Ang onchain investigator na si ZachXBT ay hayagang nagparatang na mahigit $9.5 milyon na ninakaw sa pamamagitan ng mapanlinlang na Ledger Live app sa App Store ng Apple ay nilabhan sa pamamagitan ng mahigit 150 Kucoin deposit address.
Sinabi ni ZachXBT na ang pekeng Ledger app sa Apple App Store ay nagnakaw ng $9.5M mula sa mahigit 50 biktima sa loob ng isang linggo
ISINULAT NI
IBAHAGI
Mahahalagang Takeaways:
- Iniugnay ni ZachXBT ang $9.5M na pagnanakaw mula sa pekeng Ledger Live app sa Apple App Store sa umano’y 150+ Kucoin deposit address.
- Ang musikero na si G. Love ay nawalan ng halos 6 BTC; ang 3 pinakamalalaking biktima ay bawat isa’y nawalan ng pitong digit sa pagitan ng Abril 7-13.
- Inalis din ng Apple ang pekeng aplikasyon mula sa App Store.
Pekeng Ledger Live iOS App Kumuha ng $9.5M Bago Ito Inalis ng Apple, Ayon sa Natuklasan ni ZachXBT
Ibinahagi ni ZachXBT ang kanyang mga natuklasan noong Martes, Abril 14, sa X, na inilatag kung paano nabiktima ng pekeng app ang mahigit 50 user sa pagitan ng Abril 7 at 13 sa iba’t ibang network kabilang ang Bitcoin, EVM, Tron, Solana, at Ripple. Inalis ng Apple ang app isang araw bago ang kanyang post.
Ang tatlong pinakamalalaking biktima ay bawat isa’y nawalan ng pitong digit. Isang user ang nawalan ng $3.23 milyon sa USDT noong Abril 9. Ang pangalawang biktima ay nawalan ng $2.079 milyon sa USDC noong Abril 11. Ang pangatlo ay nawalan ng $1.95 milyon na halaga ng crypto noong Abril 8, kabilang ang 20.64 BTC, 211 stETH, at 70 ETH.
Isa pang biktima sa mga nadaya ay ang musikero na si Garrett Dutton, na kilala sa propesyonal na pangalang G. Love, na nawalan ng halos 6 BTC dahil sa pekeng app. Kinilala ni ZachXBT ang AudiA6 bilang centralized mixing service na ginamit upang ilipat ang mga ninakaw na pondo.
Inilarawan niya ang AudiA6 bilang serbisyong naniningil ng mataas na bayarin upang iproseso ang ipinagbabawal na pera, at inangkin na ang mga ninakaw na pondo ay dumaan sa mga Kucoin deposit address na konektado sa serbisyong iyon. Iginiit din ng imbestigador na isang hiwalay na threat actor ang naglaba ng $3.5 milyon mula sa insidente ng Bitcoin Depot sa pamamagitan ng mahigit 25 Kucoin deposit address sa mga araw bago ang pagnanakaw na may kaugnayan sa Ledger.
Sa X, matapos mag-post ang opisyal na X account ng Kucoin ng isang random na A & B vote post, nagpasya si ZachXBT na tumugon gamit ang kanyang mga paratang. “C) Gusto n’yo bang ipaliwanag sa komunidad kung bakit pinayagan ng Kucoin ang isang threat actor na labhan ang $9.5M+ na konektado sa pekeng Ledger app sa pamamagitan ng 150+ Kucoin deposit address nitong nakaraang linggo?” tanong ni ZachXBT. Dagdag pa ng onchain investigator:
“Ilang araw bago iyon, isa pang threat actor ang naglaba ng $3.5M+ mula sa insidente ng Bitcoin Depot sa pamamagitan ng 25+ Kucoin deposit address. Pinagana ninyo ang mga instant exchange na inaabuso ang KYC at mga entity tulad ng AudiA6, isang centralized mixer para sa mga illicit actor, upang malayang makapag-operate. Karapat-dapat ang Kucoin na habulin na naman ng mga regulator ang negosyo nito.”
Nang tumugon ang opisyal na X account ng Kucoin sa kontrobersiya sa pamamagitan ng paghingi ng UID at ticket number upang masilip ang usapin, sumagot si ZachXBT gamit ang larawan ng ID document ng isang sanggol, na nagpapahiwatig na hindi sapat ang know-your-customer (KYC) verification process ng palitan.
Wala pang hayagang tugon ang Kucoin sa mga partikular na paratang na iyon sa oras ng paglalathala. Ang tugon na humihingi ng UID at ticket number ay malamang mula sa isang customer service agent.
Sinabi ni ZachXBT na ang sitwasyon ay maaaring magbigay ng batayan para sa isang class action lawsuit laban sa Apple dahil sa pagho-host ng mapanlinlang na app. Ang mga theft address na inilathala ni ZachXBT ay sumasaklaw sa maraming blockchain, kabilang ang Bitcoin, Ethereum, Tron, Solana, at Ripple, at tinutukoy ang mga partikular na wallet na konektado sa bawat biktima.
Ang presensya ng pekeng Ledger Live app sa App Store ng Apple ay nagbunsod ng mas malalawak na tanong tungkol sa kung paano nakakalusot ang malisyosong software sa review process ng Apple at kung gaano ito katagal maaaring mag-operate bago ito maalis.
Nawalan ang musikero mula Philadelphia na si G. Love ng halos 6 BTC dahil sa pekeng Ledger Wallet app sa App Store ng Apple
Nawala kay musikero na si G. Love ang 5.92 BTC dahil sa isang pekeng Ledger app sa Apple App Store. Sinubaybayan ni ZachXBT ang mga pondo hanggang sa Kucoin. read more.
Basahin ngayon
Nawalan ang musikero mula Philadelphia na si G. Love ng halos 6 BTC dahil sa pekeng Ledger Wallet app sa App Store ng Apple
Nawala kay musikero na si G. Love ang 5.92 BTC dahil sa isang pekeng Ledger app sa Apple App Store. Sinubaybayan ni ZachXBT ang mga pondo hanggang sa Kucoin. read more.
Basahin ngayonNawalan ang musikero mula Philadelphia na si G. Love ng halos 6 BTC dahil sa pekeng Ledger Wallet app sa App Store ng Apple
Basahin ngayonNawala kay musikero na si G. Love ang 5.92 BTC dahil sa isang pekeng Ledger app sa Apple App Store. Sinubaybayan ni ZachXBT ang mga pondo hanggang sa Kucoin. read more.
Sa isang tala na ibinahagi sa Bitcoin.com News, ang CTO ng Ledger na si Charles Guillemet ay nagdiin na hinding-hindi hihingi ang kanyang kumpanya ng seed phrase. “Hindi kailanman hihingi ang Ledger ng iyong 24 na salita. Kung sinuman, o anumang app, ang humihingi ng iyong 24 na salita, ipagpalagay na may mali,” paliwanag ni Guillemet.
“Palagi itong ipinapaalala ng Ledger sa komunidad. Hindi mo maaaring pagkatiwalaan ang software environment sa paligid mo – hindi ang iyong browser, hindi ang iyong app store, hindi ang iyong desktop. Gumagalaw ang mga attacker saanman may oportunidad, at kasama rito ang mga opisyal na distribution platform. Ang tanging proteksiyong tumatagal ay ang panatilihin ang iyong private keys sa isang nakatalagang hardware device na may secure na screen, gaya ng isang Ledger signer, at huwag kailanman ilagay ang iyong seed phrase sa anumang app o website. Ang iyong 24 na salita ang iyong wallet,” dagdag pa ng CTO ng hardware wallet firm.
