Onchain-efterforskeren ZachXBT har offentligt hævdet, at mere end 9,5 millioner dollars, der blev stjålet via en falsk Ledger Live-app i Apples App Store, blev hvidvasket gennem over 150 Kucoin-indbetalingsadresser.
ZachXBT hævder, at en falsk Ledger-app i App Store stjal 9,5 millioner dollar fra over 50 ofre på én uge
SKREVET AF
DEL
Hovedpunkter:
- ZachXBT knyttede tyveriet på 9,5 millioner dollars fra en falsk Ledger Live-app i Apples App Store til angiveligt mere end 150 Kucoin-indbetalingsadresser.
- Musikeren G. Love mistede næsten 6 BTC; de tre største ofre mistede hver især beløb i millionklassen mellem 7. og 13. april.
- Apple fjernede til sidst den falske applikation fra App Store.
Falsk Ledger Live iOS-app drænede 9,5 mio. dollar, før Apple fjernede den, finder ZachXBT
ZachXBT offentliggjorde sine fund tirsdag den 14. april på X, hvor han redegjorde for, hvordan den falske app ramte mere end 50 brugere mellem den 7. og 13. april på tværs af Bitcoin-, EVM-, Tron-, Solana- og Ripple-netværkene. Apple fjernede appen dagen før hans indlæg.
De tre største ofre mistede hver især syvcifrede beløb. En bruger mistede 3,23 millioner dollar i USDT den 9. april. Et andet offer mistede 2,079 millioner dollar i USDC den 11. april. Et tredje mistede kryptovaluta til en værdi af 1,95 millioner dollar den 8. april, herunder 20,64 BTC, 211 stETH og 70 ETH.
Et andet offer blandt de svindlede var musikeren Garrett Dutton, professionelt kendt som G. Love, der mistede næsten 6 BTC til den falske app. ZachXBT identificerede AudiA6 som den centraliserede mixing-tjeneste, der blev brugt til at flytte de stjålne midler.
Han beskrev AudiA6 som en tjeneste, der opkræver høje gebyrer for at behandle ulovlige penge, og hævdede, at de stjålne midler blev flyttet gennem Kucoin-indbetalingsadresser forbundet med den pågældende tjeneste. Efterforskeren hævdede også, at en anden trusselsaktør hvidvaskede 3,5 millioner dollars fra Bitcoin Depot-hændelsen gennem mere end 25 Kucoin-indbetalingsadresser i dagene før det Ledger-relaterede tyveri.
På X, efter at Kucoins officielle X-konto havde offentliggjort et tilfældigt A & B-afstemningsindlæg, besluttede ZachXBT at svare med sine beskyldninger. "C) Vil du forklare fællesskabet, hvorfor Kucoin tillod en trusselsaktør at hvidvaske over 9,5 millioner dollars knyttet til en falsk Ledger-app via over 150 Kucoin-indbetalingsadresser i løbet af den sidste uge?" spurgte ZachXBT. Onchain-efterforskeren tilføjede:
"Et par dage før hvidvaskede en anden trusselsaktør over 3,5 mio. dollar fra Bitcoin Depot-hændelsen via over 25 Kucoin-indbetalingsadresser. I har muliggjort øjeblikkelige udvekslinger, der misbruger KYC, og enheder som AudiA6, en centraliseret mixer, hvor ulovlige aktører kan operere frit. Kucoin fortjener, at tilsynsmyndighederne igen går efter deres forretning."
Da Kucoins officielle X-konto reagerede på kontroversen ved at bede om et UID og et ticketnummer for at undersøge sagen, svarede ZachXBT med et foto af et spædbarns ID-dokument, hvilket antydede, at børsens know-your-customer (KYC)-verifikationsproces er utilstrækkelig.
Kucoin havde ikke offentligt reageret på disse specifikke beskyldninger på tidspunktet for offentliggørelsen. Svaret med UID og billetnummer kom sandsynligvis fra en kundeservicemedarbejder.
ZachXBT sagde, at situationen kan give grundlag for en gruppesøgsmål mod Apple for at huse den falske app. Tyveriadresser offentliggjort af ZachXBT spænder over flere blockchains, herunder Bitcoin, Ethereum, Tron, Solana og Ripple, og identificerer specifikke tegnebøger forbundet med hvert offer.
Den falske Ledger Live-apps tilstedeværelse i Apples App Store rejste bredere spørgsmål om, hvordan ondsindet software slipper igennem Apples godkendelsesproces, og hvor længe den kan fungere, før den fjernes.
Musikeren G. Love fra Philadelphia mister næsten 6 BTC til en falsk Ledger-wallet-app i Apples App Store
Musikeren G. Love mistede 5,92 BTC til en falsk Ledger-app i Apple App Store. ZachXBT sporede pengene til Kucoin. read more.
Læs nu
Musikeren G. Love fra Philadelphia mister næsten 6 BTC til en falsk Ledger-wallet-app i Apples App Store
Musikeren G. Love mistede 5,92 BTC til en falsk Ledger-app i Apple App Store. ZachXBT sporede pengene til Kucoin. read more.
Læs nuMusikeren G. Love fra Philadelphia mister næsten 6 BTC til en falsk Ledger-wallet-app i Apples App Store
Læs nuMusikeren G. Love mistede 5,92 BTC til en falsk Ledger-app i Apple App Store. ZachXBT sporede pengene til Kucoin. read more.
I en note, der blev delt med Bitcoin.com News, understregede Ledgers CTO, Charles Guillemet, at hans firma aldrig vil bede om en seed-sætning. “Ledger vil aldrig bede om dine 24 ord. Hvis nogen, eller en app, beder om dine 24 ord, skal du antage, at der er noget galt,” forklarede Guillemet.
“Ledger minder konsekvent fællesskabet om dette. Du kan ikke stole på det software-miljø, der omgiver dig – hverken din browser, din app-butik eller din desktop. Angribere opererer overalt, hvor muligheden byder sig, og det inkluderer officielle distributionsplatforme. Den eneste beskyttelse, der holder, er at opbevare dine private nøgler på en dedikeret hardwareenhed med en sikker skærm, som f.eks. en Ledger-signer, og aldrig indtaste din seed-frase i nogen app eller på nogen hjemmeside. Dine 24 ord er din tegnebog," tilføjede hardware-tegnebogsvirksomhedens CTO.
