O investigador on-chain ZachXBT alegou publicamente que mais de US$ 9,5 milhões roubados por meio de um aplicativo fraudulento do Ledger Live na App Store da Apple foram lavados através de mais de 150 endereços de depósito da Kucoin.
ZachXBT afirma que um aplicativo falso de contabilidade na App Store da Apple roubou US$ 9,5 milhões de mais de 50 vítimas em uma semana
ESCRITO POR
PARTILHAR
Pontos principais:
- ZachXBT relacionou US$ 9,5 milhões em roubos de um aplicativo falso do Ledger Live na App Store da Apple a mais de 150 endereços de depósito da Kucoin.
- O músico G. Love perdeu quase 6 BTC; as três maiores vítimas perderam, cada uma, valores na casa dos sete dígitos entre 7 e 13 de abril.
- A Apple acabou removendo o aplicativo falso da App Store.
Aplicativo falso do Ledger Live para iOS drenou US$ 9,5 milhões antes de ser retirado pela Apple, segundo ZachXBT
ZachXBT publicou suas descobertas na terça-feira, 14 de abril, no X, detalhando como o aplicativo falso vitimou mais de 50 usuários entre 7 e 13 de abril nas redes Bitcoin, EVM, Tron, Solana e Ripple. A Apple removeu o aplicativo um dia antes de sua publicação.
As três maiores vítimas perderam, cada uma, valores na casa dos sete dígitos. Um usuário perdeu US$ 3,23 milhões em USDT em 9 de abril. Uma segunda vítima perdeu US$ 2,079 milhões em USDC em 11 de abril. Uma terceira perdeu US$ 1,95 milhão em criptomoedas em 8 de abril, incluindo 20,64 BTC, 211 stETH e 70 ETH.
Outra vítima entre os fraudados foi o músico Garrett Dutton, conhecido profissionalmente como G. Love, que perdeu quase 6 BTC para o aplicativo falso. ZachXBT identificou o AudiA6 como o serviço de mistura centralizado usado para movimentar os fundos roubados.
Ele descreveu o AudiA6 como um serviço que cobra altas taxas para processar dinheiro ilícito e alegou que os fundos roubados passaram por endereços de depósito da Kucoin conectados a esse serviço. O investigador também afirmou que um agente mal-intencionado separado lavou US$ 3,5 milhões do incidente do Bitcoin Depot por meio de mais de 25 endereços de depósito da Kucoin nos dias que antecederam o roubo relacionado à Ledger.
No X, depois que a conta oficial da Kucoin no X postou uma enquete aleatória A & B, ZachXBT decidiu responder com suas acusações. “C) Quer explicar à comunidade por que a Kucoin permitiu que um agente mal-intencionado lavasse mais de US$ 9,5 milhões ligados a um aplicativo falso da Ledger por meio de mais de 150 endereços de depósito da Kucoin na semana passada?”, perguntou ZachXBT. O investigador on-chain acrescentou:
“Alguns dias antes disso, outro agente mal-intencionado lavou mais de US$ 3,5 milhões do incidente com o Bitcoin Depot por meio de mais de 25 endereços de depósito da Kucoin. Vocês permitiram trocas instantâneas abusando do KYC e de entidades como a AudiA6, um mixer centralizado para que agentes ilícitos operem livremente. A Kucoin merece que os reguladores voltem a investigar seus negócios.”
Quando a conta oficial da Kucoin no X respondeu à controvérsia solicitando um UID e um número de ticket para investigar o assunto, ZachXBT respondeu com uma foto do documento de identidade de uma criança, sugerindo que o processo de verificação “conheça seu cliente” (KYC) da corretora é inadequado.
A Kucoin não havia respondido publicamente a essas alegações específicas até o momento da publicação. A resposta sobre o UID e o número do ticket provavelmente veio de um agente de atendimento ao cliente.
ZachXBT disse que a situação pode servir de base para uma ação coletiva contra a Apple por hospedar o aplicativo fraudulento. Os endereços de roubo publicados por ZachXBT abrangem várias blockchains, incluindo Bitcoin, Ethereum, Tron, Solana e Ripple, identificando carteiras específicas conectadas a cada vítima.
A presença do aplicativo falso Ledger Live na App Store da Apple levantou questões mais amplas sobre como softwares maliciosos passam pelo processo de revisão da Apple e por quanto tempo podem operar antes de serem removidos.
O músico de Filadélfia G. Love perde quase 6 BTC devido a um aplicativo falso da carteira Ledger na App Store da Apple
O músico G. Love perdeu 5,92 BTC devido a um aplicativo falso da Ledger na App Store da Apple. ZachXBT rastreou os fundos até a Kucoin. read more.
Leia agora
O músico de Filadélfia G. Love perde quase 6 BTC devido a um aplicativo falso da carteira Ledger na App Store da Apple
O músico G. Love perdeu 5,92 BTC devido a um aplicativo falso da Ledger na App Store da Apple. ZachXBT rastreou os fundos até a Kucoin. read more.
Leia agoraO músico de Filadélfia G. Love perde quase 6 BTC devido a um aplicativo falso da carteira Ledger na App Store da Apple
Leia agoraO músico G. Love perdeu 5,92 BTC devido a um aplicativo falso da Ledger na App Store da Apple. ZachXBT rastreou os fundos até a Kucoin. read more.
Em uma nota compartilhada com o Bitcoin.com News, o diretor de tecnologia (CTO) da Ledger, Charles Guillemet, enfatizou que sua empresa nunca solicitará uma frase-semente. “A Ledger nunca pedirá suas 24 palavras. Se alguém, ou qualquer aplicativo, estiver pedindo suas 24 palavras, presuma que algo está errado”, explicou Guillemet.
“A Ledger lembra constantemente a comunidade sobre isso. Você não pode confiar no ambiente de software ao seu redor – nem no seu navegador, nem na sua loja de aplicativos, nem no seu desktop. Os invasores agem sempre que há uma oportunidade, e isso inclui plataformas oficiais de distribuição. A única proteção eficaz é manter suas chaves privadas em um dispositivo de hardware dedicado com uma tela segura, como um Ledger Signer, e nunca inserir sua frase-semente em nenhum aplicativo ou site. Suas 24 palavras são a sua carteira”, acrescentou o CTO da empresa de carteiras de hardware.
