prezența aplicației false Ledger Live în App Store-ul Apple a ridicat întrebări mai ample despre cum software-ul malițios trece procesul de revizuire al Apple și cât timp poate funcționa înainte de eliminare.
Într-o notă împărtășită cu Bitcoin.com News, CTO-ul Ledger, Charles Guillemet, a subliniat că firma sa nu va solicita niciodată o frază seed. "Ledger nu vă va cere niciodată cele 24 de cuvinte. Dacă cineva sau vreo aplicație vă cere cele 24 de cuvinte, presupuneți că ceva nu este în regulă," a explicat Guillemet.
"Ledger amintește în mod constant comunității despre acest lucru. Nu puteți avea încredere în mediul software din jurul vostru – nici în browser-ul vostru, nici în magazinul vostru de aplicații, nici pe desktop. Atacatorii operează oriunde există oportunitatea, iar asta include platformele oficiale de distribuție. Singura protecție care funcționează este păstrarea cheilor private pe un dispozitiv hardware dedicat cu un ecran securizat, precum un semnatar Ledger, și niciodată să nu introduceți fraza seed în nicio aplicație sau site web. Cele 24 de cuvinte ale voastre reprezintă portofelul vostru," a adăugat CTO-ul firmei de portofele hardware.
Sursa: https://news.bitcoin.com/zachxbt-says-apple-app-store-fake-ledger-app-stole-9-5m-from-50-victims-in-one-week/
