Der On-Chain-Ermittler ZachXBT behauptete öffentlich, dass mehr als 9,5 Millionen US-Dollar, die über eine betrügerische Ledger Live-App im Apple App Store gestohlen wurden, über mehr als 150 Einzahlungsadressen von Kucoin gewaschen wurden. Die wichtigsten Erkenntnisse:
ZachXBT berichtet, dass eine gefälschte Ledger-App im Apple App Store innerhalb einer Woche 9,5 Millionen Dollar von über 50 Opfern erbeutet hat
GESCHRIEBEN VON
TEILEN
- ZachXBT brachte einen Diebstahl in Höhe von 9,5 Millionen US-Dollar aus einer gefälschten Ledger Live-App im Apple App Store mit angeblich über 150 Kucoin-Einzahlungsadressen in Verbindung.
- Der Musiker G. Love verlor fast 6 BTC; die drei größten Opfer verloren zwischen dem 7. und 13. April jeweils siebenstellige Beträge.
- Apple hat die gefälschte App schließlich aus dem App Store entfernt.
Die gefälschte Ledger Live iOS-App raubte 9,5 Mio. $ ab, bevor Apple sie entfernte, wie ZachXBT feststellte
ZachXBT veröffentlichte seine Erkenntnisse am Dienstag, dem 14. April, auf X und legte dar, wie die gefälschte App zwischen dem 7. und 13. April mehr als 50 Nutzer in den Netzwerken von Bitcoin, EVM, Tron, Solana und Ripple geschädigt hat. Apple entfernte die App am Tag vor seiner Veröffentlichung.
Die drei größten Opfer verloren jeweils siebenstellige Summen. Ein Nutzer verlor am 9. April 3,23 Millionen USDT. Ein zweites Opfer verlor am 11. April 2,079 Millionen USDC. Ein drittes verlor am 8. April Kryptowährungen im Wert von 1,95 Millionen Dollar, darunter 20,64 BTC, 211 stETH und 70 ETH.
Ein weiteres Opfer unter den Betrogenen war der Musiker Garrett Dutton, bekannt unter seinem Künstlernamen G. Love, der fast 6 BTC an die gefälschte App verlor. ZachXBT identifizierte AudiA6 als den zentralisierten Mixing-Dienst, der zur Weiterleitung der gestohlenen Gelder genutzt wurde.
Er beschrieb AudiA6 als einen Dienst, der hohe Gebühren für die Verarbeitung illegaler Gelder verlangt, und behauptete, dass gestohlene Gelder über Kucoin-Einzahlungsadressen flossen, die mit diesem Dienst verbunden waren. Der Ermittler behauptete außerdem, dass ein anderer Angreifer in den Tagen vor dem Ledger-Diebstahl 3,5 Millionen US-Dollar aus dem Bitcoin-Depot-Vorfall über mehr als 25 Kucoin-Einzahlungsadressen gewaschen habe.
Auf X beschloss ZachXBT, mit seinen Anschuldigungen zu antworten, nachdem der offizielle X-Account von Kucoin einen zufälligen A-&-B-Abstimmungsbeitrag gepostet hatte. „C) Möchten Sie der Community erklären, warum Kucoin es einem Angreifer erlaubt hat, in der vergangenen Woche über 150 Kucoin-Einzahlungsadressen mehr als 9,5 Millionen Dollar im Zusammenhang mit einer gefälschten Ledger-App zu waschen?“, fragte ZachXBT. Der On-Chain-Ermittler fügte hinzu:
„Ein paar Tage zuvor hat ein anderer Angreifer über 3,5 Millionen Dollar aus dem Bitcoin-Depot-Vorfall über mehr als 25 Kucoin-Einzahlungsadressen gewaschen. Ihr habt Sofort-Börsen ermöglicht, die KYC missbrauchen, sowie Entitäten wie AudiA6, einen zentralisierten Mixer, über den illegale Akteure frei agieren können. Kucoin verdient es, dass die Aufsichtsbehörden erneut gegen das Unternehmen vorgehen.“
Als der offizielle X-Account von Kucoin auf die Kontroverse reagierte und um eine UID und eine Ticketnummer bat, um die Angelegenheit zu untersuchen, antwortete ZachXBT mit einem Foto des Ausweisdokuments eines Kleinkindes und deutete damit an, dass der Know-Your-Customer-Verifizierungsprozess (KYC) der Börse unzureichend sei.
Zum Zeitpunkt der Veröffentlichung hatte Kucoin noch nicht öffentlich auf diese konkreten Vorwürfe reagiert. Die Antwort bezüglich der UID und der Ticketnummer stammte wahrscheinlich von einem Kundendienstmitarbeiter. ZachXBT sagte, die Situation könnte Anlass für eine Sammelklage gegen Apple wegen des Hostings der betrügerischen App geben. Die von ZachXBT veröffentlichten Adressen der Diebstähle erstrecken sich über mehrere Blockchains, darunter Bitcoin, Ethereum, Tron, Solana und Ripple, und identifizieren spezifische Wallets, die mit jedem Opfer verbunden sind.
Die Präsenz der gefälschten Ledger Live-App im App Store von Apple warf weitergehende Fragen darüber auf, wie bösartige Software Apples Überprüfungsprozess passiert und wie lange sie vor ihrer Entfernung aktiv sein kann.
Der Musiker G. Love aus Philadelphia verliert fast 6 BTC durch eine gefälschte Ledger-Wallet-App im Apple App Store
Der Musiker G. Love verlor 5,92 BTC durch eine gefälschte Ledger-App im Apple App Store. ZachXBT konnte die Gelder bis zu Kucoin zurückverfolgen. read more.
Jetzt lesen
Der Musiker G. Love aus Philadelphia verliert fast 6 BTC durch eine gefälschte Ledger-Wallet-App im Apple App Store
Der Musiker G. Love verlor 5,92 BTC durch eine gefälschte Ledger-App im Apple App Store. ZachXBT konnte die Gelder bis zu Kucoin zurückverfolgen. read more.
Jetzt lesenDer Musiker G. Love aus Philadelphia verliert fast 6 BTC durch eine gefälschte Ledger-Wallet-App im Apple App Store
Jetzt lesenDer Musiker G. Love verlor 5,92 BTC durch eine gefälschte Ledger-App im Apple App Store. ZachXBT konnte die Gelder bis zu Kucoin zurückverfolgen. read more.
In einer Mitteilung an Bitcoin.com News betonte Charles Guillemet, CTO von Ledger, dass sein Unternehmen niemals nach einer Seed-Phrase fragen werde. „Ledger wird niemals nach Ihren 24 Wörtern fragen. Wenn jemand oder eine App nach Ihren 24 Wörtern fragt, gehen Sie davon aus, dass etwas nicht stimmt“, erklärte Guillemet. „Ledger erinnert die Community immer wieder daran. Sie können der Softwareumgebung um Sie herum nicht vertrauen – weder Ihrem Browser, noch Ihrem App-Store, noch Ihrem Desktop. Angreifer schlagen überall zu, wo sich eine Gelegenheit bietet, und dazu gehören auch offizielle Vertriebsplattformen. Der einzige wirksame Schutz besteht darin, Ihre privaten Schlüssel auf einem speziellen Hardwaregerät mit sicherem Bildschirm, wie einem Ledger Signer, aufzubewahren und Ihre Seed-Phrase niemals in eine App oder auf einer Website einzugeben. Ihre 24 Wörter sind Ihre Wallet“, fügte der CTO des Hardware-Wallet-Herstellers hinzu.
