El investigador de cadenas de bloques ZachXBT denunció públicamente que más de 9,5 millones de dólares sustraídos a través de una aplicación fraudulenta de Ledger Live en la App Store de Apple fueron blanqueados a través de más de 150 direcciones de depósito de Kucoin. Puntos clave:
ZachXBT afirma que una aplicación falsa de Ledger en la App Store de Apple robó 9,5 millones de dólares a más de 50 víctimas en una semana
ESCRITO POR
COMPARTIR
- ZachXBT relacionó el robo de 9,5 millones de dólares a través de una aplicación falsa de Ledger Live en la App Store de Apple con más de 150 direcciones de depósito de Kucoin.
- El músico G. Love perdió casi 6 BTC; las tres víctimas más afectadas perdieron cada una cantidades de siete cifras entre el 7 y el 13 de abril.
- Apple acabó retirando la aplicación falsa de la App Store.
Una aplicación falsa de Ledger Live para iOS se llevó 9,5 millones de dólares antes de que Apple la retirara, según ZachXBT
ZachXBT publicó sus hallazgos el martes 14 de abril en X, detallando cómo la aplicación falsa estafó a más de 50 usuarios entre el 7 y el 13 de abril en las redes de Bitcoin, EVM, Tron, Solana y Ripple. Apple retiró la aplicación el día anterior a su publicación.
Las tres víctimas más afectadas perdieron cada una cantidades de siete cifras. Un usuario perdió 3,23 millones de dólares en USDT el 9 de abril. Una segunda víctima perdió 2,079 millones de dólares en USDC el 11 de abril. Una tercera perdió 1,95 millones de dólares en criptomonedas el 8 de abril, incluyendo 20,64 BTC, 211 stETH y 70 ETH.
Otra de las víctimas estafadas fue el músico Garrett Dutton, conocido profesionalmente como G. Love, quien perdió casi 6 BTC a causa de la aplicación falsa. ZachXBT identificó a AudiA6 como el servicio de mezcla centralizado utilizado para mover los fondos robados.
Describió AudiA6 como un servicio que cobra altas comisiones por procesar dinero ilícito, y alegó que los fondos robados se movieron a través de direcciones de depósito de Kucoin conectadas a ese servicio. El investigador también afirmó que otro actor malicioso blanqueó 3,5 millones de dólares del incidente de Bitcoin Depot a través de más de 25 direcciones de depósito de Kucoin en los días previos al robo relacionado con Ledger.
En X, después de que la cuenta oficial de Kucoin en X publicara una encuesta aleatoria de tipo A y B, ZachXBT decidió responder con sus acusaciones. «C) ¿Quieres explicar a la comunidad por qué Kucoin permitió que un actor malicioso blanquease más de 9,5 millones de dólares vinculados a una aplicación falsa de Ledger a través de más de 150 direcciones de depósito de Kucoin durante la semana pasada?», preguntó ZachXBT. El investigador on-chain añadió:
«Unos días antes, otro actor malicioso blanqueó más de 3,5 millones de dólares del incidente de Bitcoin Depot a través de más de 25 direcciones de depósito de Kucoin. Habéis permitido intercambios instantáneos que abusan del KYC y de entidades como AudiA6, un mezclador centralizado para que los actores ilícitos operen libremente. Kucoin se merece que los reguladores vuelvan a investigar su negocio».
Cuando la cuenta oficial de X de Kucoin respondió a la polémica solicitando un UID y un número de ticket para investigar el asunto, ZachXBT respondió con una foto del documento de identidad de un bebé, dando a entender que el proceso de verificación «conozca a su cliente» (KYC) de la plataforma es inadecuado.
Kucoin no había respondido públicamente a esas acusaciones específicas en el momento de la publicación. Es probable que la respuesta sobre el UID y el número de ticket procediera de un agente del servicio de atención al cliente. ZachXBT afirmó que la situación podría dar lugar a una demanda colectiva contra Apple por alojar la aplicación fraudulenta. Las direcciones de robo publicadas por ZachXBT abarcan múltiples blockchains, incluyendo Bitcoin, Ethereum, Tron, Solana y Ripple, identificando carteras específicas conectadas a cada víctima.
La presencia de la aplicación falsa Ledger Live en la App Store de Apple planteó preguntas más amplias sobre cómo el software malicioso supera el proceso de revisión de Apple y cuánto tiempo puede operar antes de ser eliminado.
El músico de Filadelfia G. Love pierde casi 6 BTC a causa de una aplicación falsa de Ledger Wallet en la App Store de Apple
El músico G. Love perdió 5,92 BTC a causa de una aplicación falsa de Ledger en la App Store de Apple. ZachXBT rastreó los fondos hasta Kucoin. read more.
Leer ahora
El músico de Filadelfia G. Love pierde casi 6 BTC a causa de una aplicación falsa de Ledger Wallet en la App Store de Apple
El músico G. Love perdió 5,92 BTC a causa de una aplicación falsa de Ledger en la App Store de Apple. ZachXBT rastreó los fondos hasta Kucoin. read more.
Leer ahoraEl músico de Filadelfia G. Love pierde casi 6 BTC a causa de una aplicación falsa de Ledger Wallet en la App Store de Apple
Leer ahoraEl músico G. Love perdió 5,92 BTC a causa de una aplicación falsa de Ledger en la App Store de Apple. ZachXBT rastreó los fondos hasta Kucoin. read more.
En una nota compartida con Bitcoin.com News, el director técnico de Ledger, Charles Guillemet, subrayó que su empresa nunca pedirá una frase de recuperación. «Ledger nunca te pedirá tus 24 palabras. Si alguien, o cualquier aplicación, te pide tus 24 palabras, asume que algo va mal», explicó Guillemet. «Ledger recuerda constantemente esto a la comunidad. No puedes confiar en el entorno de software que te rodea: ni en tu navegador, ni en tu tienda de aplicaciones, ni en tu ordenador. Los atacantes actúan dondequiera que haya una oportunidad, y eso incluye las plataformas de distribución oficiales. La única protección eficaz es guardar tus claves privadas en un dispositivo de hardware dedicado con una pantalla segura, como un Ledger Signer, y no introducir nunca tu frase de semillas en ninguna aplicación o sitio web. Tus 24 palabras son tu monedero», añadió el director técnico de la empresa de monederos de hardware.
