זאקXBT אומר שאפליקציית לדג'ר מזויפת בחנות האפליקציות של אפל גנבה 9.5 מיליון דולר מיותר מ-50 קורבנות בתוך שבוע אחד

עיקרי הדברים:

• ZachXBT קישר גניבה בהיקף 9.5 מיליון דולר מאפליקציית Ledger Live מזויפת בחנות האפליקציות של אפל ליותר מ־150 כתובות הפקדה של Kucoin לכאורה.
• המוזיקאי G. Love איבד כמעט 6 BTC; שלושת הקורבנות הגדולים ביותר איבדו כל אחד סכומים בני שבע ספרות בין 7 ל־13 באפריל.
• אפל אכן הסירה בסופו של דבר את האפליקציה המתחזה מחנות האפליקציות.

אפליקציית Ledger Live מזויפת ל־iOS רוקנה 9.5 מיליון דולר לפני שאפל הסירה אותה, כך מצא ZachXBT

ZachXBT פרסם את ממצאיו ביום שלישי, 14 באפריל, ב־X, ופירט כיצד האפליקציה המזויפת הפילה יותר מ־50 משתמשים בין 7 ל־13 באפריל ברחבי רשתות ביטקוין, EVM, טרון, סולנה וריפל. אפל הסירה את האפליקציה יום לפני פרסומו.

שלושת הקורבנות הגדולים ביותר איבדו כל אחד סכומים בני שבע ספרות. משתמש אחד איבד 3.23 מיליון דולר ב־USDT ב־9 באפריל. קורבן שני איבד 2.079 מיליון דולר ב־USDC ב־11 באפריל. שלישי איבד קריפטו בשווי 1.95 מיליון דולר ב־8 באפריל, כולל 20.64 BTC, ‏211 stETH ו־70 ETH.

קורבן נוסף מבין אלו שנפלו להונאה היה המוזיקאי גארט דאטון, המוכר מקצועית כ־G. Love, שאיבד כמעט 6 BTC לאפליקציה המזויפת. ZachXBT זיהה את AudiA6 כשירות הערבוב הריכוזי ששימש להעברת הכספים הגנובים.

הוא תיאר את AudiA6 כשירות שגובה עמלות גבוהות כדי לעבד כסף בלתי חוקי, וטען כי הכספים הגנובים הועברו דרך כתובות הפקדה של Kucoin המחוברות לשירות הזה. החוקר טען גם כי גורם איום נפרד הלבין 3.5 מיליון דולר מאירוע ה־Bitcoin Depot incident דרך יותר מ־25 כתובות הפקדה של Kucoin בימים שלפני הגניבה הקשורה ל־Ledger.

ב־X, לאחר שהחשבון הרשמי של Kucoin ב־X פרסם פוסט הצבעה אקראי של A & B, ZachXBT החליט להגיב עם האשמותיו. “C) רוצים להסביר לקהילה למה Kucoin אפשרה לגורם איום להלבין 9.5M+ דולר הקשורים לאפליקציית Ledger מזויפת דרך 150+ כתובות הפקדה של Kucoin במהלך השבוע האחרון?” ZachXBT שאל. חוקר האון-צ׳יין הוסיף:

“כמה ימים לפני כן גורם איום נוסף הלבין 3.5M+ דולר מאירוע ה־Bitcoin Depot דרך 25+ כתובות הפקדה של Kucoin. אפשרתם החלפות מיידיות שמנצלות לרעה KYC וישויות כמו AudiA6, מערבל ריכוזי לגורמים בלתי חוקיים, לפעול בחופשיות. ל־Kucoin מגיע שרגולטורים ירדפו שוב אחרי העסק שלה.”

כאשר החשבון הרשמי של Kucoin ב־X הגיב למחלוקת בכך שביקש UID ומספר כרטיס פנייה כדי לבדוק את העניין, ZachXBT השיב עם תמונה של מסמך זיהוי של תינוק, כרמז לכך שתהליך אימות ה־Know-Your-Customer (KYC) של הבורסה אינו מספק.

Kucoin לא הגיבה בפומבי להאשמות הספציפיות הללו נכון למועד הפרסום. תגובת ה־UID ומספר כרטיס הפנייה הייתה ככל הנראה של נציג שירות לקוחות.

ZachXBT אמר שהמצב עשוי להוות בסיס לתביעה ייצוגית נגד אפל בשל אירוח האפליקציה המונעת הונאה. כתובות הגניבה שפרסם ZachXBT משתרעות על פני מספר בלוקצ׳יינים, כולל ביטקוין, את׳ריום, טרון, סולנה וריפל, ומזהות ארנקים ספציפיים המחוברים לכל קורבן.

נוכחותה של אפליקציית Ledger Live המזויפת בחנות האפליקציות של אפל העלתה שאלות רחבות יותר לגבי האופן שבו תוכנות זדוניות עוברות את תהליך הבדיקה של אפל וכמה זמן הן יכולות לפעול לפני הסרה.

בהערה ששיתף עם Bitcoin.com News, ה־CTO של Ledger, Charles Guillemet, הדגיש שהחברה שלו לעולם לא תבקש ביטוי סיד (seed phrase). “Ledger לעולם לא תבקש את 24 המילים שלכם. אם מישהו, או כל אפליקציה, מבקשים את 24 המילים שלכם, הניחו שמשהו לא תקין,” הסביר Guillemet.

“Ledger מזכירה לקהילה זאת באופן עקבי. אי אפשר לסמוך על סביבת התוכנה סביבכם – לא על הדפדפן שלכם, לא על חנות האפליקציות שלכם, לא על המחשב השולחני שלכם. תוקפים פועלים בכל מקום שבו קיימת הזדמנות, וזה כולל פלטפורמות הפצה רשמיות. ההגנה היחידה שמחזיקה היא לשמור את המפתחות הפרטיים שלכם על התקן חומרה ייעודי עם מסך מאובטח, כמו חותם Ledger, ולעולם לא להזין את ביטוי הסיד שלכם לאף אפליקציה או אתר. 24 המילים שלכם הן הארנק שלכם,” הוסיף ה־CTO של יצרנית ארנקי החומרה.