ZachXBT กล่าวว่าแอป Ledger ปลอมบน Apple App Store ขโมยเงิน 9.5 ล้านดอลลาร์จากเหยื่อกว่า 50 รายภายในหนึ่งสัปดาห์

ประเด็นสำคัญ:

• ZachXBT เชื่อมโยงการขโมยเงิน 9.5 ล้านดอลลาร์จากแอป Ledger Live ปลอมบน Apple App Store ไปยังที่อยู่ฝากเงินของ Kucoin ที่ถูกกล่าวหาว่ามากกว่า 150+ ที่อยู่
• นักดนตรี G. Love สูญเสียเกือบ 6 BTC; เหยื่อรายใหญ่ 3 รายต่างสูญเสียเงินระดับ 7 หลักในช่วงวันที่ 7-13 เมษายน
• ท้ายที่สุด Apple ได้ลบแอปปลอมดังกล่าวออกจาก App Store

แอป Ledger Live ปลอมบน iOS ดูดเงินไป 9.5 ล้านดอลลาร์ก่อนที่ Apple จะดึงลง ZachXBT พบ

ZachXBT โพสต์ผลการสืบสวนของเขาเมื่อวันอังคารที่ 14 เมษายน บน X โดยอธิบายว่าแอปปลอมดังกล่าวทำให้ผู้ใช้มากกว่า 50 รายตกเป็นเหยื่อระหว่างวันที่ 7 ถึง 13 เมษายน ครอบคลุมเครือข่าย Bitcoin, EVM, Tron, Solana และ Ripple โดย Apple ได้ลบแอปออกไปในวันก่อนหน้าที่เขาจะโพสต์

เหยื่อรายใหญ่ที่สุดสามรายต่างสูญเสียเงินระดับ 7 หลัก ผู้ใช้รายหนึ่งสูญเสีย USDT มูลค่า 3.23 ล้านดอลลาร์เมื่อวันที่ 9 เมษายน เหยื่อรายที่สองสูญเสีย USDC มูลค่า 2.079 ล้านดอลลาร์เมื่อวันที่ 11 เมษายน รายที่สามสูญเสียคริปโตมูลค่า 1.95 ล้านดอลลาร์เมื่อวันที่ 8 เมษายน รวมถึง 20.64 BTC, 211 stETH และ 70 ETH

อีกหนึ่งเหยื่อในกลุ่มที่ถูกหลอกลวงคือ นักดนตรี Garrett Dutton ที่รู้จักในชื่อในวงการว่า G. Love ซึ่งสูญเสียเกือบ 6 BTC ให้กับแอปปลอม ZachXBT ระบุว่า AudiA6 เป็นบริการมิกซิ่งแบบรวมศูนย์ที่ถูกใช้เพื่อเคลื่อนย้ายเงินที่ถูกขโมยไป

เขาอธิบายว่า AudiA6 เป็นบริการที่คิดค่าธรรมเนียมสูงเพื่อประมวลผลเงินผิดกฎหมาย และกล่าวหาว่าเงินที่ถูกขโมยถูกย้ายผ่านที่อยู่ฝากเงินของ Kucoin ที่เชื่อมโยงกับบริการดังกล่าว นอกจากนี้ นักสืบยังอ้างด้วยว่า มีผู้ก่อภัยคุกคามอีกรายหนึ่งฟอกเงิน 3.5 ล้านดอลลาร์จากเหตุการณ์ Bitcoin Depot incident ผ่านที่อยู่ฝากเงินของ Kucoin มากกว่า 25 ที่อยู่ ในช่วงไม่กี่วันก่อนการขโมยที่เกี่ยวข้องกับ Ledger

บน X หลังจากบัญชี X อย่างเป็นทางการของ Kucoin โพสต์โพลสุ่มให้โหวต A & B ZachXBT จึงตัดสินใจตอบกลับด้วยข้อกล่าวหาของเขา “C) อยากอธิบายให้ชุมชนฟังไหมว่าทำไม Kucoin ถึงปล่อยให้ผู้ก่อภัยคุกคามฟอกเงิน 9.5 ล้านดอลลาร์ขึ้นไปที่เชื่อมโยงกับแอป Ledger ปลอม ผ่านที่อยู่ฝากเงินของ Kucoin มากกว่า 150+ ที่อยู่ในช่วงสัปดาห์ที่ผ่านมา?” ZachXBT ถาม นักสืบสายออนเชนยังเสริมอีกว่า:

