ประเด็นสำคัญ:
- ZachXBT เชื่อมโยงการขโมย $9.5M จากแอป Ledger Live ปลอมบน Apple App Store ไปยังที่อยู่ฝากเงิน Kucoin กว่า 150+ ที่อยู่
- นักดนตรี G. Love สูญเสีย BTC เกือบ 6 เหรียญ; เหยื่อรายใหญ่ 3 รายแต่ละรายสูญเสียเงินไป 7 หลักระหว่างวันที่ 7-13 เมษายน
- Apple ลบแอปพลิเคชันปลอมออกจาก App Store แล้ว
แอป Ledger Live iOS ปลอมดูดเงิน $9.5M ก่อนที่ Apple จะลบออก ZachXBT ค้นพบ
ZachXBT โพสต์ผลการสืบสวนของเขาเมื่อวันอังคารที่ 14 เมษายนบน X โดยอธิบายว่าแอปปลอมทำให้ผู้ใช้มากกว่า 50 รายตกเป็นเหยื่อระหว่างวันที่ 7 ถึง 13 เมษายนผ่านเครือข่าย Bitcoin, EVM, Tron, Solana และ Ripple Apple ลบแอปออกในวันก่อนที่เขาจะโพสต์
เหยื่อรายใหญ่สามรายแต่ละรายสูญเสียเงินเจ็ดหลัก ผู้ใช้รายหนึ่งสูญเสีย $3.23 ล้านเป็น USDT เมื่อวันที่ 9 เมษายน เหยื่อรายที่สองสูญเสีย $2.079 ล้านเป็น USDC เมื่อวันที่ 11 เมษายน รายที่สามสูญเสียคริปโตมูลค่า $1.95 ล้านเมื่อวันที่ 8 เมษายน รวมถึง 20.64 BTC, 211 stETH และ 70 ETH
เหยื่ออีกรายหนึ่งคือนักดนตรี Garrett Dutton ที่รู้จักกันในนาม G. Love ซึ่งสูญเสีย BTC เกือบ 6 เหรียญจากแอปปลอม ZachXBT ระบุว่า AudiA6 เป็นบริการผสมแบบรวมศูนย์ที่ใช้ย้ายเงินที่ถูกขโมย
เขาอธิบายว่า AudiA6 เป็นบริการที่เรียกเก็บค่าธรรมเนียมสูงในการประมวลผลเงินที่ผิดกฎหมาย และกล่าวหาว่าเงินที่ถูกขโมยถูกย้ายผ่านที่อยู่ฝากเงิน Kucoin ที่เชื่อมต่อกับบริการนั้น นักสืบยังกล่าวอ้างว่าผู้กระทำความผิดรายอื่นฟอกเงิน $3.5 ล้านจากเหตุการณ์ Bitcoin Depot ผ่านที่อยู่ฝากเงิน Kucoin มากกว่า 25 ที่อยู่ในช่วงหลายวันก่อนการขโมยที่เกี่ยวข้องกับ Ledger
บน X หลังจากบัญชี X อย่างเป็นทางการของ Kucoin โพสต์โหวต A & B แบบสุ่ม ZachXBT ตัดสินใจตอบกลับด้วยข้อกล่าวหาของเขา "C) ต้องการอธิบายให้ชุมชนฟังหรือไม่ว่าทำไม Kucoin จึงอนุญาตให้ผู้กระทำความผิดฟอกเงิน $9.5M+ ที่เกี่ยวข้องกับแอป Ledger ปลอมผ่านที่อยู่ฝากเงิน Kucoin กว่า 150+ ที่อยู่ในสัปดาห์ที่ผ่านมา?" ZachXBT ถาม นักสืบออนเชนเสริมว่า:
เมื่อบัญชี X อย่างเป็นทางการของ Kucoin ตอบสนองต่อความขัดแย้งโดยขอ UID และหมายเลขตั๋วเพื่อตรวจสอบเรื่องนี้ ZachXBT ตอบกลับด้วยรูปภาพเอกสารระบุตัวตนของทารก บ่งบอกว่ากระบวนการยืนยันตัวตน (KYC) ของตลาดแลกเปลี่ยนไม่เพียงพอ
Kucoin ไม่ได้ตอบสนองต่อข้อกล่าวหาเหล่านั้นอย่างเป็นทางการ ณ เวลาที่เผยแพร่ การตอบกลับเกี่ยวกับ UID และหมายเลขตั๋วน่าจะมาจากเจ้าหน้าที่บริการลูกค้า
ZachXBT กล่าวว่าสถานการณ์นี้อาจเป็นเหตุผลในการฟ้องร้อง Apple แบบกลุ่มสำหรับการโฮสต์แอปหลอกลวง ที่อยู่การขโมยที่ ZachXBT เผยแพร่ครอบคลุมหลายบล็อกเชน รวมถึง Bitcoin, Ethereum, Tron, Solana และ Ripple โดยระบุกระเป๋าเงินเฉพาะที่เชื่อมต่อกับเหยื่อแต่ละราย
การมีอยู่ของแอป Ledger Live ปลอมบน App Store ของ Apple ทำให้เกิดคำถามที่กว้างขึ้นเกี่ยวกับวิธีที่ซอฟต์แวร์ที่เป็นอันตรายผ่านกระบวนการตรวจสอบของ Apple และสามารถดำเนินการได้นานเท่าใดก่อนถูกลบออก
ในบันทึกที่แบ่งปันกับ Bitcoin.com News CTO ของ Ledger Charles Guillemet เน้นย้ำว่าบริษัทของเขาจะไม่มีวันขอ seed phrase "Ledger จะไม่มีวันขอ 24 คำของคุณ หากมีใครหรือแอปใดขอ 24 คำของคุณ ให้สันนิษฐานว่ามีบางอย่างผิดปกติ" Guillemet อธิบาย
"Ledger เตือนชุมชนเกี่ยวกับเรื่องนี้อย่างสม่ำเสมอ คุณไม่สามารถเชื่อถือสภาพแวดล้อมซอฟต์แวร์รอบตัวคุณได้ – ไม่ว่าจะเป็นเบราว์เซอร์ แอปสโตร์ หรือเดสก์ท็อปของคุณ ผู้โจมตีดำเนินการทุกที่ที่มีโอกาส และนั่นรวมถึงแพลตฟอร์มจำหน่ายอย่างเป็นทางการ การป้องกันเพียงอย่างเดียวคือการเก็บคีย์ส่วนตัวของคุณไว้ในอุปกรณ์ฮาร์ดแวร์เฉพาะที่มีหน้าจอปลอดภัย เช่น Ledger signer และไม่ควรป้อน seed phrase ของคุณในแอปหรือเว็บไซต์ใดๆ 24 คำของคุณคือกระเป๋าเงินของคุณ" CTO ของบริษัทกระเป๋าเงินฮาร์ดแวร์เสริม
แหล่งที่มา: https://news.bitcoin.com/zachxbt-says-apple-app-store-fake-ledger-app-stole-9-5m-from-50-victims-in-one-week/
