ZachXBT szerint egy hamis Ledger-alkalmazás az Apple App Store-ból egy hét alatt 9,5 millió dollárt lopott el több mint 50 áldozattól

Főbb megállapítások:

• ZachXBT összekapcsolta a hamis Ledger Live Apple App Store-alkalmazásból ellopott 9,5 millió dollárt a feltételezett több mint 150 Kucoin befizetési címmel.
• G. Love zenész közel 6 BTC-t vesztett; a 3 legnagyobb áldozat április 7. és 13. között egyenként 7 számjegyű összeget vesztett.
• Az Apple végül eltávolította a hamis alkalmazást az App Store-ból.

A hamis Ledger Live iOS-alkalmazás 9,5 millió dollárt sikkasztott el, mielőtt az Apple eltávolította volna – állapította meg ZachXBT

ZachXBT április 14-én, kedden tette közzé eredményeit az X-en, bemutatva, hogy a hamis alkalmazás április 7. és 13. között több mint 50 felhasználót károsított meg a Bitcoin, EVM, Tron, Solana és Ripple hálózatokon. Az Apple a bejegyzését megelőző napon eltávolította az alkalmazást.

A három legnagyobb áldozat mindegyike hét számjegyű összeget vesztett. Egy felhasználó április 9-én 3,23 millió dollár értékű USDT-t vesztett. Egy második áldozat április 11-én 2,079 millió dollár értékű USDC-t vesztett. A harmadik április 8-án 1,95 millió dollár értékű kriptovalutát vesztett, beleértve 20,64 BTC-t, 211 stETH-t és 70 ETH-t.

A csalás áldozatai között volt Garrett Dutton zenész is, akit szakmai körökben G. Love néven ismernek, és aki közel 6 BTC-t vesztett el a hamis alkalmazás miatt. ZachXBT az AudiA6-ot azonosította mint a lopott pénzeszközök mozgatására használt központosított keverőszolgáltatást.

Az AudiA6-ot olyan szolgáltatásként írta le, amely magas díjakat számol fel az illegális pénzek feldolgozásáért, és azt állította, hogy a lopott pénzeket a szolgáltatáshoz kapcsolódó Kucoin befizetési címeken keresztül mozgatták. A nyomozó azt is állította, hogy egy másik támadó a Ledgerrel kapcsolatos lopás előtti napokban több mint 25 Kucoin befizetési címen keresztül mosta tisztára a Bitcoin Depot-incidensből származó 3,5 millió dollárt.

Az X-en, miután a Kucoin hivatalos X-fiókja egy véletlenszerű A & B szavazási bejegyzést tett közzé, ZachXBT úgy döntött, hogy vádjaival válaszol. „C) El akarod magyarázni a közösségnek, hogy a Kucoin miért engedte meg egy támadónak, hogy az elmúlt héten több mint 150 Kucoin befizetési címen keresztül több mint 9,5 millió dollárt mossa tisztára egy hamis Ledger-alkalmazáshoz kapcsolódóan?” – kérdezte ZachXBT. A láncon belüli nyomozó hozzátette:

„Néhány nappal azelőtt egy másik támadó több mint 3,5 millió dollárt mosott tisztára a Bitcoin Depot-incidensből több mint 25 Kucoin befizetési cím segítségével. Lehetővé tettétek az azonnali cseréket, visszaélve a KYC-vel és olyan szervezetekkel, mint az AudiA6, egy központosított keverő, amely lehetővé teszi az illegális szereplők szabad működését. A Kucoin megérdemli, hogy a szabályozók ismét a nyomába eredjenek.”

Amikor a Kucoin hivatalos X-fiókja úgy reagált a vitára, hogy UID-t és jegy számot kért az ügy kivizsgálásához, ZachXBT egy csecsemő személyi igazolványának fényképével válaszolt, utalva arra, hogy a tőzsde ügyfél-azonosítási (KYC) ellenőrzési folyamata nem megfelelő.

A cikk megjelenésének időpontjában a Kucoin még nem reagált nyilvánosan ezekre a konkrét vádakra. Az UID-re és a jegy számra vonatkozó válasz valószínűleg egy ügyfélszolgálati munkatárstól származott.

ZachXBT szerint a helyzet alapot adhat egy csoportos per indítására az Apple ellen a csaló alkalmazás tárolása miatt. A ZachXBT által közzétett lopási címek több blokkláncot is érintettek, köztük a Bitcoint, az Ethereumot, a Tront, a Solanát és a Ripple-t, és azonosították az egyes áldozatokhoz kapcsolódó konkrét pénztárcákat.

A hamis Ledger Live alkalmazás jelenléte az Apple App Store-ban szélesebb körű kérdéseket vetett fel azzal kapcsolatban, hogy a rosszindulatú szoftverek hogyan jutnak át az Apple ellenőrzési folyamatán, és mennyi ideig működhetnek eltávolításukig.

A Bitcoin.com News-nak megosztott közleményében a Ledger technológiai igazgatója, Charles Guillemet hangsúlyozta, hogy cége soha nem kéri el a seed phrase-t. „A Ledger soha nem kéri el a 24 szót. Ha bárki, vagy bármely alkalmazás kéri a 24 szót, feltételezheti, hogy valami nem stimmel” – magyarázta Guillemet.

„A Ledger folyamatosan emlékezteti erre a közösséget. Nem bízhat a környező szoftverkörnyezetben – sem a böngészőjében, sem az alkalmazásboltjában, sem az asztali számítógépén. A támadók mindenhol ott működnek, ahol lehetőség nyílik rá, és ez magában foglalja a hivatalos terjesztési platformokat is. Az egyetlen hatékony védelem az, ha a privát kulcsait egy biztonságos képernyővel rendelkező, erre a célra szánt hardveres eszközön, például egy Ledger aláíró eszközön tárolja, és soha nem adja meg a magszövegét semmilyen alkalmazásban vagy weboldalon. A 24 szava az Ön pénztárcája” – tette hozzá a hardveres pénztárca gyártó cég technológiai igazgatója.