Vyšetrovateľ blockchainu ZachXBT verejne uviedol, že viac ako 9,5 milióna dolárov, ktoré boli odcudzené prostredníctvom podvodnej aplikácie Ledger Live v obchode Apple App Store, bolo vypraných cez viac ako 150 vkladových adries burzy Kucoin.
Podľa ZachXBT falošná aplikácia Ledger v obchode Apple App Store ukradla za jeden týždeň 9,5 milióna dolárov od viac ako 50 obetí
NAPÍSAL
ZDIEĽAŤ
Kľúčové body:
- ZachXBT spojil krádež 9,5 milióna dolárov z falošnej aplikácie Ledger Live v obchode Apple App Store s údajnými viac ako 150 adresami na vklady v Kucoine.
- Hudobník G. Love prišiel o takmer 6 BTC; tri najväčšie obete stratili v období od 7. do 13. apríla sumy v siedmich číslach.
- Spoločnosť Apple nakoniec falošnú aplikáciu z App Store odstránila.
Falošná aplikácia Ledger Live pre iOS ukradla 9,5 milióna dolárov, než ju Apple stiahol, zistil ZachXBT
ZachXBT zverejnil svoje zistenia v utorok 14. apríla na X, kde vysvetlil, ako falošná aplikácia poškodila viac ako 50 používateľov v období od 7. do 13. apríla v sieťach Bitcoin, EVM, Tron, Solana a Ripple. Apple aplikáciu odstránil deň pred zverejnením jeho príspevku.
Tri najväčšie obete stratili každá sedemcifernú sumu. Jeden používateľ stratil 9. apríla 3,23 milióna USD v USDT. Druhá obeť stratila 11. apríla 2,079 milióna USD v USDC. Tretia obeť stratila 8. apríla kryptomeny v hodnote 1,95 milióna USD, vrátane 20,64 BTC, 211 stETH a 70 ETH.
Ďalšou obeťou medzi podvedenými bol hudobník Garrett Dutton, známy pod umeleckým menom G. Love, ktorý vďaka falošnej aplikácii prišiel o takmer 6 BTC. ZachXBT identifikoval AudiA6 ako centralizovanú službu na zmiešavanie, ktorá sa používala na presun ukradnutých prostriedkov.
AudiA6 opísal ako službu, ktorá účtuje vysoké poplatky za spracovanie nelegálnych peňazí, a tvrdil, že ukradnuté prostriedky prešli cez vkladové adresy Kucoin spojené s touto službou. Vyšetrovateľ tiež tvrdil, že iný útočník vypral 3,5 milióna dolárov z incidentu Bitcoin Depot cez viac ako 25 vkladových adries Kucoin v dňoch pred krádežou súvisiacou s Ledgerom.
Na X, potom, čo oficiálny účet Kucoin na X zverejnil náhodný príspevok s hlasovaním A & B, sa ZachXBT rozhodol reagovať so svojimi obvineniami. „C) Chcete vysvetliť komunite, prečo Kucoin umožnil útočníkovi vyprať viac ako 9,5 milióna dolárov spojených s falošnou aplikáciou Ledger cez viac ako 150 vkladových adries Kucoin za posledný týždeň?“ opýtal sa ZachXBT. Vyšetrovateľ on-chain dodal:
„Niekoľko dní predtým iný útočník vypral viac ako 3,5 milióna dolárov z incidentu s Bitcoin Depot prostredníctvom viac ako 25 vkladových adries Kucoin. Umožnili ste okamžité výmeny zneužívajúce KYC a subjekty ako AudiA6, centralizovaný mixér, aby nelegálni aktéri mohli voľne pôsobiť. Kucoin si zaslúži, aby sa regulátori opäť zamerali na jeho činnosť.“
Keď oficiálny účet Kucoinu na X reagoval na kontroverziu požiadaním o UID a číslo lístka na prešetrenie veci, ZachXBT odpovedal fotografiou identifikačného dokladu dieťaťa, čím naznačil, že proces overovania „poznaj svojho zákazníka“ (KYC) burzy je nedostatočný.
Kucoin do času publikácie verejne nereagoval na tieto konkrétne obvinenia. Odpoveď týkajúca sa UID a čísla lístka pravdepodobne pochádzala od pracovníka zákazníckeho servisu.
ZachXBT uviedol, že táto situácia môže poskytnúť dôvody na podanie hromadnej žaloby proti spoločnosti Apple za hosťovanie podvodnej aplikácie. Adresy, z ktorých došlo k krádežiam, zverejnené ZachXBT, sa týkajú viacerých blockchainov, vrátane Bitcoin, Ethereum, Tron, Solana a Ripple, a identifikujú konkrétne peňaženky spojené s každou obeťou.
Prítomnosť falošnej aplikácie Ledger Live v obchode Apple App Store vyvolala širšie otázky o tom, ako škodlivý softvér prechádza procesom kontroly spoločnosti Apple a ako dlho môže fungovať pred odstránením.
Filadelfský hudobník G. Love prišiel o takmer 6 BTC kvôli falošnej aplikácii peňaženky Ledger v obchode Apple App Store
Hudobník G. Love prišiel o 5,92 BTC kvôli falošnej aplikácii Ledger v obchode Apple App Store. ZachXBT vystopoval prostriedky až na burzu Kucoin. read more.
Čítať teraz
Filadelfský hudobník G. Love prišiel o takmer 6 BTC kvôli falošnej aplikácii peňaženky Ledger v obchode Apple App Store
Hudobník G. Love prišiel o 5,92 BTC kvôli falošnej aplikácii Ledger v obchode Apple App Store. ZachXBT vystopoval prostriedky až na burzu Kucoin. read more.
Čítať terazFiladelfský hudobník G. Love prišiel o takmer 6 BTC kvôli falošnej aplikácii peňaženky Ledger v obchode Apple App Store
Čítať terazHudobník G. Love prišiel o 5,92 BTC kvôli falošnej aplikácii Ledger v obchode Apple App Store. ZachXBT vystopoval prostriedky až na burzu Kucoin. read more.
V poznámke zdieľanej s Bitcoin.com News technický riaditeľ spoločnosti Ledger Charles Guillemet zdôraznil, že jeho firma nikdy nebude žiadať o seed frázu. „Ledger vás nikdy nebude žiadať o vašich 24 slov. Ak niekto alebo akákoľvek aplikácia žiada o vašich 24 slov, predpokladajte, že niečo nie je v poriadku,“ vysvetlil Guillemet.
„Ledger na to komunitu neustále upozorňuje. Nemôžete veriť softvérovému prostrediu okolo vás – ani prehliadaču, ani obchodu s aplikáciami, ani počítaču. Útočníci pôsobia všade tam, kde sa naskytne príležitosť, a to zahŕňa aj oficiálne distribučné platformy. Jedinou spoľahlivou ochranou je uchovávanie vašich súkromných kľúčov na špecializovanom hardvérovom zariadení s bezpečnou obrazovkou, ako je napríklad podpisovač Ledger, a nikdy nezadávanie vašej seed frázy do žiadnej aplikácie ani na žiadnu webovú stránku. Vašich 24 slov je vaša peňaženka,“ dodal technický riaditeľ spoločnosti vyrábajúcej hardvérové peňaženky.
