زکایکسبیتی، محقق آنچین، بهصورت عمومی ادعا کرد که بیش از ۹.۵ میلیون دلار که از طریق یک اپ جعلی Ledger Live در اپاستور اپل سرقت شده بود، از طریق بیش از ۱۵۰ آدرس واریز کوکوین پولشویی شده است.
زکایکسبیتی میگوید اپلیکیشن جعلی لجر در اپ استور اپل در یک هفته ۹.۵ میلیون دلار از بیش از ۵۰ قربانی سرقت کرد
نویسنده
اشتراک
نکات کلیدی:
- زکایکسبیتی سرقت ۹.۵ میلیون دلاری از یک اپ جعلی Ledger Live در اپاستور اپل را به ادعای او به بیش از ۱۵۰ آدرس واریز کوکوین مرتبط کرد.
- موسیقیدان G. Love نزدیک به ۶ BTC از دست داد؛ ۳ قربانی بزرگ هر کدام بین ۷ تا ۱۳ آوریل ارقام هفترقمی از دست دادند.
- اپل در نهایت برنامه قلابی را از اپاستور حذف کرد.
اپ جعلی Ledger Live در iOS پیش از اینکه اپل آن را حذف کند ۹.۵ میلیون دلار تخلیه کرد؛ یافتههای ZachXBT
زکایکسبیتی یافتههای خود را منتشر کرد و روز سهشنبه، ۱۴ آوریل، در X توضیح داد که این اپ جعلی چگونه بین ۷ تا ۱۳ آوریل بیش از ۵۰ کاربر را در شبکههای بیتکوین، EVM، ترون، سولانا و ریپل قربانی کرده است. اپل یک روز پیش از انتشار پست او، اپ را حذف کرد.
سه قربانی بزرگ هر کدام مبلغی هفترقمی از دست دادند. یک کاربر در ۹ آوریل ۳.۲۳ میلیون دلار USDT از دست داد. قربانی دوم در ۱۱ آوریل ۲.۰۷۹ میلیون دلار USDC از دست داد. سومی در ۸ آوریل معادل ۱.۹۵ میلیون دلار رمزارز از دست داد که شامل ۲۰.۶۴ BTC، مقدار ۲۱۱ stETH و ۷۰ ETH بود.
یکی دیگر از قربانیان این کلاهبرداری، موسیقیدان گرت داتن بود که با نام هنری G. Love شناخته میشود و نزدیک به ۶ BTC را به این اپ جعلی باخت. زکایکسبیتی AudiA6 را بهعنوان سرویس میکسینگ متمرکز مورد استفاده برای جابهجایی وجوه سرقتشده شناسایی کرد.
او AudiA6 را سرویسی توصیف کرد که برای پردازش پول غیرقانونی کارمزدهای بالایی میگیرد و ادعا کرد وجوه سرقتشده از طریق آدرسهای واریز کوکوین مرتبط با آن سرویس جابهجا شدهاند. این محقق همچنین مدعی شد که یک عامل تهدید جداگانه، در روزهای پیش از سرقت مرتبط با لجر، مبلغ ۳.۵ میلیون دلار از حادثه Bitcoin Depot را از طریق بیش از ۲۵ آدرس واریز کوکوین پولشویی کرده است.
در X، پس از آنکه حساب رسمی کوکوین در X یک پست رأیگیری تصادفی A & B منتشر کرد، زکایکسبیتی تصمیم گرفت با اتهاماتش پاسخ دهد. او پرسید: «C) میخواهید برای جامعه توضیح بدهید چرا کوکوین اجازه داد یک عامل تهدید طی هفته گذشته بیش از ۹.۵ میلیون دلار مرتبط با یک اپ جعلی لجر را از طریق بیش از ۱۵۰ آدرس واریز کوکوین پولشویی کند؟» محقق آنچین افزود:
«چند روز پیش از آن هم یک عامل تهدید دیگر بیش از ۳.۵ میلیون دلار از حادثه Bitcoin Depot را از طریق بیش از ۲۵ آدرس واریز کوکوین پولشویی کرد. شما امکان تبدیلهای فوری را فراهم کردهاید که از KYC سوءاستفاده میکنند و به نهادهایی مثل AudiA6، یک میکسر متمرکز برای بازیگران غیرقانونی، اجازه میدهند آزادانه فعالیت کنند. کوکوین سزاوار این است که رگولاتورها دوباره سراغ کسبوکارش بیایند.»
