ZachXBT:n mukaan Apple App Storesta löytynyt väärennetty Ledger-sovellus varasti 9,5 miljoonaa dollaria yli 50 uhrilta yhden viikon aikana

Tärkeimmät kohdat:

• ZachXBT yhdisti 9,5 miljoonan dollarin varkauden väärennetystä Ledger Live -sovelluksesta Applen App Storessa yli 150 Kucoin-talletusosoitteeseen.
• Muusikko G. Love menetti lähes 6 BTC:tä; kolme suurinta uhria menettivät kukin seitsemännumeroisen summan 7.–13. huhtikuuta.
• Apple poisti lopulta väärennetyn sovelluksen App Storesta.

Väärennetty Ledger Live -iOS-sovellus tyhjensi 9,5 miljoonaa dollaria ennen kuin Apple poisti sen, ZachXBT selvitti

ZachXBT julkaisi havainnot tiistaina 14. huhtikuuta X:ssä ja kertoi, kuinka väärennetty sovellus riisti yli 50 käyttäjältä varoja 7.–13. huhtikuuta Bitcoin-, EVM-, Tron-, Solana- ja Ripple-verkostoissa. Apple poisti sovelluksen päivää ennen hänen julkaisuaan.

Kolme suurinta uhria menettivät kukin seitsemännumeroisen summan. Yksi käyttäjä menetti 3,23 miljoonaa dollaria USDT:tä 9. huhtikuuta. Toinen uhri menetti 2,079 miljoonaa dollaria USDC:tä 11. huhtikuuta. Kolmas menetti 1,95 miljoonan dollarin arvosta kryptovaluuttaa 8. huhtikuuta, mukaan lukien 20,64 BTC:tä, 211 stETH:tä ja 70 ETH:tä.

Toinen petoksen uhreista oli muusikko Garrett Dutton, joka tunnetaan ammattinimellä G. Love ja joka menetti lähes 6 BTC:tä väärennetylle sovellukselle. ZachXBT tunnisti AudiA6:n keskitetyksi sekoituspalveluksi, jota käytettiin varastettujen varojen siirtämiseen.

Hän kuvaili AudiA6:ta palveluksi, joka veloittaa korkeita maksuja laittomien varojen käsittelystä, ja väitti, että varastetut varat siirrettiin kyseiseen palveluun liitettyjen Kucoinin talletusosoitteiden kautta. Tutkija väitti myös, että erillinen uhkatekijä pesi 3,5 miljoonaa dollaria Bitcoin Depot -tapauksesta yli 25 Kucoinin talletusosoitteen kautta päivinä ennen Ledgeriin liittyvää varkautta.

X:llä, sen jälkeen kun Kucoinin virallinen X-tili julkaisi satunnaisen A & B-äänestysviestin, ZachXBT päätti vastata syytöksillään. "C) Haluatko selittää yhteisölle, miksi Kucoin salli uhkatekijän pestä yli 9,5 miljoonaa dollaria, jotka liittyivät väärennettyyn Ledger-sovellukseen, yli 150 Kucoin-talletusosoitteen kautta viime viikolla?" ZachXBT kysyi. Onchain-tutkija lisäsi:

"Muutama päivä ennen sitä toinen uhkatekijä pesi yli 3,5 miljoonaa dollaria Bitcoin Depot -tapauksesta yli 25 Kucoinin talletusosoitteen kautta. Olette mahdollistaneet välittömät vaihdot, joissa väärinkäytetään KYC:tä ja entiteettejä kuten AudiA6, keskitettyä sekoitinta, jonka avulla laittomat toimijat voivat toimia vapaasti. Kucoin ansaitsee, että sääntelyviranomaiset puuttuvat sen liiketoimintaan jälleen kerran."

Kun Kucoinin virallinen X-tili vastasi kiistaan pyytämällä UID-tunnusta ja tiketin numeroa asian selvittämiseksi, ZachXBT vastasi kuvalla pikkulapsen henkilöllisyystodistuksesta, mikä viittaa siihen, että pörssin asiakkaan tuntemisprosessi (KYC) on puutteellinen.

Kucoin ei ollut julkaisuhetkellä vastannut julkisesti näihin erityisiin syytöksiin. UID- ja tikettinumerovastaus oli todennäköisesti peräisin asiakaspalvelusta.

ZachXBT sanoi, että tilanne saattaa antaa perusteet ryhmäkanteelle Applea vastaan petollisen sovelluksen isännöinnistä. ZachXBT:n julkaisemat varastettujen varojen osoitteet kattavat useita lohkoketjuja, mukaan lukien Bitcoin, Ethereum, Tron, Solana ja Ripple, ja ne tunnistavat kuhunkin uhriin liittyvät tietyt lompakot.

Väärennetyn Ledger Live -sovelluksen esiintyminen Applen App Storessa herätti laajempia kysymyksiä siitä, miten haitallinen ohjelmisto läpäisee Applen tarkastusprosessin ja kuinka kauan se voi toimia ennen poistamista.

Bitcoin.com Newsille lähetetyssä viestissä Ledgerin teknologiajohtaja Charles Guillemet korosti, että hänen yrityksensä ei koskaan pyydä siemenlauseita. ”Ledger ei koskaan pyydä 24 sanaasi. Jos joku tai jokin sovellus pyytää 24 sanaasi, oletetaan, että jokin on vialla”, Guillemet selitti.
”Ledger muistuttaa yhteisöä tästä jatkuvasti. Et voi luottaa ympärilläsi olevaan ohjelmistoympäristöön – et selaimeesi, et sovelluskauppaasi, et työpöytääsi. Hyökkääjät toimivat missä tahansa, missä tilaisuus on, ja tämä koskee myös virallisia jakelualustoja. Ainoa toimiva suoja on pitää yksityiset avaimet erillisellä laitteella, jossa on suojattu näyttö, kuten Ledger-allekirjoituslaitteella, ja olla koskaan syöttämättä siemenlauseitasi mihinkään sovellukseen tai verkkosivustolle. 24 sanaasi ovat lompakkosi”, laitteistolompakkoyrityksen teknologiajohtaja lisäsi.