ZachXBT dit qu'une fausse application Ledger sur l'App Store d'Apple a volé 9,5 millions de dollars à plus de 50 victimes en une semaine

• ZachXBT a établi un lien entre le vol de 9,5 millions de dollars via une fausse application Ledger Live sur l'App Store d'Apple et plus de 150 adresses de dépôt Kucoin présumées.
• Le musicien G. Love a perdu près de 6 BTC ; les trois principales victimes ont chacune perdu des sommes à sept chiffres entre le 7 et le 13 avril.
• Apple a fini par retirer la fausse application de l'App Store.

Une fausse application iOS Ledger Live a détourné 9,5 millions de dollars avant qu'Apple ne la retire, selon ZachXBT

ZachXBT a publié ses conclusions le mardi 14 avril sur X, expliquant comment la fausse application a escroqué plus de 50 utilisateurs entre le 7 et le 13 avril sur les réseaux Bitcoin, EVM, Tron, Solana et Ripple. Apple a supprimé l'application la veille de sa publication.

Les trois principales victimes ont chacune perdu des sommes à sept chiffres. Un utilisateur a perdu 3,23 millions de dollars en USDT le 9 avril. Une deuxième victime a perdu 2,079 millions de dollars en USDC le 11 avril. Une troisième a perdu 1,95 million de dollars en cryptomonnaies le 8 avril, dont 20,64 BTC, 211 stETH et 70 ETH.

Parmi les victimes de cette escroquerie figurait également le musicien Garrett Dutton, connu sous le nom de scène G. Love, qui a perdu près de 6 BTC à cause de cette fausse application. ZachXBT a identifié AudiA6 comme le service de mixage centralisé utilisé pour transférer les fonds volés.

Il a décrit AudiA6 comme un service qui facture des frais élevés pour traiter de l'argent illicite, et a affirmé que les fonds volés transitaient par des adresses de dépôt Kucoin liées à ce service. L'enquêteur a également affirmé qu'un autre acteur malveillant avait blanchi 3,5 millions de dollars provenant de l'incident Bitcoin Depot via plus de 25 adresses de dépôt Kucoin dans les jours précédant le vol lié à Ledger.

Sur X, après que le compte X officiel de Kucoin a publié un message de vote aléatoire A & B, ZachXBT a décidé de répondre en formulant ses accusations. « C) Voulez-vous expliquer à la communauté pourquoi Kucoin a permis à un acteur malveillant de blanchir plus de 9,5 millions de dollars liés à une fausse application Ledger via plus de 150 adresses de dépôt Kucoin au cours de la semaine dernière ? », a demandé ZachXBT. L'enquêteur on-chain a ajouté :

« Quelques jours auparavant, un autre acteur malveillant avait blanchi plus de 3,5 millions de dollars issus de l’incident Bitcoin Depot via plus de 25 adresses de dépôt Kucoin. Vous avez permis des échanges instantanés abusant du KYC et d’entités comme AudiA6, un mixeur centralisé permettant aux acteurs illicites d’opérer librement. Kucoin mérite que les régulateurs s’en prennent à nouveau à ses activités. »

Lorsque le compte X officiel de Kucoin a répondu à la controverse en demandant un UID et un numéro de ticket pour examiner la question, ZachXBT a répondu en publiant une photo de la pièce d'identité d'un nourrisson, laissant entendre que le processus de vérification « Know Your Customer » (KYC) de la plateforme d'échange était insuffisant.

Au moment de la publication, Kucoin n'avait pas répondu publiquement à ces allégations spécifiques. La réponse concernant l'UID et le numéro de ticket provenait probablement d'un agent du service client. ZachXBT a déclaré que cette situation pourrait constituer un motif de recours collectif contre Apple pour avoir hébergé l'application frauduleuse. Les adresses de vol publiées par ZachXBT couvrent plusieurs blockchains, notamment Bitcoin, Ethereum, Tron, Solana et Ripple, identifiant des portefeuilles spécifiques liés à chaque victime.

La présence de la fausse application Ledger Live sur l'App Store d'Apple a soulevé des questions plus générales sur la manière dont les logiciels malveillants parviennent à passer le processus de vérification d'Apple et sur la durée pendant laquelle ils peuvent fonctionner avant d'être supprimés.

Dans une note partagée avec Bitcoin.com News, Charles Guillemet, directeur technique de Ledger, a souligné que son entreprise ne demanderait jamais de phrase de récupération. « Ledger ne vous demandera jamais vos 24 mots. Si quelqu'un, ou une application, vous demande vos 24 mots, partez du principe qu'il y a un problème », a expliqué M. Guillemet. « Ledger ne cesse de le rappeler à la communauté. Vous ne pouvez pas faire confiance à l’environnement logiciel qui vous entoure – ni à votre navigateur, ni à votre boutique d’applications, ni à votre ordinateur de bureau. Les pirates agissent partout où l’occasion se présente, y compris sur les plateformes de distribution officielles. La seule protection efficace consiste à conserver vos clés privées sur un appareil matériel dédié doté d’un écran sécurisé, comme un Ledger Signer, et à ne jamais saisir votre phrase de récupération dans une application ou sur un site web. Vos 24 mots constituent votre portefeuille », a ajouté le directeur technique de la société de portefeuilles matériels.