Onchain araştırmacısı ZachXBT, Apple'ın App Store'daki sahte bir Ledger Live uygulaması aracılığıyla çalınan 9,5 milyon dolardan fazla paranın 150'den fazla Kucoin para yatırma adresi üzerinden aklanmış olduğunu kamuoyuna açıkladı.
ZachXBT, Apple App Store'daki sahte Ledger uygulamasının bir hafta içinde 50'den fazla kurbandan 9,5 milyon dolar çaldığını iddia ediyor
YAZAN
PAYLAŞ
Önemli Noktalar:
- ZachXBT, sahte bir Ledger Live Apple App Store uygulamasından çalınan 9,5 milyon doları, iddia edilen 150'den fazla Kucoin para yatırma adresiyle ilişkilendirdi.
- Müzisyen G. Love yaklaşık 6 BTC kaybetti; en büyük 3 mağdur, 7-13 Nisan tarihleri arasında her biri 7 haneli meblağlar kaybetti.
- Apple, sahte uygulamayı App Store'dan kaldırdı.
ZachXBT'nin bulgularına göre, sahte Ledger Live iOS uygulaması Apple tarafından kaldırılmadan önce 9,5 milyon dolarlık para çaldı
ZachXBT, 14 Nisan Salı günü X'te bulgularını paylaştı ve sahte uygulamanın 7-13 Nisan tarihleri arasında Bitcoin, EVM, Tron, Solana ve Ripple ağlarında 50'den fazla kullanıcıyı mağdur ettiğini ortaya koydu. Apple, bu paylaşımdan bir gün önce uygulamayı kaldırdı.
En büyük üç kurban, her biri yedi haneli rakamlarda kayıp yaşadı. Bir kullanıcı 9 Nisan'da 3,23 milyon dolarlık USDT kaybetti. İkinci kurban 11 Nisan'da 2,079 milyon dolarlık USDC kaybetti. Üçüncüsü ise 8 Nisan'da 20,64 BTC, 211 stETH ve 70 ETH dahil olmak üzere 1,95 milyon dolar değerinde kripto kaybetti.
Dolandırılanlar arasında bir başka kurban da, sahte uygulama nedeniyle yaklaşık 6 BTC kaybeden, sahne adıyla G. Love olarak bilinen müzisyen Garrett Dutton'dı. ZachXBT, AudiA6'yı çalınan fonları aktarmak için kullanılan merkezi karıştırma hizmeti olarak tanımladı.
O, AudiA6'yı yasadışı parayı işlemek için yüksek ücretler alan bir hizmet olarak tanımladı ve çalınan fonların bu hizmete bağlı Kucoin para yatırma adresleri üzerinden aktarıldığını iddia etti. Araştırmacı ayrıca, Ledger ile ilgili hırsızlıktan önceki günlerde, ayrı bir tehdit aktörünün Bitcoin Depot olayından elde edilen 3,5 milyon doları 25'ten fazla Kucoin para yatırma adresi üzerinden akladığını iddia etti.
X'te, Kucoin'in resmi X hesabı rastgele bir A & B oylama gönderisi paylaştıktan sonra, ZachXBT suçlamalarıyla yanıt vermeye karar verdi. "C) Kucoin'in, bir tehdit aktörünün geçen hafta boyunca 150'den fazla Kucoin para yatırma adresi aracılığıyla sahte bir Ledger uygulamasıyla bağlantılı 9,5 milyon dolardan fazlasını aklamasına neden izin verdiğini topluluğa açıklamak ister misiniz?" diye sordu ZachXBT. Onchain araştırmacısı şunları ekledi:
"Bundan birkaç gün önce, başka bir tehdit aktörü, Bitcoin Depot olayından elde ettiği 3,5 milyon dolardan fazlasını 25'ten fazla Kucoin para yatırma adresi üzerinden akladı. KYC'yi ve AudiA6 gibi, yasadışı aktörlerin serbestçe faaliyet göstermesi için merkezi bir karıştırıcı olan kuruluşları suistimal eden anlık borsaları mümkün kıldınız. Kucoin, düzenleyicilerin bir kez daha işinin peşine düşmesini hak ediyor."
