Основные моменты:
- ZachXBT связал кражу $ 9,5 млн из поддельного приложения Ledger Live в Apple App Store с предполагаемыми 150+ адресами депозита Kucoin.
- Музыкант G. Love потерял почти 6 BTC; 3 крупнейшие жертвы потеряли по 7-значным суммам в период с 7 по 13 апреля.
- Apple в конечном итоге удалила поддельное приложение из App Store.
Поддельное приложение Ledger Live для iOS украло $ 9,5 млн до того, как Apple удалила его, обнаружил ZachXBT
ZachXBT опубликовал свои выводы во вторник, 14 апреля, в X, подробно описав, как поддельное приложение обманывало более 50 пользователей в период с 7 по 13 апреля в сетях Биткоин, EVM, Tron, Solana и Ripple. Apple удалила приложение за день до его публикации.
Три крупнейшие жертвы потеряли по 7-значным суммам. Один пользователь потерял $ 3,23 млн в USDT 9 апреля. Вторая жертва потеряла $ 2,079 млн в USDC 11 апреля. Третья потеряла криптовалюту на сумму $ 1,95 млн 8 апреля, включая 20,64 BTC, 211 stETH и 70 ETH.
Еще одной жертвой среди обманутых был музыкант Гаррет Даттон, профессионально известный как G. Love, который потерял почти 6 BTC из-за поддельного приложения. ZachXBT идентифицировал AudiA6 как централизованный сервис микширования, используемый для перемещения украденных средств.
Он описал AudiA6 как сервис, который взимает высокие комиссии за обработку незаконных денег, и утверждал, что украденные средства перемещались через адреса депозита Kucoin, связанные с этим сервисом. Следователь также заявил, что отдельный злоумышленник отмыл $ 3,5 млн от инцидента с Bitcoin Depot через более чем 25 адресов депозита Kucoin в дни перед кражей, связанной с Ledger.
В X, после того как официальный аккаунт Kucoin в X опубликовал случайный пост с голосованием A & B, ZachXBT решил ответить своими обвинениями. "C) Хотите объяснить сообществу, почему Kucoin позволил злоумышленнику отмыть более $ 9,5 млн, связанных с поддельным приложением Ledger, через более чем 150 адресов депозита Kucoin за последнюю неделю?" спросил ZachXBT. Он также добавил:
Когда официальный аккаунт Kucoin в X ответил на противоречие, запросив MEXC UID и номер тикета для изучения вопроса, ZachXBT ответил фотографией идентификационного документа младенца, подразумевая, что процесс верификации KYC биржи является недостаточным.
На момент публикации Kucoin не ответила публично на эти конкретные обвинения. Ответ с MEXC UID и номером тикета, вероятно, был от агента службы поддержки.
ZachXBT заявил, что ситуация может стать основанием для коллективного иска против Apple за размещение мошеннического приложения. Адреса краж, опубликованные ZachXBT, охватывают несколько блокчейнов, включая Биткоин, блокчейн Ethereum, Tron, Solana и Ripple, идентифицируя конкретные кошельки, связанные с каждой жертвой.
Присутствие поддельного приложения Ledger Live в Apple App Store вызвало более широкие вопросы о том, как вредоносное программное обеспечение проходит процесс проверки Apple и как долго оно может работать до удаления.
В примечании, которым поделился с Bitcoin.com News, технический директор Ledger Чарльз Гийеме подчеркнул, что его компания никогда не попросит Мнемоническое слово. "Ledger никогда не попросит ваши 24 слова. Если кто-то или какое-либо приложение запрашивает ваши 24 слова, считайте, что что-то не так", объяснил Гийеме.
"Ledger постоянно напоминает сообществу об этом. Вы не можете доверять программной среде вокруг вас — ни вашему браузеру, ни вашему магазину приложений, ни вашему рабочему столу. Злоумышленники действуют везде, где существует возможность, и это включает Официальные источники MEXC. Единственная защита — это хранение ваших приватных ключей на специализированном аппаратном устройстве с безопасным экраном, таком как Ledger signer, и никогда не вводить ваше Мнемоническое слово в какое-либо приложение или веб-сайт. Ваши 24 слова — это ваш кошелек", добавил технический директор компании по производству аппаратных кошельков.
Источник: https://news.bitcoin.com/zachxbt-says-apple-app-store-fake-ledger-app-stole-9-5m-from-50-victims-in-one-week/
