يقول ZachXBT إن تطبيق «Ledger» المزيف على متجر تطبيقات آبل سرق 9.5 مليون دولار من أكثر من 50 ضحية في أسبوع واحد

النقاط الرئيسية:

• ربط زاك إكس بي تي (ZachXBT) سرقة مبلغ 9.5 مليون دولار من تطبيق Ledger Live المزيف على متجر تطبيقات آبل بأكثر من 150 عنوان إيداع في منصة كوكوين (Kucoin).
• خسر الموسيقي G. Love ما يقرب من 6 بيتكوين؛ وخسر أكبر 3 ضحايا مبلغًا من 7 أرقام لكل منهم بين 7 و13 أبريل.
• قامت Apple في النهاية بإزالة التطبيق المزيف من متجر التطبيقات.

تطبيق Ledger Live المزيف لنظام iOS استنزف 9.5 مليون دولار قبل أن تقوم Apple بسحبه، وفقًا لما اكتشفه ZachXBT

نشر ZachXBT نتائجه يوم الثلاثاء 14 أبريل على X، موضحًا كيف تسبب التطبيق المزيف في خسارة أكثر من 50 مستخدمًا بين 7 و13 أبريل عبر شبكات Bitcoin وEVM وTron وSolana وRipple. قامت Apple بإزالة التطبيق في اليوم السابق لنشره.

خسر كل من أكبر ثلاثة ضحايا مبلغًا من سبعة أرقام. فقد أحد المستخدمين 3.23 مليون دولار من USDT في 9 أبريل. وخسر ضحية ثانية 2.079 مليون دولار من USDC في 11 أبريل. وخسر ثالث 1.95 مليون دولار من العملات المشفرة في 8 أبريل، بما في ذلك 20.64 BTC و211 stETH و70 ETH.

ومن بين الضحايا الآخرين للمحتالين الموسيقي غاريت دوتون، المعروف باسمه الفني G. Love، الذي خسر ما يقرب من 6 بيتكوين بسبب التطبيق المزيف. حدد زاك إكس بي تي خدمة AudiA6 باعتبارها خدمة الخلط المركزية المستخدمة لنقل الأموال المسروقة.

ووصف AudiA6 بأنها خدمة تفرض رسومًا عالية لمعالجة الأموال غير المشروعة، وزعم أن الأموال المسروقة تم تحويلها عبر عناوين إيداع Kucoin المرتبطة بتلك الخدمة. كما ادعى المحقق أن جهة تهديد منفصلة قامت بغسل 3.5 مليون دولار من حادثة Bitcoin Depot عبر أكثر من 25 عنوان إيداع Kucoin في الأيام التي سبقت السرقة المتعلقة بـ Ledger.

على X، بعد أن نشر حساب Kucoin الرسمي على X منشورًا عشوائيًا للتصويت بين الخيارين A و B، قرر ZachXBT الرد باتهاماته. سأل ZachXBT: "C) هل تريد أن تشرح للمجتمع لماذا سمحت Kucoin لمرتكب تهديد بغسل أكثر من 9.5 مليون دولار مرتبطة بتطبيق Ledger مزيف عبر أكثر من 150 عنوان إيداع Kucoin خلال الأسبوع الماضي؟" وأضاف المحقق في سلسلة الكتل:

"قبل ذلك ببضعة أيام، قام شخص آخر بغسل أكثر من 3.5 مليون دولار من حادثة Bitcoin Depot عبر أكثر من 25 عنوان إيداع تابع لـ Kucoin. لقد سمحتم بالتبادل الفوري مستغلين KYC وكيانات مثل AudiA6، وهو خلاط مركزي يتيح للجهات غير المشروعة العمل بحرية. تستحق Kucoin أن تتدخل الجهات التنظيمية في أعمالها مرة أخرى."

عندما رد حساب X الرسمي لـ Kucoin على الجدل بطلب رقم UID ورقم التذكرة للتحقيق في الأمر، رد ZachXBT بصورة لوثيقة هوية طفل رضيع، ملمحًا إلى أن عملية التحقق "اعرف عميلك" (KYC) الخاصة بالبورصة غير كافية.

لم ترد Kucoin علنًا على هذه الادعاءات المحددة حتى وقت النشر. ومن المرجح أن يكون الرد المتعلق برقم التعريف الفريد (UID) ورقم التذكرة قد صدر عن أحد موظفي خدمة العملاء.

قال ZachXBT إن الوضع قد يوفر أساسًا لرفع دعوى جماعية ضد Apple لاستضافتها التطبيق الاحتيالي. تمتد عناوين السرقة التي نشرها ZachXBT عبر عدة سلاسل بلوكشين، بما في ذلك Bitcoin وEthereum وTron وSolana وRipple، حيث تحدد محافظ محددة مرتبطة بكل ضحية.

أثار وجود تطبيق Ledger Live المزيف على متجر تطبيقات Apple تساؤلات أوسع حول كيفية تجاوز البرامج الضارة لعملية المراجعة التي تقوم بها Apple ومدة عملها قبل إزالتها.

في مذكرة تمت مشاركتها مع Bitcoin.com News، شدد تشارلز غيلميت، كبير مسؤولي التكنولوجيا في Ledger، على أن شركته لن تطلب أبدًا عبارة البذرة. أوضح غيلميت: "لن تطلب Ledger أبدًا كلماتك الـ 24. إذا طلب أي شخص أو أي تطبيق كلماتك الـ 24، فافترض أن هناك خطأ ما".
"تذكر Ledger المجتمع باستمرار بهذا الأمر. لا يمكنك الوثوق ببيئة البرامج من حولك – لا متصفحك، ولا متجر التطبيقات الخاص بك، ولا سطح مكتبك. يعمل المهاجمون أينما توجد الفرصة، وهذا يشمل منصات التوزيع الرسمية. الحماية الوحيدة الفعالة هي الاحتفاظ بمفاتيحك الخاصة على جهاز مخصص بشاشة آمنة، مثل جهاز التوقيع من Ledger، وعدم إدخال عبارة البذرة الخاصة بك في أي تطبيق أو موقع ويب. كلماتك الـ 24 هي محفظتك"، أضاف المدير التقني لشركة المحافظ المادية.