Kluczowe wnioski:
- ZachXBT powiązał kradzież 9,5 mln USD z fałszywej aplikacji Ledger Live w Apple App Store z ponad 150 adresami depozytowymi Kucoin.
- Muzyk G. Love stracił prawie 6 BTC; 3 największe ofiary straciły po 7 cyfr między 7 a 13 kwietnia.
- Apple ostatecznie usunęło fałszywą aplikację z App Store.
Fałszywa aplikacja Ledger Live na iOS wyczyściła 9,5 mln USD zanim Apple ją usunęło, odkrywa ZachXBT
ZachXBT opublikował swoje ustalenia we wtorek 14 kwietnia na X, przedstawiając, jak fałszywa aplikacja oszukała ponad 50 użytkowników między 7 a 13 kwietnia w sieciach Bitcoin, EVM, Tron, Solana i Ripple. Apple usunęło aplikację dzień przed jego postem.
Trzy największe ofiary straciły po siedem cyfr. Jeden użytkownik stracił 3,23 mln USD w USDT 9 kwietnia. Druga ofiara straciła 2,079 mln USD w USDC 11 kwietnia. Trzecia straciła kryptowaluty o wartości 1,95 mln USD 8 kwietnia, w tym 20,64 BTC, 211 stETH i 70 ETH.
Kolejną ofiarą oszustwa był muzyk Garrett Dutton, znany zawodowo jako G. Love, który stracił prawie 6 BTC przez fałszywą aplikację. ZachXBT zidentyfikował AudiA6 jako scentralizowaną usługę mieszania używaną do przenoszenia skradzionych środków.
Opisał AudiA6 jako usługę pobierającą wysokie opłaty za przetwarzanie nielegalnych pieniędzy i twierdził, że skradzione środki przemieszczały się przez adresy depozytowe Kucoin połączone z tą usługą. Śledczy twierdził również, że inny zagrożenie wypierało 3,5 mln USD z incydentu Bitcoin Depot przez ponad 25 adresów depozytowych Kucoin w dniach poprzedzających kradzież związaną z Ledger.
Na X, po tym jak oficjalne konto X Kucoin opublikowało losowy post z głosowaniem A i B, ZachXBT postanowił odpowiedzieć swoimi oskarżeniami. "C) Chcecie wyjaśnić społeczności, dlaczego Kucoin pozwoliło sprawcy zagrożenia wyprać ponad 9,5 mln USD związanych z fałszywą aplikacją Ledger przez ponad 150 adresów depozytowych Kucoin w ciągu ostatniego tygodnia?" zapytał ZachXBT. Śledczy blockchain dodał:
Gdy oficjalne konto X Kucoin odpowiedziało na kontrowersję, prosząc o UID i numer zgłoszenia w celu zbadania sprawy, ZachXBT odpowiedział zdjęciem dokumentu tożsamości niemowlęcia, sugerując, że proces weryfikacji know-your-customer (KYC) giełdy jest niewystarczający.
Kucoin nie odpowiedziało publicznie na te konkretne zarzuty w momencie publikacji. Odpowiedź z UID i numerem zgłoszenia prawdopodobnie pochodziła od pracownika obsługi klienta.
ZachXBT stwierdził, że sytuacja może stanowić podstawę do pozwu zbiorowego przeciwko Apple za hosting oszukańczej aplikacji. Adresy kradzieży opublikowane przez ZachXBT obejmują wiele blockchainów, w tym Bitcoin, Ethereum, Tron, Solana i Ripple, identyfikując konkretne portfele połączone z każdą ofiarą.
Obecność fałszywej aplikacji Ledger Live w Apple App Store wzbudziła szersze pytania o to, jak złośliwe oprogramowanie przechodzi proces przeglądu Apple i jak długo może działać przed usunięciem.
W notatce udostępnionej Bitcoin.com News, CTO Ledger Charles Guillemet podkreślił, że jego firma nigdy nie poprosi o frazę seed. "Ledger nigdy nie poprosi o twoje 24 słowa. Jeśli ktokolwiek lub jakakolwiek aplikacja prosi o twoje 24 słowa, załóż, że coś jest nie tak", wyjaśnił Guillemet.
"Ledger konsekwentnie przypomina społeczności o tym. Nie możesz ufać środowisku oprogramowania wokół ciebie – ani przeglądarce, ani sklepowi z aplikacjami, ani komputerowi. Atakujący działają wszędzie tam, gdzie istnieje możliwość, a to obejmuje oficjalne platformy dystrybucji. Jedyną ochroną jest przechowywanie kluczy prywatnych na dedykowanym urządzeniu sprzętowym z bezpiecznym ekranem, takim jak podpisujący Ledger, i nigdy nie wprowadzanie frazy seed do żadnej aplikacji ani strony internetowej. Twoje 24 słowa to twój portfel", dodał CTO firmy zajmującej się portfelami sprzętowymi.
Źródło: https://news.bitcoin.com/zachxbt-says-apple-app-store-fake-ledger-app-stole-9-5m-from-50-victims-in-one-week/
