Peneliti on-chain ZachXBT secara terbuka menuduh bahwa lebih dari $9,5 juta yang dicuri melalui aplikasi Ledger Live palsu di App Store Apple telah dicuci melalui lebih dari 150 alamat deposit Kucoin.
ZachXBT Mengatakan Aplikasi Ledger Palsu di Apple App Store Mencuri $9,5 Juta dari Lebih dari 50 Korban dalam Seminggu
DITULIS OLEH
BAGIKAN
Poin Penting:
- ZachXBT mengaitkan pencurian sebesar $9,5 juta dari aplikasi Ledger Live palsu di App Store Apple dengan lebih dari 150 alamat deposit Kucoin yang diduga terlibat.
- Musisi G. Love kehilangan hampir 6 BTC; tiga korban terbesar masing-masing kehilangan jumlah hingga tujuh digit antara 7-13 April.
- Apple akhirnya menghapus aplikasi palsu tersebut dari App Store.
Aplikasi iOS Ledger Live Palsu Menguras $9,5 Juta Sebelum Apple Menghapusnya, Temukan ZachXBT
ZachXBT memposting temuan tersebut pada Selasa, 14 April, di X, menjelaskan bagaimana aplikasi palsu tersebut merugikan lebih dari 50 pengguna antara 7 dan 13 April di jaringan Bitcoin, EVM, Tron, Solana, dan Ripple. Apple menghapus aplikasi tersebut sehari sebelum postingannya.
Tiga korban terbesar masing-masing kehilangan jumlah yang mencapai tujuh digit. Seorang pengguna kehilangan $3,23 juta dalam USDT pada 9 April. Korban kedua kehilangan $2,079 juta dalam USDC pada 11 April. Korban ketiga kehilangan aset kripto senilai $1,95 juta pada 8 April, termasuk 20,64 BTC, 211 stETH, dan 70 ETH.
Korban lain di antara mereka yang ditipu adalah musisi Garrett Dutton, yang dikenal secara profesional sebagai G. Love, yang kehilangan hampir 6 BTC akibat aplikasi palsu tersebut. ZachXBT mengidentifikasi AudiA6 sebagai layanan pencampuran terpusat yang digunakan untuk memindahkan dana curian.
Ia menggambarkan AudiA6 sebagai layanan yang mengenakan biaya tinggi untuk memproses uang ilegal, dan menuduh bahwa dana curian dipindahkan melalui alamat deposit Kucoin yang terhubung dengan layanan tersebut. Penyelidik tersebut juga mengklaim bahwa aktor ancaman terpisah mencuci $3,5 juta dari insiden Bitcoin Depot melalui lebih dari 25 alamat deposit Kucoin beberapa hari sebelum pencurian yang terkait dengan Ledger.
Di X, setelah akun resmi Kucoin di X memposting postingan jajak pendapat acak A & B, ZachXBT memutuskan untuk menanggapi dengan tuduhannya. "C) Ingin menjelaskan kepada komunitas mengapa Kucoin membiarkan aktor ancaman mencuci $9,5 juta+ yang terkait dengan aplikasi Ledger palsu melalui lebih dari 150 alamat deposit Kucoin selama seminggu terakhir?" tanya ZachXBT. Penyelidik on-chain tersebut menambahkan:
"Beberapa hari sebelumnya, aktor ancaman lain mencuci lebih dari $3,5 juta dari insiden Bitcoin Depot melalui lebih dari 25 alamat deposit Kucoin. Kalian telah memfasilitasi pertukaran instan yang menyalahgunakan KYC dan entitas seperti AudiA6, sebuah mixer terpusat bagi aktor ilegal untuk beroperasi dengan bebas. Kucoin pantas untuk kembali ditindak oleh regulator atas bisnisnya."
Ketika akun X resmi Kucoin menanggapi kontroversi tersebut dengan meminta UID dan nomor tiket untuk menyelidiki masalah tersebut, ZachXBT membalas dengan foto dokumen identitas bayi, menyiratkan bahwa proses verifikasi know-your-customer (KYC) bursa tersebut tidak memadai.
Kucoin belum menanggapi tuduhan spesifik tersebut secara publik hingga saat publikasi. Tanggapan mengenai UID dan nomor tiket kemungkinan berasal dari agen layanan pelanggan.
ZachXBT mengatakan situasi ini mungkin menjadi dasar untuk gugatan class action terhadap Apple karena menghosting aplikasi palsu tersebut. Alamat dompet yang dipublikasikan oleh ZachXBT mencakup berbagai blockchain, termasuk Bitcoin, Ethereum, Tron, Solana, dan Ripple, yang mengidentifikasi dompet spesifik yang terhubung dengan masing-masing korban.
Kehadiran aplikasi Ledger Live palsu di App Store Apple memunculkan pertanyaan yang lebih luas tentang bagaimana perangkat lunak berbahaya dapat lolos dari proses peninjauan Apple dan berapa lama aplikasi tersebut dapat beroperasi sebelum dihapus.
Musisi asal Philadelphia, G. Love, Kehilangan Hampir 6 BTC Akibat Aplikasi Dompet Ledger Palsu di App Store Apple
Musisi G. Love kehilangan 5,92 BTC akibat aplikasi Ledger palsu di Apple App Store. ZachXBT melacak aliran dana tersebut hingga ke Kucoin. read more.
Baca sekarang
Musisi asal Philadelphia, G. Love, Kehilangan Hampir 6 BTC Akibat Aplikasi Dompet Ledger Palsu di App Store Apple
Musisi G. Love kehilangan 5,92 BTC akibat aplikasi Ledger palsu di Apple App Store. ZachXBT melacak aliran dana tersebut hingga ke Kucoin. read more.
Baca sekarangMusisi asal Philadelphia, G. Love, Kehilangan Hampir 6 BTC Akibat Aplikasi Dompet Ledger Palsu di App Store Apple
Baca sekarangMusisi G. Love kehilangan 5,92 BTC akibat aplikasi Ledger palsu di Apple App Store. ZachXBT melacak aliran dana tersebut hingga ke Kucoin. read more.
Dalam catatan yang dibagikan kepada Bitcoin.com News, CTO Ledger Charles Guillemet menekankan bahwa perusahaannya tidak akan pernah meminta frasa benih. “Ledger tidak akan pernah meminta 24 kata Anda. Jika ada orang, atau aplikasi apa pun, yang meminta 24 kata Anda, anggaplah ada yang salah,” jelas Guillemet.
“Ledger secara konsisten mengingatkan komunitas tentang hal ini. Anda tidak dapat mempercayai lingkungan perangkat lunak di sekitar Anda – baik browser, toko aplikasi, maupun desktop Anda. Penyerang beroperasi di mana pun ada peluang, termasuk platform distribusi resmi. Satu-satunya perlindungan yang efektif adalah menyimpan kunci pribadi Anda di perangkat keras khusus dengan layar aman, seperti Ledger Signer, dan tidak pernah memasukkan frasa benih Anda ke dalam aplikasi atau situs web mana pun. 24 kata Anda adalah dompet Anda,” tambah CTO perusahaan dompet hardware tersebut.
