ZachXBT väidab, et Apple’i App Store’is leiduv võltsitud Ledgeri rakendus varastas ühe nädala jooksul üle 50 ohvrilt 9,5 miljonit dollarit

Peamised järeldused:

• ZachXBT seostas 9,5 miljoni dollari suuruse varguse võltsitud Ledger Live'i rakendusest Apple'i App Store'is väidetavalt üle 150 Kucoini sissemakse aadressiga.
• Muusik G. Love kaotas ligi 6 BTC; kolm suurimat ohvrit kaotasid 7.–13. aprillil igaüks seitsmekohalise summa.
• Apple eemaldas lõpuks võltsrakenduse App Store'ist.

Võltsitud Ledger Live iOS-rakendus viis enne Apple'i poolt eemaldamist minema 9,5 miljonit dollarit, selgitas ZachXBT

ZachXBT avaldas oma järeldused teisipäeval, 14. aprillil, X-is, kirjeldades, kuidas võltsrakendus kahjustas 7.–13. aprillil üle 50 kasutaja Bitcoin-, EVM-, Tron-, Solana- ja Ripple-võrkudes. Apple eemaldas rakenduse päev enne tema postitust.

Kolm suurimat ohvrit kaotasid igaüks seitsmekohalise summa. Üks kasutaja kaotas 9. aprillil 3,23 miljonit dollarit USDT-s. Teine ohver kaotas 11. aprillil 2,079 miljonit dollarit USDC-s. Kolmas kaotas 8. aprillil 1,95 miljonit dollarit väärtuses krüptovaluutat, sealhulgas 20,64 BTC, 211 stETH ja 70 ETH.

Teine petetud ohver oli muusik Garrett Dutton, keda tuntakse professionaalselt nimega G. Love, kes kaotas võltsrakendusele ligi 6 BTC. ZachXBT tuvastas AudiA6 kui tsentraliseeritud segamisteenuse, mida kasutati varastatud raha liikumiseks.

Ta kirjeldas AudiA6-d teenusena, mis võtab ebaseadusliku raha töötlemise eest kõrgeid tasusid, ning väitis, et varastatud raha liikus läbi selle teenusega seotud Kucoini sissemakse aadresside. Uurija väitis ka, et eraldi kurjategija pesis Bitcoin Depoti juhtumist pärit 3,5 miljonit dollarit läbi enam kui 25 Kucoini sissemakse aadressi päevadel enne Ledgeriga seotud vargust.

X-is, pärast seda, kui Kucoini ametlik X-konto postitas juhusliku A & B hääletuspostituse, otsustas ZachXBT vastata oma süüdistustega. „C) Kas soovite kogukonnale selgitada, miks Kucoin lubas kurjategijal viimase nädala jooksul pesta üle 9,5 miljoni dollari, mis oli seotud võltsitud Ledgeri rakendusega, läbi üle 150 Kucoini sissemakse aadressi?“ küsis ZachXBT. Onchain-uurija lisas:

„Mõni päev enne seda pesis teine kurjategija üle 3,5 miljoni dollari Bitcoin Depoti juhtumist läbi üle 25 Kucoini sissemakse aadressi. Olete võimaldanud kiirvahetusi, kuritarvitades KYC-d ja selliseid üksusi nagu AudiA6, mis on tsentraliseeritud segaja, et ebaseaduslikud tegutsejad saaksid vabalt tegutseda. Kucoin väärib seda, et reguleerivad asutused võtaksid tema äri taas luubi alla.”

Kui Kucoini ametlik X-konto reageeris poleemikale, paludes asja uurimiseks UID-i ja piletinumbrit, vastas ZachXBT lapse isikutunnistuse fotoga, vihjates, et vahetusplatvormi kliendi tundmise (KYC) kontrolliprotsess on ebapiisav.

Kucoin ei olnud avaldamise ajaks nendele konkreetsetele süüdistustele avalikult vastanud. UID-i ja piletinumbri küsimus tuli tõenäoliselt klienditeenindajalt.

ZachXBT ütles, et olukord võib anda alust kollektiivse hagi esitamiseks Apple'i vastu petturliku rakenduse hostimise eest. ZachXBT poolt avaldatud varguse aadressid hõlmavad mitut plokiahelat, sealhulgas Bitcoin, Ethereum, Tron, Solana ja Ripple, tuvastades iga ohvriga seotud konkreetsed rahakotid.

Võltsitud Ledger Live rakenduse olemasolu Apple'i App Store'is tõstatas laiemad küsimused selle kohta, kuidas pahavara läbib Apple'i kontrolliprotsessi ja kui kaua see saab enne eemaldamist tegutseda.

Bitcoin.com Newsiga jagatud märkuses rõhutas Ledgeri tehnoloogiajuht Charles Guillemet, et tema ettevõte ei küsi kunagi algfraasi. „Ledger ei küsi kunagi teie 24 sõna. Kui keegi või mõni rakendus küsib teie 24 sõna, eeldage, et midagi on valesti,“ selgitas Guillemet.

„Ledger tuletab seda kogukonnale pidevalt meelde. Te ei saa usaldada enda ümber olevat tarkvarakeskkonda – ei oma brauserit, ei rakenduste poodi ega oma töölauad. Ründajad tegutsevad kõikjal, kus on võimalus, ja see hõlmab ka ametlikke levitusplatvorme. Ainus kaitse, mis toimib, on hoida oma privaatvõtmeid spetsiaalsel riistvaraseadmel turvalise ekraaniga, nagu Ledger Signer, ja mitte kunagi sisestada oma algfraasi ühtegi rakendusse ega veebisaidile. Teie 24 sõna on teie rahakott,“ lisas riistvarakoti ettevõtte tehnoloogiajuht.