Preiskovalec verige blokov ZachXBT je javno trdil, da je bilo več kot 9,5 milijona dolarjev, ukradenih prek lažne aplikacije Ledger Live v App Store-u podjetja Apple, opranih prek več kot 150 naslovov za nakazila na borzi Kucoin.
ZachXBT trdi, da je ponarejena aplikacija Ledger v Apple App Storeju v enem tednu ukradla 9,5 milijona dolarjev več kot 50 žrtvam
NAPISAL
DELI
Ključne ugotovitve:
- ZachXBT je povezal krajo 9,5 milijona dolarjev iz lažne aplikacije Ledger Live v Apple App Store z domnevno več kot 150 naslovi za nakazila na Kucoin.
- Glasbenik G. Love je izgubil skoraj 6 BTC; tri največje žrtve so med 7. in 13. aprilom izgubile vsaka po 7-mestno vsoto.
- Apple je na koncu lažno aplikacijo odstranil iz App Store.
Lažna aplikacija Ledger Live za iOS je izčrpala 9,5 milijona dolarjev, preden jo je Apple umaknil, ugotavlja ZachXBT
ZachXBT je svoje ugotovitve objavil v torek, 14. aprila, na X, kjer je opisal, kako je lažna aplikacija med 7. in 13. aprilom oškodovala več kot 50 uporabnikov v omrežjih Bitcoin, EVM, Tron, Solana in Ripple. Apple je aplikacijo odstranil dan pred njegovo objavo.
Tri največje žrtve so vsaka izgubile sedemmestne zneske. En uporabnik je 9. aprila izgubil 3,23 milijona dolarjev v USDT. Druga žrtev je 11. aprila izgubila 2,079 milijona dolarjev v USDC. Tretja je 8. aprila izgubila kriptovalute v vrednosti 1,95 milijona dolarjev, vključno z 20,64 BTC, 211 stETH in 70 ETH.
Med opeharjenimi je bila tudi glasbenik Garrett Dutton, poklicno znan kot G. Love, ki je zaradi lažne aplikacije izgubil skoraj 6 BTC. ZachXBT je identificiral AudiA6 kot centralizirano mešalno storitev, ki se je uporabljala za premikanje ukradenih sredstev.
AudiA6 je opisal kot storitev, ki zaračunava visoke provizije za obdelavo nezakonitega denarja, in trdil, da so ukradena sredstva potovala prek naslovov za nakazila na Kucoin, povezanih s to storitvijo. Preiskovalec je trdil tudi, da je drug storilec v dneh pred krajo, povezano z Ledgerjem, prepral 3,5 milijona dolarjev iz incidenta Bitcoin Depot prek več kot 25 naslovov za nakazila na Kucoin.
Na X, potem ko je uradni račun Kucoina na X objavil naključno objavo z glasovanjem A in B, se je ZachXBT odločil odgovoriti s svojimi obtožbami. »C) Želite skupnosti pojasniti, zakaj je Kucoin v zadnjem tednu omogočil akterju grožnje, da je prek več kot 150 naslovov za nakazila Kucoina opral več kot 9,5 milijona dolarjev, povezanih z lažno aplikacijo Ledger?« je vprašal ZachXBT. Preiskovalec verige je dodal:
»Nekaj dni pred tem je drug storilec prepral več kot 3,5 milijona dolarjev iz incidenta Bitcoin Depot prek več kot 25 naslovov za nakazila Kucoina. Omogočili ste takojšnje menjave, ki zlorabljajo KYC, in subjektom, kot je AudiA6, centraliziranemu mešalniku, da nezakoniti akterji prosto delujejo. Kucoin si zasluži, da se regulativni organi ponovno lotijo njegovega poslovanja.«
Ko je uradni račun Kucoina na X odgovoril na polemiko s prošnjo za UID in številko zahtevka, da bi preučili zadevo, je ZachXBT odgovoril s fotografijo osebnega dokumenta dojenčka, s čimer je namigoval, da je postopek preverjanja »poznaj svojega stranko« (KYC) borze nezadosten.
Kucoin do trenutka objave ni javno odgovoril na te konkretne obtožbe. Odgovor glede UID-ja in številke vstopnice je verjetno prišel od predstavnika službe za stranke.
ZachXBT je dejal, da bi ta situacija lahko bila podlaga za skupinsko tožbo proti Appleu zaradi gostovanja lažne aplikacije. Naslovi za krajo, ki jih je objavil ZachXBT, zajemajo več blokovnih verig, vključno z Bitcoinom, Ethereumom, Tronom, Solano in Rippleom, ter identificirajo konkretne denarnice, povezane z vsako žrtvijo.
Prisotnost lažne aplikacije Ledger Live v Apple App Store je sprožila širša vprašanja o tem, kako zlonamerna programska oprema prestane Appleov pregledni postopek in kako dolgo lahko deluje, preden jo odstranijo.
Filadelfijski glasbenik G. Love je v App Storeju izgubil skoraj 6 BTC zaradi lažne aplikacije za denarnico Ledger
Glasbenik G. Love je v Apple App Storeju zaradi lažne aplikacije Ledger izgubil 5,92 BTC. ZachXBT je sledil denarju do borze Kucoin. read more.
Preberi zdaj
Filadelfijski glasbenik G. Love je v App Storeju izgubil skoraj 6 BTC zaradi lažne aplikacije za denarnico Ledger
Glasbenik G. Love je v Apple App Storeju zaradi lažne aplikacije Ledger izgubil 5,92 BTC. ZachXBT je sledil denarju do borze Kucoin. read more.
Preberi zdajFiladelfijski glasbenik G. Love je v App Storeju izgubil skoraj 6 BTC zaradi lažne aplikacije za denarnico Ledger
Preberi zdajGlasbenik G. Love je v Apple App Storeju zaradi lažne aplikacije Ledger izgubil 5,92 BTC. ZachXBT je sledil denarju do borze Kucoin. read more.
V sporočilu, posredovanem Bitcoin.com News, je tehnični direktor podjetja Ledger Charles Guillemet poudaril, da njegovo podjetje nikoli ne bo zahtevalo izhodiščne fraze. »Ledger nikoli ne bo zahteval vaših 24 besed. Če kdor koli ali katera koli aplikacija zahteva vaših 24 besed, domnevajte, da je nekaj narobe,« je pojasnil Guillemet.<
<
»Ledger o tem redno opozarja skupnost. Ne morete zaupati programskemu okolju okoli vas – ne brskalniku, ne trgovini z aplikacijami, ne namizju. Napadalci delujejo povsod, kjer se pojavi priložnost, in to vključuje tudi uradne distribucijske platforme. Edina zanesljiva zaščita je, da svoje zasebne ključe hranite na namenski strojni napravi z varovanim zaslonom, kot je Ledger Signer, in da svoje seed fraze nikoli ne vnesete v nobeno aplikacijo ali spletno stran. Vaših 24 besed je vaš denarnik,“ je dodal tehnični direktor podjetja za strojne denarnice.