وقتی حساب رسمی کوکوین در X در واکنش به این جنجال با درخواست UID و شماره تیکت برای بررسی موضوع پاسخ داد، زکایکسبیتی پاسخ داد و تصویری از مدرک شناسایی یک نوزاد منتشر کرد؛ با این اشاره که فرایند احراز هویت مشتری (KYC) این صرافی ناکافی است.
کوکوین تا زمان انتشار، بهصورت عمومی به آن ادعاهای مشخص پاسخ نداده بود. پاسخِ درخواست UID و شماره تیکت احتمالاً از سوی یک کارشناس خدمات مشتریان بوده است.
زکایکسبیتی گفت این وضعیت ممکن است مبنایی برای طرح دعوای دستهجمعی علیه اپل بهدلیل میزبانی از اپ کلاهبرداری فراهم کند. آدرسهای سرقت که زکایکسبیتی منتشر کرده، چندین بلاکچین از جمله بیتکوین، اتریوم، ترون، سولانا و ریپل را دربر میگیرد و کیفپولهای مشخص مرتبط با هر قربانی را شناسایی میکند.
حضور اپ جعلی Ledger Live در اپاستور اپل پرسشهای گستردهتری را درباره اینکه نرمافزارهای مخرب چگونه از فرایند بازبینی اپل عبور میکنند و تا چه مدت میتوانند پیش از حذف فعال بمانند، مطرح کرد.
موسیقیدان فیلادلفیایی جی. لاو نزدیک به ۶ بیتکوین را به اپلیکیشن جعلی کیف پول لجر در اپ استور اپل از دست داد
موسیقیدان G. Love مقدار ۵.۹۲ بیتکوین را به یک اپلیکیشن جعلی Ledger در اپاستور اپل از دست داد. ZachXBT وجوه را تا Kucoin ردیابی کرد. read more.
اکنون بخوانید
موسیقیدان فیلادلفیایی جی. لاو نزدیک به ۶ بیتکوین را به اپلیکیشن جعلی کیف پول لجر در اپ استور اپل از دست داد
موسیقیدان G. Love مقدار ۵.۹۲ بیتکوین را به یک اپلیکیشن جعلی Ledger در اپاستور اپل از دست داد. ZachXBT وجوه را تا Kucoin ردیابی کرد. read more.
اکنون بخوانیدموسیقیدان فیلادلفیایی جی. لاو نزدیک به ۶ بیتکوین را به اپلیکیشن جعلی کیف پول لجر در اپ استور اپل از دست داد
اکنون بخوانیدموسیقیدان G. Love مقدار ۵.۹۲ بیتکوین را به یک اپلیکیشن جعلی Ledger در اپاستور اپل از دست داد. ZachXBT وجوه را تا Kucoin ردیابی کرد. read more.
در یادداشتی که با Bitcoin.com News به اشتراک گذاشته شد، لجر، مدیر ارشد فناوری (CTO) آن، شارل گیلمه، تأکید کرد که شرکتش هرگز عبارت بازیابی (seed phrase) را درخواست نخواهد کرد. گیلمه توضیح داد: «لجر هرگز ۲۴ کلمه شما را درخواست نمیکند. اگر کسی یا هر اپی ۲۴ کلمه شما را درخواست کرد، فرض کنید مشکلی وجود دارد.»
مدیر ارشد فناوری شرکت کیفپول سختافزاری افزود: «لجر بهطور مستمر این موضوع را به جامعه یادآوری میکند. شما نمیتوانید به محیط نرمافزاری اطرافتان اعتماد کنید — نه به مرورگرتان، نه به اپاستورتان، نه به دسکتاپتان. مهاجمان هرجا فرصت وجود داشته باشد عمل میکنند، و این شامل پلتفرمهای رسمی توزیع هم میشود. تنها محافظتی که پابرجا میماند این است که کلیدهای خصوصیتان را روی یک دستگاه سختافزاری اختصاصی با صفحهنمایش امن نگه دارید، مثل یک امضاکننده لجر، و هرگز عبارت بازیابیتان را در هیچ اپ یا وبسایتی وارد نکنید. ۲۴ کلمه شما همان کیفپول شماست.»
