ZachXBT Mendakwa Apl Ledger Palsu di Apple App Store Mencuri $9.5J Daripada 50+ Mangsa Dalam Masa Seminggu

Intipati Utama:

• ZachXBT mengaitkan kecurian $9.5M daripada aplikasi Ledger Live palsu di Apple App Store dengan dakwaan 150+ alamat deposit Kucoin.
• Pemuzik G. Love kehilangan hampir 6 BTC; 3 mangsa terbesar masing-masing kehilangan jumlah tujuh angka antara 7-13 April.
• Apple akhirnya mengalih keluar aplikasi palsu itu daripada App Store.

Aplikasi iOS Ledger Live Palsu Menguras $9.5M Sebelum Apple Menariknya, ZachXBT Dapati

ZachXBT menyiarkan dapatan beliau pada Selasa, 14 April, di X, memperincikan bagaimana aplikasi palsu itu memperdaya lebih 50 pengguna antara 7 hingga 13 April merentasi rangkaian Bitcoin, EVM, Tron, Solana, dan Ripple. Apple mengalih keluar aplikasi itu sehari sebelum catatan beliau.

Tiga mangsa terbesar masing-masing kehilangan jumlah tujuh angka. Seorang pengguna kehilangan $3.23 juta dalam USDT pada 9 April. Mangsa kedua kehilangan $2.079 juta dalam USDC pada 11 April. Mangsa ketiga kehilangan kripto bernilai $1.95 juta pada 8 April, termasuk 20.64 BTC, 211 stETH, dan 70 ETH.

Seorang lagi mangsa antara yang diperdaya ialah pemuzik Garrett Dutton, yang dikenali secara profesional sebagai G. Love, yang kehilangan hampir 6 BTC kepada aplikasi palsu itu. ZachXBT mengenal pasti AudiA6 sebagai perkhidmatan pencampuran berpusat yang digunakan untuk memindahkan dana yang dicuri.

Beliau menyifatkan AudiA6 sebagai perkhidmatan yang mengenakan yuran tinggi untuk memproses wang haram, dan mendakwa dana yang dicuri bergerak melalui alamat deposit Kucoin yang berkaitan dengan perkhidmatan itu. Penyiasat itu juga mendakwa bahawa seorang pelaku ancaman yang berasingan telah mencuci $3.5 juta daripada insiden Bitcoin Depot melalui lebih 25 alamat deposit Kucoin dalam beberapa hari sebelum kecurian berkaitan Ledger itu.

Di X, selepas akaun X rasmi Kucoin menyiarkan pos undian A & B secara rawak, ZachXBT memutuskan untuk membalas dengan tuduhannya. “C) Mahu jelaskan kepada komuniti mengapa Kucoin membenarkan seorang pelaku ancaman mencuci $9.5M+ yang dikaitkan dengan aplikasi Ledger palsu melalui 150+ alamat deposit Kucoin sepanjang minggu lalu?” ZachXBT tanya. Penyiasat onchain itu menambah:

“Beberapa hari sebelum itu seorang pelaku ancaman lain mencuci $3.5M+ daripada insiden Bitcoin Depot melalui 25+ alamat deposit Kucoin. Anda telah membolehkan pertukaran segera yang menyalahgunakan KYC dan entiti seperti AudiA6, sebuah mixer berpusat untuk pelaku haram beroperasi dengan bebas. Kucoin wajar berdepan tindakan pengawal selia terhadap perniagaannya sekali lagi.”

Apabila akaun X rasmi Kucoin membalas kontroversi itu dengan meminta UID dan nombor tiket untuk meneliti perkara tersebut, ZachXBT membalas dengan foto dokumen ID seorang bayi, menyiratkan bahawa proses pengesahan kenali-pelanggan-anda (KYC) bursa itu tidak mencukupi.

Kucoin belum memberikan respons awam terhadap dakwaan khusus tersebut setakat masa penerbitan. Respons meminta UID dan nombor tiket itu berkemungkinan daripada ejen khidmat pelanggan.

ZachXBT berkata situasi itu mungkin menjadi asas kepada saman tindakan kelas terhadap Apple kerana mengehoskan aplikasi penipuan itu. Alamat kecurian yang diterbitkan oleh ZachXBT merentasi pelbagai blockchain, termasuk Bitcoin, Ethereum, Tron, Solana, dan Ripple, mengenal pasti dompet khusus yang berkaitan dengan setiap mangsa.

Kehadiran aplikasi Ledger Live palsu di App Store Apple menimbulkan persoalan lebih luas tentang bagaimana perisian berniat jahat melepasi proses semakan Apple dan berapa lama ia boleh beroperasi sebelum dialih keluar.

Dalam nota yang dikongsi dengan Bitcoin.com News, CTO Ledger, Charles Guillemet menegaskan bahawa firmanya tidak akan pernah meminta frasa seed. “Ledger tidak akan pernah meminta 24 perkataan anda. Jika sesiapa, atau mana-mana aplikasi, meminta 24 perkataan anda, anggap ada sesuatu yang tidak kena,” jelas Guillemet.

“Ledger secara konsisten mengingatkan komuniti tentang perkara ini. Anda tidak boleh mempercayai persekitaran perisian di sekeliling anda – bukan pelayar anda, bukan app store anda, bukan desktop anda. Penyerang beroperasi di mana sahaja peluang wujud, dan itu termasuk platform pengedaran rasmi. Satu-satunya perlindungan yang kekal ialah memastikan kunci peribadi anda berada pada peranti perkakasan khusus dengan skrin selamat, seperti penandatangan Ledger, dan jangan sekali-kali memasukkan frasa seed anda ke dalam mana-mana aplikasi atau laman web. 24 perkataan anda ialah dompet anda,” tambah CTO firma dompet perkakasan itu.