Onchain-onderzoeker ZachXBT heeft publiekelijk beweerd dat meer dan 9,5 miljoen dollar, die via een frauduleuze Ledger Live-app in de App Store van Apple was gestolen, via meer dan 150 stortingsadressen van Kucoin is witgewassen.
ZachXBT zegt dat een nep-Ledger-app in de Apple App Store in één week tijd 9,5 miljoen dollar heeft gestolen van meer dan 50 slachtoffers
GESCHREVEN DOOR
DELEN
Belangrijkste punten:
- ZachXBT bracht de diefstal van 9,5 miljoen dollar via een valse Ledger Live-app in de Apple App Store in verband met naar verluidt meer dan 150 Kucoin-stortingsadressen.
- Muzikant G. Love verloor bijna 6 BTC; de drie grootste slachtoffers verloren elk een bedrag van zeven cijfers tussen 7 en 13 april.
- Apple heeft de nep-app uiteindelijk uit de App Store verwijderd.
Nep-Ledger Live iOS-app haalde 9,5 miljoen dollar weg voordat Apple deze verwijderde, ontdekt ZachXBT
ZachXBT publiceerde zijn bevindingen op dinsdag 14 april op X, waarin hij uiteenzette hoe de nep-app tussen 7 en 13 april meer dan 50 gebruikers het slachtoffer maakte op de Bitcoin-, EVM-, Tron-, Solana- en Ripple-netwerken. Apple verwijderde de app de dag voor zijn bericht.
De drie grootste slachtoffers verloren elk zeven cijfers. Eén gebruiker verloor op 9 april 3,23 miljoen dollar aan USDT. Een tweede slachtoffer verloor op 11 april 2,079 miljoen dollar aan USDC. Een derde verloor op 8 april voor 1,95 miljoen dollar aan crypto, waaronder 20,64 BTC, 211 stETH en 70 ETH.
Een ander slachtoffer onder de gedupeerden was muzikant Garrett Dutton, professioneel bekend als G. Love, die bijna 6 BTC verloor aan de nep-app. ZachXBT identificeerde AudiA6 als de gecentraliseerde mixing-dienst die werd gebruikt om de gestolen gelden te verplaatsen.
Hij beschreef AudiA6 als een dienst die hoge kosten in rekening brengt voor het verwerken van illegaal geld, en beweerde dat gestolen gelden via Kucoin-stortingsadressen die aan die dienst zijn gekoppeld, werden verplaatst. De onderzoeker beweerde ook dat een andere cybercrimineel 3,5 miljoen dollar uit het Bitcoin Depot-incident witwaste via meer dan 25 Kucoin-stortingsadressen in de dagen voorafgaand aan de diefstal in verband met Ledger.
Op X besloot ZachXBT te reageren met zijn beschuldigingen nadat het officiële X-account van Kucoin een willekeurige A & B-stempost had geplaatst. "C) Wil je de community uitleggen waarom Kucoin een kwaadwillende actor toestond om de afgelopen week meer dan 9,5 miljoen dollar, gekoppeld aan een nep-Ledger-app, wit te wassen via meer dan 150 Kucoin-stortingsadressen?" vroeg ZachXBT. De on-chain-onderzoeker voegde toe:
"Een paar dagen daarvoor witwaste een andere kwaadwillende actor meer dan $3,5 miljoen uit het Bitcoin Depot-incident via meer dan 25 Kucoin-stortingsadressen. Jullie hebben directe uitwisselingen mogelijk gemaakt die misbruik maken van KYC en entiteiten zoals AudiA6, een gecentraliseerde mixer waarmee illegale actoren vrij kunnen opereren. Kucoin verdient het dat toezichthouders zich opnieuw op zijn activiteiten richten."
Toen het officiële X-account van Kucoin op de controverse reageerde door om een UID en ticketnummer te vragen om de zaak te onderzoeken, antwoordde ZachXBT met een foto van het identiteitsbewijs van een baby, waarmee hij suggereerde dat het 'know-your-customer' (KYC)-verificatieproces van de beurs ontoereikend is.
Kucoin had op het moment van publicatie nog niet publiekelijk gereageerd op deze specifieke beschuldigingen. Het antwoord met de UID en het ticketnummer was waarschijnlijk afkomstig van een medewerker van de klantenservice.
ZachXBT zei dat de situatie aanleiding kan geven tot een collectieve rechtszaak tegen Apple voor het hosten van de frauduleuze app. De door ZachXBT gepubliceerde adressen van de gestolen middelen strekken zich uit over meerdere blockchains, waaronder Bitcoin, Ethereum, Tron, Solana en Ripple, waarbij specifieke wallets worden geïdentificeerd die aan elk slachtoffer zijn gekoppeld.
De aanwezigheid van de nep-Ledger Live-app in de App Store van Apple riep bredere vragen op over hoe kwaadaardige software het beoordelingsproces van Apple doorstaat en hoe lang deze kan functioneren voordat deze wordt verwijderd.
De muzikant G. Love uit Philadelphia raakt bijna 6 BTC kwijt door een valse Ledger-wallet-app in de App Store van Apple
Muzikant G. Love is 5,92 BTC kwijtgeraakt door een valse Ledger-app in de Apple App Store. ZachXBT heeft het geld naar Kucoin getraceerd. read more.
Lees nu
De muzikant G. Love uit Philadelphia raakt bijna 6 BTC kwijt door een valse Ledger-wallet-app in de App Store van Apple
Muzikant G. Love is 5,92 BTC kwijtgeraakt door een valse Ledger-app in de Apple App Store. ZachXBT heeft het geld naar Kucoin getraceerd. read more.
Lees nuDe muzikant G. Love uit Philadelphia raakt bijna 6 BTC kwijt door een valse Ledger-wallet-app in de App Store van Apple
Lees nuMuzikant G. Love is 5,92 BTC kwijtgeraakt door een valse Ledger-app in de Apple App Store. ZachXBT heeft het geld naar Kucoin getraceerd. read more.
In een bericht dat werd gedeeld met Bitcoin.com News benadrukte Charles Guillemet, CTO van Ledger, dat zijn bedrijf nooit om een seed phrase zal vragen. “Ledger zal nooit om je 24 woorden vragen. Als iemand, of een app, om je 24 woorden vraagt, ga er dan vanuit dat er iets mis is,” legde Guillemet uit.
“Ledger herinnert de gemeenschap hier consequent aan. U kunt de softwareomgeving om u heen niet vertrouwen – niet uw browser, niet uw app store, niet uw desktop. Aanvallers slaan toe waar zich maar een kans voordoet, en dat geldt ook voor officiële distributieplatforms. De enige bescherming die werkt, is uw privésleutels bewaren op een speciaal hardwareapparaat met een beveiligd scherm, zoals een Ledger Signer, en uw seed phrase nooit invoeren in een app of op een website. Uw 24 woorden zijn uw wallet," voegde de CTO van het hardware wallet-bedrijf toe.