Kucoin'in resmi X hesabı, konuyu araştırmak için bir UID ve bilet numarası isteyerek tartışmaya yanıt verdiğinde, ZachXBT bir bebeğin kimlik belgesinin fotoğrafını paylaşarak borsanın "müşterini tanı" (KYC) doğrulama sürecinin yetersiz olduğunu ima etti.
Yayınlandığı tarihte Kucoin, bu spesifik iddialara kamuoyuna açık bir yanıt vermemişti. UID ve bilet numarası talebi muhtemelen bir müşteri hizmetleri temsilcisi tarafından yapılmıştı.
ZachXBT, bu durumun sahte uygulamayı barındırdığı için Apple aleyhine bir toplu dava açılması için gerekçe oluşturabileceğini söyledi. ZachXBT tarafından yayınlanan hırsızlık adresleri, Bitcoin, Ethereum, Tron, Solana ve Ripple dahil olmak üzere birçok blok zincirini kapsıyor ve her kurbanla bağlantılı belirli cüzdanları tanımlıyor.
Sahte Ledger Live uygulamasının Apple'ın App Store'unda bulunması, kötü amaçlı yazılımların Apple'ın inceleme sürecinden nasıl geçtiği ve kaldırılana kadar ne kadar süreyle çalışabileceği konusunda daha geniş kapsamlı sorular ortaya attı.
Philadelphia'lı müzisyen G. Love, Apple'ın App Store'daki sahte Ledger cüzdan uygulaması yüzünden yaklaşık 6 BTC kaybetti
Müzisyen G. Love, Apple App Store'daki sahte bir Ledger uygulaması yüzünden 5,92 BTC kaybetti. ZachXBT, paranın izini Kucoin'e kadar sürdü. read more.
Şimdi oku
Philadelphia'lı müzisyen G. Love, Apple'ın App Store'daki sahte Ledger cüzdan uygulaması yüzünden yaklaşık 6 BTC kaybetti
Müzisyen G. Love, Apple App Store'daki sahte bir Ledger uygulaması yüzünden 5,92 BTC kaybetti. ZachXBT, paranın izini Kucoin'e kadar sürdü. read more.
Şimdi okuPhiladelphia'lı müzisyen G. Love, Apple'ın App Store'daki sahte Ledger cüzdan uygulaması yüzünden yaklaşık 6 BTC kaybetti
Şimdi okuMüzisyen G. Love, Apple App Store'daki sahte bir Ledger uygulaması yüzünden 5,92 BTC kaybetti. ZachXBT, paranın izini Kucoin'e kadar sürdü. read more.
Bitcoin.com News ile paylaşılan bir notta, Ledger'ın CTO'su Charles Guillemet, şirketinin asla bir tohum cümlesi istemeyeceğini vurguladı. “Ledger asla 24 kelimenizi istemez. Herhangi biri veya herhangi bir uygulama 24 kelimenizi istiyorsa, bir şeylerin ters gittiğini varsayınız,” diye açıkladı Guillemet.
“Ledger, topluluğa bunu sürekli olarak hatırlatır. Çevrenizdeki yazılım ortamına güvenemezsiniz – ne tarayıcınıza, ne uygulama mağazanıza, ne de masaüstünüze. Saldırganlar fırsat buldukları her yerde faaliyet gösterir ve buna resmi dağıtım platformları da dahildir. Tek geçerli koruma, özel anahtarlarınızı Ledger signer gibi güvenli bir ekrana sahip özel bir donanım cihazında saklamak ve seed phrase'inizi hiçbir uygulama veya web sitesine girmemektir. 24 kelimeniz cüzdanınızdır," diye ekledi donanım cüzdanı firmasının CTO'su.
