ZachXBT cho biết ứng dụng Ledger giả mạo trên Apple App Store đã lừa đảo hơn 50 nạn nhân, chiếm đoạt 9,5 triệu USD chỉ trong một tuần

Điểm chính:

• ZachXBT đã liên kết vụ trộm $9,5 triệu từ ứng dụng Ledger Live giả mạo trên App Store của Apple với hơn 150 địa chỉ nạp tiền Kucoin bị cáo buộc.
• Nghệ sĩ G. Love đã mất gần 6 BTC; 3 nạn nhân lớn nhất mỗi người mất số tiền lên đến 7 con số trong khoảng thời gian từ ngày 7 đến 13 tháng 4.
• Apple cuối cùng đã gỡ bỏ ứng dụng giả mạo này khỏi App Store.

Ứng dụng Ledger Live iOS giả mạo đã chiếm đoạt $9,5 triệu trước khi Apple gỡ bỏ, theo phát hiện của ZachXBT

ZachXBT đã đăng tải phát hiện của mình vào thứ Ba, ngày 14 tháng 4, trên X, mô tả cách ứng dụng giả mạo này đã lừa đảo hơn 50 người dùng từ ngày 7 đến 13 tháng 4 trên các mạng Bitcoin, EVM, Tron, Solana và Ripple. Apple đã gỡ bỏ ứng dụng này vào ngày trước khi ZachXBT đăng bài.

Ba nạn nhân lớn nhất mỗi người mất số tiền lên đến bảy con số. Một người dùng mất $3,23 triệu USDT vào ngày 9 tháng 4. Nạn nhân thứ hai mất $2,079 triệu USDC vào ngày 11 tháng 4. Nạn nhân thứ ba mất $1,95 triệu tiền điện tử vào ngày 8 tháng 4, bao gồm 20,64 BTC, 211 stETH và 70 ETH.

Một nạn nhân khác trong số những người bị lừa đảo là nhạc sĩ Garrett Dutton, được biết đến với nghệ danh G. Love, người đã mất gần 6 BTC do ứng dụng giả mạo này. ZachXBT xác định AudiA6 là dịch vụ trộn tiền tập trung được sử dụng để chuyển các khoản tiền bị đánh cắp.

Ông mô tả AudiA6 là dịch vụ thu phí cao để xử lý tiền bất hợp pháp, và cáo buộc rằng số tiền bị đánh cắp đã được chuyển qua các địa chỉ nạp tiền của Kucoin liên kết với dịch vụ này. Nhà điều tra cũng cho biết một tác nhân đe dọa khác đã rửa tiền $3,5 triệu từ vụ việc Bitcoin Depot qua hơn 25 địa chỉ nạp tiền của Kucoin trong những ngày trước vụ trộm liên quan đến Ledger.

Trên X, sau khi tài khoản X chính thức của Kucoin đăng một bài viết bỏ phiếu ngẫu nhiên A & B, ZachXBT quyết định phản hồi với các cáo buộc của mình. "C) Muốn giải thích cho cộng đồng tại sao Kucoin lại cho phép một tác nhân đe dọa rửa tiền $9,5 triệu+ liên quan đến ứng dụng Ledger giả mạo qua hơn 150 địa chỉ nạp tiền của Kucoin trong tuần qua?" ZachXBT hỏi. Nhà điều tra chuỗi khối này bổ sung:

"Một vài ngày trước đó, một tác nhân đe dọa khác đã rửa tiền hơn $3,5 triệu từ vụ việc Bitcoin Depot thông qua hơn 25 địa chỉ nạp tiền của Kucoin. Các bạn đã cho phép các giao dịch tức thì lạm dụng quy trình KYC và các thực thể như AudiA6, một công cụ trộn tiền tập trung cho các tác nhân bất hợp pháp hoạt động tự do. Kucoin xứng đáng bị các cơ quan quản lý điều tra hoạt động kinh doanh một lần nữa."

Khi tài khoản X chính thức của Kucoin phản hồi về vụ việc bằng cách yêu cầu mã UID và số vé để điều tra, ZachXBT đã trả lời bằng một bức ảnh giấy tờ tùy thân của trẻ sơ sinh, ngụ ý rằng quy trình xác minh khách hàng (KYC) của sàn giao dịch này là không đủ.

Tính đến thời điểm xuất bản, Kucoin chưa có phản hồi công khai về những cáo buộc cụ thể này. Phản hồi về mã UID và số vé có thể đến từ một nhân viên dịch vụ khách hàng.

ZachXBT cho biết tình huống này có thể là cơ sở để khởi kiện tập thể chống lại Apple vì đã cho phép ứng dụng lừa đảo tồn tại trên nền tảng của họ. Các địa chỉ ví bị đánh cắp do ZachXBT công bố trải rộng trên nhiều blockchain, bao gồm Bitcoin, Ethereum, Tron, Solana và Ripple, xác định các ví cụ thể liên quan đến từng nạn nhân.

Sự hiện diện của ứng dụng Ledger Live giả mạo trên App Store của Apple đã đặt ra những câu hỏi rộng hơn về cách phần mềm độc hại vượt qua quy trình kiểm duyệt của Apple và thời gian nó có thể hoạt động trước khi bị gỡ bỏ.

Trong một thông báo chia sẻ với Bitcoin.com News, Giám đốc Công nghệ (CTO) của Ledger, Charles Guillemet, nhấn mạnh rằng công ty của ông sẽ không bao giờ yêu cầu cụm từ hạt giống. “Ledger sẽ không bao giờ yêu cầu 24 từ của bạn. Nếu bất kỳ ai, hoặc bất kỳ ứng dụng nào, yêu cầu 24 từ của bạn, hãy cho rằng có điều gì đó không ổn,” Guillemet giải thích.

“Ledger luôn nhắc nhở cộng đồng về điều này. Bạn không thể tin tưởng vào môi trường phần mềm xung quanh mình – không phải trình duyệt, không phải cửa hàng ứng dụng, cũng không phải máy tính để bàn. Kẻ tấn công hoạt động ở bất cứ đâu có cơ hội, và điều đó bao gồm cả các nền tảng phân phối chính thức. Cách bảo vệ duy nhất hiệu quả là lưu trữ khóa riêng tư trên một thiết bị phần cứng chuyên dụng có màn hình bảo mật, như Ledger Signer, và tuyệt đối không nhập cụm từ khôi phục vào bất kỳ ứng dụng hay trang web nào. 24 từ của bạn chính là ví của bạn,” CTO của công ty ví phần cứng này bổ sung.