Vyšetřovatel blockchainu ZachXBT veřejně prohlásil, že více než 9,5 milionu dolarů, které byly odcizeny prostřednictvím podvodné aplikace Ledger Live v App Storu společnosti Apple, bylo vypráno přes více než 150 vkladových adres burzy Kucoin.
ZachXBT tvrdí, že falešná aplikace Ledger v App Storu společnosti Apple ukradla za jeden týden 9,5 milionu dolarů více než 50 obětem
NAPSAL
SDÍLET
Hlavní body:
- ZachXBT spojil krádež 9,5 milionu dolarů z falešné aplikace Ledger Live v App Store společnosti Apple s údajně více než 150 vkladovými adresami Kucoin.
- Hudebník G. Love přišel o téměř 6 BTC; tři největší oběti přišly mezi 7. a 13. dubnem každá o částku v řádu sedmimístných částek.
- Apple nakonec falešnou aplikaci z App Store odstranil.
Falešná aplikace Ledger Live pro iOS odčerpala 9,5 milionu dolarů, než ji Apple stáhl, zjistil ZachXBT
ZachXBT zveřejnil své zjištění v úterý 14. dubna na X a popsal, jak falešná aplikace mezi 7. a 13. dubnem okradla více než 50 uživatelů v sítích Bitcoin, EVM, Tron, Solana a Ripple. Apple aplikaci odstranil den před zveřejněním jeho příspěvku.
Tři největší oběti přišly každá o sedmimístnou částku. Jeden uživatel přišel 9. dubna o 3,23 milionu USDT. Druhá oběť přišla 11. dubna o 2,079 milionu USDC. Třetí přišla 8. dubna o kryptoměny v hodnotě 1,95 milionu dolarů, včetně 20,64 BTC, 211 stETH a 70 ETH.
Další obětí mezi podvedenými byl hudebník Garrett Dutton, známý pod uměleckým jménem G. Love, který kvůli falešné aplikaci přišel o téměř 6 BTC. ZachXBT identifikoval AudiA6 jako centralizovanou mixovací službu použitou k přesunu ukradených prostředků.
AudiA6 popsal jako službu, která si účtuje vysoké poplatky za zpracování nelegálních peněz, a tvrdil, že ukradené prostředky procházely vkladovými adresami Kucoin spojenými s touto službou. Vyšetřovatel také tvrdil, že jiný útočník vypral 3,5 milionu dolarů z incidentu Bitcoin Depot prostřednictvím více než 25 vkladových adres Kucoin v dnech před krádeží související s Ledgerem.
Na X, poté, co oficiální účet Kucoin na X zveřejnil náhodný příspěvek s hlasováním A & B, se ZachXBT rozhodl reagovat svými obviněními. „C) Chcete komunitě vysvětlit, proč Kucoin v uplynulém týdnu umožnil útočníkovi vyprat více než 9,5 milionu dolarů spojených s falešnou aplikací Ledger prostřednictvím více než 150 vkladových adres Kucoin?“ zeptal se ZachXBT. Vyšetřovatel on-chain dodal:
„Několik dní předtím jiný útočník vypral více než 3,5 milionu dolarů z incidentu s Bitcoin Depot prostřednictvím více než 25 vkladových adres Kucoinu. Umožnili jste okamžité výměny zneužívající KYC a subjekty jako AudiA6, centralizovaný mixér, aby nelegální aktéři mohli volně operovat. Kucoin si zaslouží, aby se na jeho podnikání opět zaměřili regulátoři.“
Když oficiální účet Kucoinu na X na tuto kontroverzi reagoval žádostí o UID a číslo tiketu, aby mohl záležitost prošetřit, ZachXBT odpověděl fotografií dokladu totožnosti kojence, čímž naznačil, že proces ověřování „poznej svého zákazníka“ (KYC) burzy je nedostatečný.
Kucoin na tyto konkrétní obvinění do okamžiku zveřejnění tohoto článku veřejně nereagoval. Odpověď ohledně UID a čísla tiketu pravděpodobně pocházela od pracovníka zákaznického servisu.
ZachXBT uvedl, že tato situace může poskytnout podklad pro hromadnou žalobu proti společnosti Apple za hostování podvodné aplikace. Adresy, na které došlo ke krádeži, zveřejněné ZachXBT, pokrývají více blockchainů, včetně Bitcoin, Ethereum, Tron, Solana a Ripple, a identifikují konkrétní peněženky spojené s každou obětí.
Přítomnost falešné aplikace Ledger Live v App Store společnosti Apple vyvolala širší otázky ohledně toho, jak škodlivý software prochází procesem kontroly společnosti Apple a jak dlouho může fungovat, než je odstraněn.
Filadelfský hudebník G. Love přišel v App Storu společnosti Apple o téměř 6 BTC kvůli falešné aplikaci peněženky Ledger
Hudebník G. Love přišel o 5,92 BTC kvůli falešné aplikaci Ledger v obchodě Apple App Store. ZachXBT vysledoval, že prostředky skončily na burze Kucoin. read more.
Přečíst
Filadelfský hudebník G. Love přišel v App Storu společnosti Apple o téměř 6 BTC kvůli falešné aplikaci peněženky Ledger
Hudebník G. Love přišel o 5,92 BTC kvůli falešné aplikaci Ledger v obchodě Apple App Store. ZachXBT vysledoval, že prostředky skončily na burze Kucoin. read more.
PřečístFiladelfský hudebník G. Love přišel v App Storu společnosti Apple o téměř 6 BTC kvůli falešné aplikaci peněženky Ledger
PřečístHudebník G. Love přišel o 5,92 BTC kvůli falešné aplikaci Ledger v obchodě Apple App Store. ZachXBT vysledoval, že prostředky skončily na burze Kucoin. read more.
V poznámce sdílené s Bitcoin.com News zdůraznil technický ředitel společnosti Ledger Charles Guillemet, že jeho firma nikdy nebude žádat o seed frázi. „Ledger vás nikdy nebude žádat o vašich 24 slov. Pokud vás někdo nebo nějaká aplikace žádá o vašich 24 slov, předpokládejte, že něco není v pořádku,“ vysvětlil Guillemet.
„Ledger na to komunitu neustále upozorňuje. Nemůžete důvěřovat softwarovému prostředí kolem vás – ani svému prohlížeči, ani obchodu s aplikacemi, ani svému počítači. Útočníci útočí všude, kde se naskytne příležitost, a to včetně oficiálních distribučních platforem. Jedinou spolehlivou ochranou je uchovávání soukromých klíčů na specializovaném hardwarovém zařízení s bezpečnou obrazovkou, jako je například Ledger Signer, a nikdy nezadávat svou seed frázi do žádné aplikace ani na žádný web. Vašich 24 slov je vaše peněženka,“ dodal technický ředitel společnosti vyrábějící hardwarové peněženky.
