ZachXBT tvrdi da je lažna aplikacija Ledger u Apple App Storeu ukrala 9,5 milijuna dolara od više od 50 žrtava u jednom tjednu

Ključne poruke:

• ZachXBT je povezao krađu od 9,5 milijuna dolara putem lažne aplikacije Ledger Live na Appleovom App Storeu s navodnih 150+ Kucoin depozitnih adresa.
• Glazbenik G. Love izgubio je gotovo 6 BTC; 3 najveće žrtve izgubile su svaka sedmeroznamenkaste iznose između 7. i 13. travnja.
• Apple je na kraju uklonio lažnu aplikaciju iz App Storea.

Lažna iOS aplikacija Ledger Live ispraznila je 9,5 milijuna dolara prije nego što ju je Apple uklonio, otkriva ZachXBT

ZachXBT je objavio svoja otkrića u utorak, 14. travnja, na X-u, izlažući kako je lažna aplikacija oštetila više od 50 korisnika između 7. i 13. travnja na mrežama Bitcoin, EVM, Tron, Solana i Ripple. Apple je uklonio aplikaciju dan prije njegove objave.

Tri najveće žrtve izgubile su svaka sedmeroznamenkaste iznose. Jedan je korisnik 9. travnja izgubio 3,23 milijuna dolara u USDT-u. Druga je žrtva 11. travnja izgubila 2,079 milijuna dolara u USDC-u. Treća je 8. travnja izgubila kriptoimovinu u vrijednosti 1,95 milijuna dolara, uključujući 20,64 BTC, 211 stETH i 70 ETH.

Još jedna žrtva među prevarenima bio je glazbenik Garrett Dutton, profesionalno poznat kao G. Love, koji je izgubio gotovo 6 BTC zbog lažne aplikacije. ZachXBT je identificirao AudiA6 kao centraliziranu uslugu miksanja korištenu za premještanje ukradenih sredstava.

AudiA6 je opisao kao uslugu koja naplaćuje visoke naknade za obradu nezakonitog novca te je ustvrdio da su ukradena sredstva prolazila kroz Kucoin depozitne adrese povezane s tom uslugom. Istražitelj je također tvrdio da je odvojeni akter prijetnje oprao 3,5 milijuna dolara iz incidenta Bitcoin Depota incidenta preko više od 25 Kucoin depozitnih adresa u danima prije krađe povezane s Ledgerom.

Na X-u, nakon što je Kucoinov službeni X račun objavio nasumičnu objavu o glasanju A & B, ZachXBT je odlučio odgovoriti svojim optužbama. “C) Želite li objasniti zajednici zašto je Kucoin dopustio akteru prijetnje da opere 9,5M+ dolara povezanih s lažnom Ledger aplikacijom putem 150+ Kucoin depozitnih adresa tijekom proteklog tjedna?” ZachXBT je upitao. Onchain istražitelj je dodao:

“Nekoliko dana prije toga još je jedan akter prijetnje oprao 3,5M+ dolara iz incidenta Bitcoin Depot putem 25+ Kucoin depozitnih adresa. Omogućili ste instant razmjene koje zloupotrebljavaju KYC i subjekte poput AudiA6, centraliziranog miksera za nezakonite aktere, da slobodno djeluju. Kucoin zaslužuje da regulatori ponovno krenu na njegov posao.”

Kada je Kucoinov službeni X račun odgovorio na kontroverzu tražeći UID i broj тикeta kako bi istražili stvar, ZachXBT je odgovorio fotografijom identifikacijskog dokumenta dojenčeta, implicirajući da je postupak provjere identiteta (KYC) na burzi neadekvatan.

Kucoin do trenutka objave nije javno odgovorio na te konkretne optužbe. Odgovor s UID-om i brojem tiketa vjerojatno je došao od djelatnika korisničke podrške.

ZachXBT je rekao da bi situacija mogla pružiti temelje za kolektivnu tužbu protiv Applea zbog hostanja prijevarne aplikacije. Adrese krađe koje je objavio ZachXBT obuhvaćaju više blockchainova, uključujući Bitcoin, Ethereum, Tron, Solanu i Ripple, identificirajući konkretne novčanike povezane sa svakom žrtvom.

Prisutnost lažne aplikacije Ledger Live na Appleovom App Storeu otvorila je šira pitanja o tome kako zlonamjerni softver prolazi Appleov postupak pregleda i koliko dugo može djelovati prije uklanjanja.

U bilješci podijeljenoj s Bitcoin.com News, CTO tvrtke Ledger Charles Guillemet naglasio je da njegova tvrtka nikada neće tražiti seed frazu. “Ledger vas nikada neće tražiti vaših 24 riječi. Ako bilo tko, ili bilo koja aplikacija, traži vaših 24 riječi, pretpostavite da nešto nije u redu,” objasnio je Guillemet.

“Ledger na to dosljedno podsjeća zajednicu. Ne možete vjerovati softverskom okruženju oko sebe – ni svom pregledniku, ni svojoj trgovini aplikacija, ni svom računalu. Napadači djeluju gdje god postoji prilika, a to uključuje i službene distribucijske platforme. Jedina zaštita koja vrijedi jest držati privatne ključeve na namjenskom hardverskom uređaju sa sigurnim zaslonom, poput Ledger potpisnika, i nikada ne unositi seed frazu u bilo koju aplikaciju ili web-stranicu. Vaših 24 riječi vaš je novčanik,” dodao je CTO tvrtke za hardverske novčanike.