オンチェーン調査員のZachXBTは、AppleのApp Storeに公開された偽のLedger Liveアプリを通じて盗まれた950万ドル超が、150以上のKucoin入金アドレスを使って資金洗浄されたと公に主張しました。 主なポイント:
ZachXBT氏によると、Apple App Storeで配信されていた偽のLedgerアプリが、1週間で50人以上の被害者から950万ドルを盗んだということです。
共有
- ZachXBTは、AppleのApp Storeに存在した偽のLedger Liveアプリによる950万ドルの盗難事件と、150件以上のKucoin入金アドレスとの関連性を指摘しました。
- ミュージシャンのG. Love氏は約6BTCを失いました。4月7日から13日の間に、被害額トップ3の被害者はそれぞれ7桁の金額を失いました。
- Appleは最終的にこの偽アプリをApp Storeから削除しました。
ZachXBTは、Appleが偽アプリを削除する前に950万ドルが流出したと指摘しました。
ZachXBTは4月14日(火)、X(旧Twitter)に調査結果を投稿し、この偽アプリが4月7日から13日にかけて、ビットコイン、EVM、トロン、ソラナ、リップルの各ネットワークで50人以上のユーザーを被害に遭わせた経緯を明らかにした。Appleは彼の投稿の前日に当該アプリを削除していた。
被害額トップ3のユーザーはそれぞれ7桁の損失を被りました。あるユーザーは4月9日に323万ドル相当のUSDTを失い、別のユーザーは4月11日に207万9000ドル相当のUSDCを失いました。3人目のユーザーは4月8日に195万ドル相当の暗号資産(20.64 BTC、211 stETH、70 ETH)を失いました。
被害者の中には、G. Loveの芸名で知られるミュージシャン、ギャレット・ダットン氏も含まれ、約6 BTCを失いました。
ZachXBTは、盗まれた資金の移動に中央集権型ミキシングサービス「AudiA6」が使用されたと特定しました。
彼はAudiA6について、不正資金を処理する見返りとして高額な手数料を請求するサービスであると説明し、盗まれた資金が同サービスに接続されたKucoinの入金アドレスを経由して移動したと主張しました。また、この調査員は別の攻撃者が、Ledger関連の盗難が発生する数日前に、Bitcoin Depot事件で得た350万ドルを25以上のKucoin入金アドレスを通じて資金洗浄したと主張しました。
X上でKucoinの公式アカウントがランダムなA・B選択式の投稿を行った後、ZachXBTは自身の告発を添えて返信することを決めました。「C) なぜKucoinが、過去1週間にわたり150以上のKucoin入金アドレスを通じて、偽のLedgerアプリに関連する950万ドル以上を脅威アクターに洗浄させることを許したのか、コミュニティに説明したいですか?」とZachXBTは問いかけました。このオンチェーン調査員は次のように付け加えました。
「その数日前にも、別の脅威アクターがBitcoin Depot事件に関連する350万ドル以上を、25以上のKucoin入金アドレスを通じて資金洗浄していた。貴社はKYCを悪用した即時交換を可能にし、違法行為を行う者たちが自由に活動できる中央集権型ミキサーであるAudiA6のような事業体を容認している。Kucoinは、規制当局から再び事業に対する調査を受けるに値する。」
Kucoinの公式Xアカウントがこの騒動に対し、調査のためにUIDとチケット番号を要求して対応すると、ZachXBTは乳児の身分証明書の写真を返信し、同取引所の本人確認(KYC)プロセスが不十分であることを示唆しました。
本記事公開時点で、Kucoinはこれらの具体的な疑惑について公式な回答を行っていません。UIDとチケット番号を求める返信は、おそらくカスタマーサービス担当者によるものです。ZachXBTは、この状況が、不正なアプリをホストしたAppleに対する集団訴訟の根拠となり得ると述べました。ZachXBTが公開した盗難アドレスは、ビットコイン、イーサリアム、トロン、ソラナ、リップルなど複数のブロックチェーンにまたがっており、各被害者と関連する特定のウォレットを特定しています。
AppleのApp Storeに偽のLedger Liveアプリが存在していたことは、悪意のあるソフトウェアがどのようにしてAppleの審査プロセスを通過し、削除されるまでどれくらいの期間稼働し続けることができるのかという、より広範な疑問を投げかけています。
フィラデルフィアのミュージシャン、G. Loveが、AppleのApp Storeにある偽のLedgerウォレットアプリにより、約6BTCを失いました
ミュージシャンのG. Loveは、Apple App Storeに存在した偽のLedgerアプリにより5.92 BTCを失いました。ZachXBTが資金の流れを追跡した結果、Kucoinに到達したことが分かりました。 read more.
今すぐ読む
フィラデルフィアのミュージシャン、G. Loveが、AppleのApp Storeにある偽のLedgerウォレットアプリにより、約6BTCを失いました
ミュージシャンのG. Loveは、Apple App Storeに存在した偽のLedgerアプリにより5.92 BTCを失いました。ZachXBTが資金の流れを追跡した結果、Kucoinに到達したことが分かりました。 read more.
今すぐ読むフィラデルフィアのミュージシャン、G. Loveが、AppleのApp Storeにある偽のLedgerウォレットアプリにより、約6BTCを失いました
今すぐ読むミュージシャンのG. Loveは、Apple App Storeに存在した偽のLedgerアプリにより5.92 BTCを失いました。ZachXBTが資金の流れを追跡した結果、Kucoinに到達したことが分かりました。 read more.
Bitcoin.com Newsに共有された声明の中で、LedgerのCTOであるCharles Guillemet氏は、同社がシードフレーズを要求することは決してないと強調しました。「Ledgerが24語のシードフレーズを尋ねることは決してありません。もし誰か、あるいはアプリが24語のシードフレーズを求めてきたら、何かがおかしいと疑ってください」とGuillemet氏は説明しました。「Ledgerは一貫してコミュニティにこのことを注意喚起しています。 周囲のソフトウェア環境――ブラウザであれ、アプリストアであれ、デスクトップであれ――を信頼することはできません。攻撃者は機会があればどこにでも潜んでおり、公式の配布プラットフォームも例外ではありません。唯一有効な保護策は、Ledger Signerのようなセキュアな画面を備えた専用のハードウェアデバイスに秘密鍵を保管し、いかなるアプリやウェブサイトにもシードフレーズを入力しないことです。24語のフレーズこそが、あなたのウォレットなのです」と、このハードウェアウォレット企業のCTOは付け加えました。