“ไม่กี่วันก่อนหน้านั้น ยังมีผู้ก่อภัยคุกคามอีกรายหนึ่งฟอกเงิน 3.5 ล้านดอลลาร์ขึ้นไปจากเหตุการณ์ Bitcoin Depot ผ่านที่อยู่ฝากเงินของ Kucoin มากกว่า 25+ ที่อยู่ คุณได้เปิดทางให้การแลกเปลี่ยนแบบทันทีที่ถูกนำไปใช้ในทางที่ผิด โดยอาศัยการเลี่ยง/ฉวยช่องโหว่ KYC และหน่วยงานอย่าง AudiA6 ซึ่งเป็นมิกเซอร์แบบรวมศูนย์สำหรับผู้กระทำผิดกฎหมายให้สามารถดำเนินการได้อย่างอิสระ Kucoin สมควรถูกหน่วยงานกำกับดูแลเข้ามาจัดการธุรกิจอีกครั้ง”

เมื่อบัญชี X อย่างเป็นทางการของ Kucoin ตอบกลับต่อประเด็นดังกล่าวโดยขอ UID และหมายเลขทิกเก็ตเพื่อตรวจสอบเรื่องนี้ ZachXBT ตอบกลับด้วยภาพเอกสารประจำตัวของทารก โดยสื่อเป็นนัยว่ากระบวนการยืนยันตัวตนแบบรู้จักลูกค้า (KYC) ของแพลตฟอร์มแลกเปลี่ยนนั้นไม่เพียงพอ

จนถึงเวลาที่เผยแพร่ Kucoin ยังไม่ได้ตอบสนองต่อข้อกล่าวหาเฉพาะเหล่านั้นต่อสาธารณะ โดยคำตอบที่ขอ UID และหมายเลขทิกเก็ตน่าจะมาจากเจ้าหน้าที่บริการลูกค้า

ZachXBT กล่าวว่า สถานการณ์นี้อาจเป็นเหตุให้มีมูลสำหรับการฟ้องร้องแบบกลุ่ม (class action) ต่อ Apple จากการโฮสต์แอปหลอกลวงดังกล่าว ที่อยู่ที่ใช้ขโมยเงินที่ ZachXBT เผยแพร่ครอบคลุมหลายบล็อกเชน รวมถึง Bitcoin, Ethereum, Tron, Solana และ Ripple พร้อมระบุวอลเล็ตเฉพาะที่เชื่อมโยงกับเหยื่อแต่ละราย

การที่แอป Ledger Live ปลอมปรากฏอยู่บน App Store ของ Apple ได้ก่อให้เกิดคำถามในวงกว้างเกี่ยวกับวิธีที่ซอฟต์แวร์อันตรายผ่านกระบวนการรีวิวของ Apple และสามารถทำงานอยู่ได้นานเพียงใดก่อนจะถูกนำออก

ในบันทึกที่แชร์กับ Bitcoin.com News Ledger CTO ของบริษัท Charles Guillemet เน้นย้ำว่าบริษัทของเขาจะไม่มีวันขอวลีกู้คืน (seed phrase) “Ledger จะไม่มีวันขอ 24 คำของคุณ หากใครก็ตามหรือแอปใด ๆ กำลังขอ 24 คำของคุณ ให้สันนิษฐานไว้ก่อนว่ามีบางอย่างผิดปกติ” Guillemet อธิบาย

“Ledger ย้ำเตือนชุมชนเกี่ยวกับเรื่องนี้อย่างสม่ำเสมอ คุณไม่สามารถไว้ใจสภาพแวดล้อมซอฟต์แวร์รอบตัวคุณได้ — ไม่ใช่เบราว์เซอร์ของคุณ ไม่ใช่แอปสโตร์ของคุณ ไม่ใช่เดสก์ท็อปของคุณ ผู้โจมตีทำงานทุกที่ที่มีโอกาส และนั่นรวมถึงแพลตฟอร์มการจัดจำหน่ายอย่างเป็นทางการด้วย การป้องกันที่ใช้ได้จริงมีเพียงการเก็บคีย์ส่วนตัวของคุณไว้บนอุปกรณ์ฮาร์ดแวร์เฉพาะที่มีหน้าจอปลอดภัย เช่น ตัวลงนาม Ledger และอย่าป้อนวลีกู้คืนของคุณลงในแอปหรือเว็บไซต์ใด ๆ 24 คำของคุณคือวอลเล็ตของคุณ” CTO ของบริษัทฮาร์ดแวร์วอลเล็ตกล่าวเสริม