Puntos Clave:
- ZachXBT vinculó $9.5M en robo de una app falsa de Ledger Live en Apple App Store a supuestamente más de 150 direcciones de depósito de Kucoin.
- El músico G. Love perdió casi 6 BTC; las 3 víctimas más grandes perdieron cada una 7 cifras entre el 7 y 13 de abril.
- Apple terminó eliminando la aplicación falsa de la App Store.
App Falsa de Ledger Live para iOS Drenó $9.5M Antes de que Apple la Eliminara, Descubre ZachXBT
ZachXBT publicó sus hallazgos el martes 14 de abril en X, detallando cómo la app falsa victimizó a más de 50 usuarios entre el 7 y 13 de abril a través de las redes Bitcoin, EVM, Tron, Solana y Ripple. Apple eliminó la app el día anterior a su publicación.
Las tres víctimas más grandes perdieron cada una siete cifras. Un usuario perdió $3.23 millones en USDT el 9 de abril. Una segunda víctima perdió $2.079 millones en USDC el 11 de abril. Una tercera perdió $1.95 millones en criptomonedas el 8 de abril, incluyendo 20.64 BTC, 211 stETH y 70 ETH.
Otra víctima entre los defraudados fue el músico Garrett Dutton, conocido profesionalmente como G. Love, quien perdió casi 6 BTC en la app falsa. ZachXBT identificó a AudiA6 como el servicio de mezcla centralizado utilizado para mover los fondos robados.
Describió a AudiA6 como un servicio que cobra altas comisiones para procesar dinero ilícito, y alegó que los fondos robados se movieron a través de direcciones de depósito de Kucoin conectadas a ese servicio. El investigador también afirmó que un actor de amenaza separado lavó $3.5 millones del incidente de Bitcoin Depot a través de más de 25 direcciones de depósito de Kucoin en los días previos al robo relacionado con Ledger.
En X, después de que la cuenta oficial de Kucoin en X publicara una encuesta aleatoria de A y B, ZachXBT decidió responder con sus acusaciones. "C) ¿Quieren explicar a la comunidad por qué Kucoin permitió que un actor de amenaza lavara más de $9.5M vinculados a una app falsa de Ledger a través de más de 150 direcciones de depósito de Kucoin durante la semana pasada?" preguntó ZachXBT. El investigador onchain agregó:
Cuando la cuenta oficial de Kucoin en X respondió a la controversia pidiendo un UID de MEXC y número de ticket para investigar el asunto, ZachXBT respondió con una foto de un documento de identificación por foto de un bebé, implicando que el proceso de Verificación KYC del exchange es inadecuado.
Kucoin no había respondido públicamente a esas alegaciones específicas al momento de la publicación. La respuesta del UID de MEXC y número de ticket probablemente provino de un agente de servicio al cliente.
ZachXBT dijo que la situación puede proporcionar fundamentos para una demanda colectiva contra Apple por alojar la app fraudulenta. Las direcciones de robo publicadas por ZachXBT abarcan múltiples blockchains, incluyendo Bitcoin, Blockchain Ethereum, Tron, Solana y Ripple, identificando carteras específicas conectadas a cada víctima.
La presencia de la app falsa de Ledger Live en la App Store de Apple planteó preguntas más amplias sobre cómo el software malicioso pasa el proceso de revisión de Apple y cuánto tiempo puede operar antes de su eliminación.
En una nota compartida con Bitcoin.com News, el CTO de Ledger, Charles Guillemet, enfatizó que su empresa nunca pedirá una frase de recuperación. "Ledger nunca pedirá tus 24 palabras. Si alguien, o cualquier app, te pide tus 24 palabras, asume que algo está mal," explicó Guillemet.
"Ledger recuerda constantemente a la comunidad sobre esto. No puedes confiar en el entorno de software a tu alrededor: ni tu navegador, ni tu app store, ni tu escritorio. Los atacantes operan donde existe la oportunidad, y eso incluye plataformas oficiales de distribución. La única protección que funciona es mantener tus claves privadas en un dispositivo de hardware dedicado con una pantalla segura, como un firmante de Ledger, y nunca ingresar tu frase de recuperación en ninguna app o sitio web. Tus 24 palabras son tu cartera," agregó el CTO de la empresa de carteras de hardware.
Fuente: https://news.bitcoin.com/zachxbt-says-apple-app-store-fake-ledger-app-stole-9-5m-from-50-victims-in-one-week/
