Onchain-utredaren ZachXBT hävdade offentligt att mer än 9,5 miljoner dollar, som stulits via en bedräglig Ledger Live-app i Apples App Store, tvättats via över 150 insättningsadresser hos Kucoin.
ZachXBT hävdar att en falsk Ledger-app i Apples App Store stal 9,5 miljoner dollar från över 50 offer på en vecka
SKRIVEN AV
DELA
Huvudpunkter:
- ZachXBT kopplade ihop stölden på 9,5 miljoner dollar från en falsk Ledger Live-app i Apples App Store till över 150 Kucoin-insättningsadresser.
- Musikern G. Love förlorade nästan 6 BTC; de tre största offren förlorade vardera sju siffriga belopp mellan den 7 och 13 april.
- Apple tog slutligen bort den falska appen från App Store.
Falsk Ledger Live-app för iOS tömde konton på 9,5 miljoner dollar innan Apple tog bort den, enligt ZachXBT
ZachXBT publicerade sina fynd på tisdagen den 14 april på X och redogjorde för hur den falska appen drabbade mer än 50 användare mellan den 7 och 13 april i Bitcoin-, EVM-, Tron-, Solana- och Ripple-nätverken. Apple tog bort appen dagen före hans inlägg.
De tre största offren förlorade var och en sju siffror. En användare förlorade 3,23 miljoner dollar i USDT den 9 april. Ett andra offer förlorade 2,079 miljoner dollar i USDC den 11 april. Ett tredje förlorade kryptovaluta värd 1,95 miljoner dollar den 8 april, inklusive 20,64 BTC, 211 stETH och 70 ETH.
Ett annat offer bland de bedrägna var musikern Garrett Dutton, känd under artistnamnet G. Love, som förlorade nästan 6 BTC till den falska appen. ZachXBT identifierade AudiA6 som den centraliserade mixningstjänsten som användes för att flytta de stulna medlen.
Han beskrev AudiA6 som en tjänst som tar ut höga avgifter för att hantera olagliga pengar, och hävdade att stulna medel flyttades via Kucoins insättningsadresser kopplade till den tjänsten. Utredaren hävdade också att en annan hotaktör tvättade 3,5 miljoner dollar från Bitcoin Depot-incidenten genom mer än 25 Kucoin-insättningsadresser dagarna före den Ledger-relaterade stölden.
På X, efter att Kucoins officiella X-konto hade publicerat ett slumpmässigt A & B-röstningsinlägg, beslutade ZachXBT att svara med sina anklagelser. ”C) Vill du förklara för communityn varför Kucoin tillät en hotaktör att tvätta över 9,5 miljoner dollar kopplade till en falsk Ledger-app via över 150 Kucoin-insättningsadresser under den senaste veckan?”, frågade ZachXBT. Onchain-utredaren tillade:
”Några dagar innan det tvättade en annan hotaktör över 3,5 miljoner dollar från Bitcoin Depot-incidenten via över 25 Kucoin-insättningsadresser. Ni har möjliggjort omedelbara utbyten som missbrukar KYC och enheter som AudiA6, en centraliserad mixer där olagliga aktörer kan verka fritt. Kucoin förtjänar att tillsynsmyndigheterna återigen gräserar deras verksamhet.”
När Kucoins officiella X-konto svarade på kontroversen genom att be om ett UID och ett ärendenummer för att undersöka saken, svarade ZachXBT med en bild på ett spädbarns ID-dokument, vilket antydde att börsens verifieringsprocess för kundkännedom (KYC) är bristfällig.
Kucoin hade vid tidpunkten för publiceringen inte offentligt svarat på dessa specifika anklagelser. Svaret om UID och ärendenummer kom troligen från en kundtjänstmedarbetare.
ZachXBT sa att situationen kan utgöra grund för en grupptalan mot Apple för att ha tillhandahållit den bedrägliga appen. De stöldadresser som publicerats av ZachXBT spänner över flera blockkedjor, inklusive Bitcoin, Ethereum, Tron, Solana och Ripple, och identifierar specifika plånböcker kopplade till varje offer.
Förekomsten av den falska Ledger Live-appen i Apples App Store väckte bredare frågor om hur skadlig programvara klarar Apples granskningsprocess och hur länge den kan vara i drift innan den tas bort.
Musikern G. Love från Philadelphia förlorar nästan 6 BTC till en falsk Ledger-plånboksapp i Apples App Store
Musikern G. Love förlorade 5,92 BTC till en falsk Ledger-app i Apples App Store. ZachXBT spårade pengarna till Kucoin. read more.
Läs nu
Musikern G. Love från Philadelphia förlorar nästan 6 BTC till en falsk Ledger-plånboksapp i Apples App Store
Musikern G. Love förlorade 5,92 BTC till en falsk Ledger-app i Apples App Store. ZachXBT spårade pengarna till Kucoin. read more.
Läs nuMusikern G. Love från Philadelphia förlorar nästan 6 BTC till en falsk Ledger-plånboksapp i Apples App Store
Läs nuMusikern G. Love förlorade 5,92 BTC till en falsk Ledger-app i Apples App Store. ZachXBT spårade pengarna till Kucoin. read more.
I ett meddelande till Bitcoin.com News betonade Ledgers CTO Charles Guillemet att hans företag aldrig kommer att be om en seed-fras. ”Ledger kommer aldrig att be om dina 24 ord. Om någon, eller någon app, ber om dina 24 ord, kan du utgå från att något är fel”, förklarade Guillemet.
”Ledger påminner gemenskapen om detta hela tiden. Du kan inte lita på mjukvarumiljön omkring dig – varken din webbläsare, din appbutik eller din dator. Angripare agerar överallt där det finns en möjlighet, och det inkluderar officiella distributionsplattformar. Det enda skyddet som fungerar är att förvara dina privata nycklar på en dedikerad hårdvaruenhet med en säker skärm, som en Ledger-signaturenhet, och aldrig ange din seed-fras i någon app eller på någon webbplats. Dina 24 ord är din plånbok”, tillade CTO:n för hårdvaruplånboksföretaget.
