ZachXBT에 따르면, 애플 앱 스토어의 가짜 레저(Ledger) 앱이 일주일 만에 50명 이상의 피해자로부터 950만 달러를 훔쳤다고 한다

• ZachXBT는 애플 앱 스토어의 가짜 레저 라이브(Ledger Live) 앱을 통해 도난당한 950만 달러를 150개 이상의 쿠코인(Kucoin) 입금 주소와 연결 지었다.
• 음악가 G. Love는 약 6 BTC를 잃었으며, 4월 7일부터 13일 사이에 가장 큰 피해를 입은 3명은 각각 7자리 수의 자산을 잃었습니다.
• 애플은 결국 앱 스토어에서 해당 가짜 앱을 삭제했다.

ZachXBT, 애플이 삭제하기 전 가짜 Ledger Live iOS 앱으로 950만 달러 유출 확인

ZachXBT는 4월 14일 화요일 X(구 트위터)에 조사 결과를 게시하며, 이 가짜 앱이 4월 7일부터 13일 사이에 비트코인, EVM, 트론, 솔라나, 리플 네트워크를 통해 50명 이상의 사용자를 피해자로 만들었다는 사실을 밝혔습니다. 애플은 그의 게시물 하루 전에 해당 앱을 삭제했습니다.

가장 큰 피해를 입은 세 명의 피해자는 각각 7자리 수의 자산을 잃었다. 한 사용자는 4월 9일 USDT 323만 달러를 잃었다. 두 번째 피해자는 4월 11일 USDC 207만 9천 달러를 잃었다. 세 번째 피해자는 4월 8일 20.64 BTC, 211 stETH, 70 ETH를 포함해 총 195만 달러 상당의 암호화폐를 잃었다.

사기 피해를 입은 또 다른 피해자 중에는 G. Love라는 예명으로 활동하는 뮤지션 개럿 더튼(Garrett Dutton)이 있었으며, 그는 이 가짜 앱으로 인해 약 6 BTC를 잃었다. ZachXBT는 도난 자금을 이동하는 데 사용된 중앙화된 믹싱 서비스로 AudiA6를 지목했다.

그는 AudiA6를 불법 자금을 처리하는 데 높은 수수료를 부과하는 서비스라고 설명하며, 도난 자금이 해당 서비스와 연결된 쿠코인(Kucoin) 입금 주소를 통해 이동했다고 주장했다. 또한 이 조사관은 레저(Ledger) 관련 도난 사건이 발생하기 며칠 전, 별도의 위협 행위자가 비트코인 디포(Bitcoin Depot) 사건에서 나온 350만 달러를 25개 이상의 쿠코인 입금 주소를 통해 세탁했다고 주장했다.

X(구 트위터)에서 쿠코인의 공식 계정이 무작위 A & B 투표 게시물을 올린 후, ZachXBT는 자신의 의혹을 제기하며 이에 응답하기로 결정했다. "C) 지난주 동안 쿠코인이 왜 위협 행위자가 가짜 레저 앱과 관련된 950만 달러 이상을 150개 이상의 쿠코인 입금 주소를 통해 세탁하도록 허용했는지 커뮤니티에 설명해 주시겠습니까?"라고 ZachXBT는 물었다. 이 온체인 조사관은 다음과 같이 덧붙였다:

"그보다 며칠 전에는 또 다른 위협 행위자가 25개 이상의 쿠코인 입금 주소를 통해 비트코인 디포(Bitcoin Depot) 사건에서 발생한 350만 달러 이상을 세탁했습니다. 귀사는 KYC를 악용하는 즉시 교환을 허용했고, 불법 행위자들이 자유롭게 활동할 수 있도록 중앙화된 믹서인 AudiA6 같은 업체들을 방치했습니다. 쿠코인은 규제 당국이 다시 한번 그들의 사업을 조사하도록 해야 마땅합니다."

쿠코인의 공식 X 계정이 논란에 대해 조사할 수 있도록 UID와 티켓 번호를 요청하자, ZachXBT는 유아의 신분증 사진을 올리며 거래소의 고객 확인(KYC) 절차가 부실함을 시사했다.

이 기사가 작성된 시점까지 쿠코인은 이러한 구체적인 혐의에 대해 공식적으로 답변하지 않았다. UID와 티켓 번호를 요청한 응답은 고객 서비스 담당자가 보낸 것으로 보인다. ZachXBT는 이러한 상황이 사기성 앱을 호스팅한 애플을 상대로 집단 소송을 제기할 근거가 될 수 있다고 말했다. ZachXBT가 공개한 도난 주소는 비트코인, 이더리움, 트론, 솔라나, 리플 등 여러 블록체인에 걸쳐 있으며, 각 피해자와 연결된 특정 지갑을 식별하고 있다.

애플 앱 스토어에 가짜 레저 라이브(Ledger Live) 앱이 등장한 것은 악성 소프트웨어가 어떻게 애플의 심사 과정을 통과하는지, 그리고 삭제되기 전까지 얼마나 오랫동안 운영될 수 있는지에 대한 광범위한 의문을 제기했다.

비트코인닷컴 뉴스(Bitcoin.com News)와 공유한 메모에서 레저(Ledger)의 최고기술책임자(CTO) 찰스 기예메(Charles Guillemet)는 자사가 절대로 시드 문구를 요구하지 않을 것이라고 강조했다. 기예메는 “레저는 절대로 여러분의 24단어를 요구하지 않습니다. 누군가, 혹은 어떤 앱이 여러분의 24단어를 요구한다면, 무언가 잘못되었다고 생각하십시오”라고 설명했다. “레저는 커뮤니티에 이 점을 지속적으로 상기시키고 있습니다. 여러분을 둘러싼 소프트웨어 환경, 즉 브라우저, 앱 스토어, 데스크톱을 신뢰해서는 안 됩니다. 공격자들은 기회가 있는 곳이라면 어디든 활동하며, 여기에는 공식 배포 플랫폼도 포함됩니다. 유일한 보호 수단은 레저 사인어(Ledger Signer)와 같이 보안 화면이 탑재된 전용 하드웨어 기기에 개인 키를 보관하고, 어떤 앱이나 웹사이트에도 시드 문구를 절대 입력하지 않는 것입니다. 여러분의 24단어는 바로 여러분의 지갑입니다,"라고 이 하드웨어 지갑 기업의 CTO는 덧붙였습니다.