Badacz łańcucha bloków ZachXBT publicznie stwierdził, że ponad 9,5 mln dolarów skradzionych za pośrednictwem fałszywej aplikacji Ledger Live w sklepie Apple App Store zostało wypranych przez ponad 150 adresów wpłat platformy Kucoin.
ZachXBT twierdzi, że fałszywa aplikacja Ledger w sklepie Apple App Store wyłudziła w ciągu tygodnia 9,5 mln dolarów od ponad 50 ofiar
NAPISAŁ
UDOSTĘPNIJ
Najważniejsze wnioski:
- ZachXBT powiązał kradzież 9,5 mln dolarów z fałszywej aplikacji Ledger Live w Apple App Store z ponad 150 adresami depozytowymi Kucoin.
- Muzyk G. Love stracił prawie 6 BTC; trzy największe ofiary straciły po siedmiocyfrowe kwoty w okresie od 7 do 13 kwietnia.
- Apple ostatecznie usunęło fałszywą aplikację ze sklepu App Store.
Fałszywa aplikacja Ledger Live na iOS wyczerpała 9,5 mln dolarów, zanim Apple ją usunęło, jak odkrył ZachXBT
ZachXBT opublikował swoje ustalenia we wtorek, 14 kwietnia, na X, opisując, w jaki sposób fałszywa aplikacja okradła ponad 50 użytkowników w dniach 7–13 kwietnia w sieciach Bitcoin, EVM, Tron, Solana i Ripple. Apple usunęło aplikację dzień przed opublikowaniem jego wpisu.
Trzej najwięksi poszkodowani stracili po siedmiocyfrowe kwoty. Jeden użytkownik stracił 3,23 mln USDT 9 kwietnia. Druga ofiara straciła 2,079 mln USDC 11 kwietnia. Trzecia straciła kryptowaluty o wartości 1,95 mln USD 8 kwietnia, w tym 20,64 BTC, 211 stETH i 70 ETH.
Kolejną ofiarą oszustwa był muzyk Garrett Dutton, znany zawodowo jako G. Love, który stracił prawie 6 BTC na fałszywej aplikacji. ZachXBT zidentyfikował AudiA6 jako scentralizowaną usługę mieszania służącą do przenoszenia skradzionych środków.
Opisał AudiA6 jako usługę, która pobiera wysokie opłaty za przetwarzanie nielegalnych środków, i twierdził, że skradzione środki przepływały przez adresy depozytowe Kucoin powiązane z tą usługą. Śledczy twierdził również, że inny sprawca wyprał 3,5 miliona dolarów z incydentu związanego z Bitcoin Depot poprzez ponad 25 adresów depozytowych Kucoin w dniach poprzedzających kradzież związaną z Ledgerem.
Na X, po tym jak oficjalne konto Kucoin opublikowało przypadkowy post z głosowaniem A i B, ZachXBT postanowił odpowiedzieć swoimi oskarżeniami. „C) Chcesz wyjaśnić społeczności, dlaczego Kucoin pozwolił podmiotowi na pranie ponad 9,5 mln dolarów powiązanych z fałszywą aplikacją Ledger poprzez ponad 150 adresów depozytowych Kucoin w ciągu ostatniego tygodnia?” – zapytał ZachXBT. Śledczy zajmujący się łańcuchem bloków dodał:
„Kilka dni wcześniej inny sprawca wyprał ponad 3,5 mln dolarów z incydentu Bitcoin Depot za pośrednictwem ponad 25 adresów depozytowych Kucoin. Umożliwiliście natychmiastowe wymiany, nadużywając KYC i podmiotów takich jak AudiA6, scentralizowanego miksera, dzięki któremu nielegalni gracze mogą działać swobodnie. Kucoin zasługuje na to, by organy regulacyjne ponownie zajęły się jego działalnością”.
Kiedy oficjalne konto Kucoin na X odpowiedziało na kontrowersje, prosząc o podanie identyfikatora UID i numeru zgłoszenia w celu zbadania sprawy, ZachXBT odpowiedział zdjęciem dokumentu tożsamości niemowlęcia, sugerując, że proces weryfikacji „poznaj swojego klienta” (KYC) na giełdzie jest niewystarczający.
W momencie publikacji Kucoin nie odpowiedział publicznie na te konkretne zarzuty. Odpowiedź dotycząca numeru UID i numeru zgłoszenia pochodziła prawdopodobnie od pracownika obsługi klienta.
ZachXBT stwierdził, że sytuacja ta może stanowić podstawę do wniesienia pozwu zbiorowego przeciwko Apple za udostępnianie fałszywej aplikacji. Adresy, z których dokonano kradzieży, opublikowane przez ZachXBT, obejmują wiele łańcuchów bloków, w tym Bitcoin, Ethereum, Tron, Solana i Ripple, identyfikując konkretne portfele powiązane z każdą ofiarą.
Obecność fałszywej aplikacji Ledger Live w App Store firmy Apple wywołała szersze pytania o to, w jaki sposób złośliwe oprogramowanie przechodzi proces weryfikacji Apple i jak długo może działać przed usunięciem.
Muzyk z Filadelfii, G. Love, stracił prawie 6 BTC przez fałszywą aplikację portfela Ledger dostępną w sklepie Apple App Store
Muzyk G. Love stracił 5,92 BTC w wyniku oszustwa związanego z fałszywą aplikacją Ledger dostępną w sklepie Apple App Store. ZachXBT namierzył środki na platformie Kucoin. read more.
Czytaj teraz
Muzyk z Filadelfii, G. Love, stracił prawie 6 BTC przez fałszywą aplikację portfela Ledger dostępną w sklepie Apple App Store
Muzyk G. Love stracił 5,92 BTC w wyniku oszustwa związanego z fałszywą aplikacją Ledger dostępną w sklepie Apple App Store. ZachXBT namierzył środki na platformie Kucoin. read more.
Czytaj terazMuzyk z Filadelfii, G. Love, stracił prawie 6 BTC przez fałszywą aplikację portfela Ledger dostępną w sklepie Apple App Store
Czytaj terazMuzyk G. Love stracił 5,92 BTC w wyniku oszustwa związanego z fałszywą aplikacją Ledger dostępną w sklepie Apple App Store. ZachXBT namierzył środki na platformie Kucoin. read more.
W notatce udostępnionej serwisowi Bitcoin.com News dyrektor techniczny firmy Ledger, Charles Guillemet, podkreślił, że jego firma nigdy nie poprosi o frazę seed. „Ledger nigdy nie poprosi o Twoje 24 słowa. Jeśli ktokolwiek lub jakakolwiek aplikacja prosi o Twoje 24 słowa, załóż, że coś jest nie tak” – wyjaśnił Guillemet.
„Ledger konsekwentnie przypomina o tym społeczności. Nie można ufać otaczającemu nas środowisku oprogramowania – ani przeglądarce, ani sklepowi z aplikacjami, ani komputerowi. Atakujący działają wszędzie tam, gdzie pojawia się okazja, w tym na oficjalnych platformach dystrybucyjnych. Jedyną skuteczną ochroną jest przechowywanie kluczy prywatnych na dedykowanym urządzeniu sprzętowym z bezpiecznym ekranem, takim jak Ledger Signer, oraz nigdy nie wprowadzanie frazy seed do żadnej aplikacji ani strony internetowej. Twoje 24 słowa to Twój portfel” – dodał dyrektor techniczny firmy produkującej portfele sprzętowe.
