Onchain-etterforsker ZachXBT hevdet offentlig at mer enn 9,5 millioner dollar stjålet gjennom en falsk Ledger Live-app på Apples App Store ble hvitvasket via over 150 Kucoin-innskuddsadresser.
ZachXBT sier at en falsk Ledger-app i Apple App Store stjal 9,5 millioner dollar fra over 50 ofre på én uke
SKREVET AV
DEL
Viktige punkter:
- ZachXBT knyttet 9,5 millioner dollar i tyveri fra en falsk Ledger Live-app i Apples App Store til angivelig 150+ Kucoin-innskuddsadresser.
- Musikeren G. Love mistet nesten 6 BTC; de 3 største ofrene mistet hver et syvsifret beløp mellom 7. og 13. april.
- Apple endte med å fjerne den falske applikasjonen fra App Store.
Falsk Ledger Live iOS-app tappet 9,5 millioner dollar før Apple fjernet den, finner ZachXBT
ZachXBT publiserte funnene sine tirsdag 14. april på X, der han redegjorde for hvordan den falske appen rammet mer enn 50 brukere mellom 7. og 13. april på tvers av Bitcoin-, EVM-, Tron-, Solana- og Ripple-nettverk. Apple fjernet appen dagen før innlegget hans.
De tre største ofrene mistet hver et syvsifret beløp. Én bruker mistet 3,23 millioner dollar i USDT 9. april. Et annet offer mistet 2,079 millioner dollar i USDC 11. april. Et tredje mistet kryptovaluta til en verdi av 1,95 millioner dollar 8. april, inkludert 20,64 BTC, 211 stETH og 70 ETH.
Et annet offer blant de svindlede var musikeren Garrett Dutton, profesjonelt kjent som G. Love, som mistet nesten 6 BTC til den falske appen. ZachXBT identifiserte AudiA6 som den sentraliserte miksetjenesten som ble brukt til å flytte de stjålne midlene.
Han beskrev AudiA6 som en tjeneste som tar høye gebyrer for å behandle ulovlige penger, og hevdet at stjålne midler ble flyttet gjennom Kucoin-innskuddsadresser knyttet til den tjenesten. Etterforskeren påsto også at en separat trusselaktør hvitvasket 3,5 millioner dollar fra Bitcoin Depot-hendelsen gjennom mer enn 25 Kucoin-innskuddsadresser i dagene før Ledger-relaterte tyveriet.
På X, etter at Kucoins offisielle X-konto la ut et tilfeldig A- og B-avstemningsinnlegg, valgte ZachXBT å svare med anklagene sine. «C) Vil dere forklare fellesskapet hvorfor Kucoin lot en trusselaktør hvitvaske 9,5 millioner dollar+ knyttet til en falsk Ledger-app via 150+ Kucoin-innskuddsadresser den siste uken?» ZachXBT spurte. Onchain-etterforskeren la til:
«Noen dager før det hvitvasket en annen trusselaktør 3,5 millioner dollar+ fra Bitcoin Depot-hendelsen via 25+ Kucoin-innskuddsadresser. Dere har muliggjort øyeblikkelige vekslinger som misbruker KYC og enheter som AudiA6, en sentralisert mikser, slik at kriminelle aktører kan operere fritt. Kucoin fortjener at tilsynsmyndigheter nok en gang går etter virksomheten deres.»
Da Kucoins offisielle X-konto svarte på kontroversen ved å be om en UID og et saksnummer for å undersøke saken, svarte ZachXBT med et bilde av et spedbarns ID-dokument, noe som antydet at børsens kundekontroll (KYC)-verifiseringsprosess er utilstrekkelig.
Kucoin hadde ikke offentlig besvart disse spesifikke anklagene på publiseringstidspunktet. Svaret om UID og saksnummer kom sannsynligvis fra en kundeservicemedarbeider.
ZachXBT sa at situasjonen kan gi grunnlag for et gruppesøksmål mot Apple for å ha vært vert for den svindelaktige appen. Tyveriadresser publisert av ZachXBT spenner over flere blokkjeder, inkludert Bitcoin, Ethereum, Tron, Solana og Ripple, og identifiserer spesifikke lommebøker knyttet til hvert offer.
Tilstedeværelsen av den falske Ledger Live-appen på Apples App Store reiste bredere spørsmål om hvordan ondsinnet programvare slipper gjennom Apples godkjenningsprosess og hvor lenge den kan operere før den fjernes.
Philadelphia-musikeren G. Love mister nesten 6 BTC til falsk Ledger-lommebokapp i Apples App Store
Musikeren G. Love mistet 5,92 BTC til en falsk Ledger-app i Apple App Store. ZachXBT sporet midlene til Kucoin. read more.
Les nå
Philadelphia-musikeren G. Love mister nesten 6 BTC til falsk Ledger-lommebokapp i Apples App Store
Musikeren G. Love mistet 5,92 BTC til en falsk Ledger-app i Apple App Store. ZachXBT sporet midlene til Kucoin. read more.
Les nåPhiladelphia-musikeren G. Love mister nesten 6 BTC til falsk Ledger-lommebokapp i Apples App Store
Les nåMusikeren G. Love mistet 5,92 BTC til en falsk Ledger-app i Apple App Store. ZachXBT sporet midlene til Kucoin. read more.
I en merknad delt med Bitcoin.com News understreket Ledgers CTO Charles Guillemet at selskapet hans aldri vil be om en seed phrase. «Ledger vil aldri be om dine 24 ord. Hvis noen, eller en hvilken som helst app, ber om dine 24 ord, anta at noe er galt», forklarte Guillemet.
«Ledger minner konsekvent fellesskapet om dette. Du kan ikke stole på programvaremiljøet rundt deg – ikke nettleseren din, ikke appbutikken din, ikke PC-en din. Angripere opererer der muligheten finnes, og det inkluderer offisielle distribusjonsplattformer. Den eneste beskyttelsen som holder, er å holde de private nøklene dine på en dedikert maskinvareenhet med en sikker skjerm, som en Ledger-signer, og aldri skrive inn seed phrase i noen app eller på noen nettside. Dine 24 ord er lommeboken din», la maskinvarelommebok-selskapets CTO til.
