ZachXBT сообщает, что поддельное приложение Ledger в Apple App Store похитило 9,5 млн долларов у более чем 50 жертв за одну неделю

Основные выводы:

• ZachXBT связал кражу 9,5 млн долларов из поддельного приложения Ledger Live в App Store с более чем 150 адресами для пополнения счетов на Kucoin.
• Музыкант G. Love потерял почти 6 BTC; три крупнейших жертвы потеряли по 7 цифр с 7 по 13 апреля.
• Apple в конечном итоге удалила поддельное приложение из App Store.

Поддельное приложение Ledger Live для iOS похитило 9,5 млн долларов, прежде чем Apple удалила его, обнаружил ZachXBT

ZachXBT опубликовал свои выводы во вторник, 14 апреля, на X, рассказав о том, как поддельное приложение обмануло более 50 пользователей в период с 7 по 13 апреля в сетях Bitcoin, EVM, Tron, Solana и Ripple. Apple удалила приложение за день до его публикации.

Три крупнейшие жертвы потеряли по семь цифр. Один пользователь потерял 3,23 млн долларов в USDT 9 апреля. Вторая жертва потеряла 2,079 млн долларов в USDC 11 апреля. Третья потеряла криптовалюту на сумму 1,95 млн долларов 8 апреля, включая 20,64 BTC, 211 stETH и 70 ETH.

Еще одной жертвой мошенников стал музыкант Гарретт Даттон, известный под псевдонимом G. Love, который потерял почти 6 BTC из-за поддельного приложения. ZachXBT определил AudiA6 как централизованный миксинг-сервис, использовавшийся для перемещения похищенных средств.

Он описал AudiA6 как сервис, взимающий высокие комиссии за обработку незаконных денег, и заявил, что похищенные средства прошли через адреса депозитов Kucoin, связанные с этим сервисом. Исследователь также утверждал, что отдельный злоумышленник отмыл 3,5 миллиона долларов, полученных в результате инцидента с Bitcoin Depot, через более чем 25 адресов депозитов Kucoin за несколько дней до кражи, связанной с Ledger.

В X, после того как официальный аккаунт Kucoin в X опубликовал случайный пост с голосованием A и B, ZachXBT решил ответить своими обвинениями. «C) Хотите объяснить сообществу, почему Kucoin позволил злоумышленнику отмыть более 9,5 млн долларов, связанных с поддельным приложением Ledger, через более 150 адресов пополнения Kucoin за последнюю неделю?» — спросил ZachXBT. Исследователь ончейн-транзакций добавил:

«За несколько дней до этого другой злоумышленник отмыл более 3,5 млн долларов, полученных в результате инцидента с Bitcoin Depot, через более 25 адресов пополнения Kucoin. Вы позволили мгновенным биржам злоупотреблять KYC и таким организациям, как AudiA6 — централизованному миксеру, позволяющему незаконным субъектам действовать свободно. Kucoin заслуживает того, чтобы регулирующие органы вновь занялись его деятельностью».

Когда официальный аккаунт Kucoin в X отреагировал на эту полемику, запросив UID и номер заявки для рассмотрения вопроса, ZachXBT ответил фотографией удостоверения личности младенца, намекая на то, что процесс проверки «знай своего клиента» (KYC) биржи является неадекватным.

На момент публикации Kucoin публично не ответил на эти конкретные обвинения. Ответ с просьбой предоставить UID и номер заявки, вероятно, был отправлен сотрудником службы поддержки.

ZachXBT заявил, что эта ситуация может стать основанием для коллективного иска против Apple за размещение мошеннического приложения. Адреса, с которых были похищены средства, опубликованные ZachXBT, охватывают несколько блокчейнов, включая Bitcoin, Ethereum, Tron, Solana и Ripple, и позволяют идентифицировать конкретные кошельки, связанные с каждой жертвой.

Наличие поддельного приложения Ledger Live в App Store Apple вызвало более широкие вопросы о том, как вредоносное ПО проходит процесс проверки Apple и как долго оно может работать до удаления.

В заметке, переданной Bitcoin.com News, технический директор Ledger Чарльз Гийемет подчеркнул, что его компания никогда не будет запрашивать семенную фразу. «Ledger никогда не будет спрашивать ваши 24 слова. Если кто-либо или какое-либо приложение запрашивает ваши 24 слова, считайте, что что-то не так», — пояснил Гийемет.

«Ledger постоянно напоминает об этом сообществу. Вы не можете доверять окружающей вас программной среде — ни браузеру, ни магазину приложений, ни рабочему столу. Злоумышленники действуют везде, где появляется возможность, и это включает в себя официальные платформы распространения. Единственная надежная защита — хранить ваши приватные ключи на специальном аппаратном устройстве с защищенным экраном, таком как Ledger Signer, и никогда не вводить вашу семенную фразу ни в одно приложение или на веб-сайт. Ваши 24 слова — это ваш кошелек», — добавил технический директор компании-производителя аппаратных кошельков.