Ключові висновки:
- ZachXBT пов'язав крадіжку $9,5 млн з підробленого застосунку Ledger Live в Apple App Store з нібито 150+ адресами депозиту Kucoin.
- Музикант G. Love втратив майже 6 BTC; 3 найбільші жертви втратили по 7-значні суми з 7 по 13 квітня.
- Apple зрештою видалила фальшивий застосунок з App Store.
Підроблений застосунок Ledger Live для iOS викачав $9,5 млн до того, як Apple його видалила, виявив ZachXBT
ZachXBT опублікував свої висновки у вівторок, 14 квітня, в X, розповівши, як підроблений застосунок став жертвою понад 50 користувачів з 7 по 13 квітня в мережах Bitcoin, EVM, Tron, Solana та Ripple. Apple видалила застосунок за день до його публікації.
Три найбільші жертви втратили по 7-значні суми. Один користувач втратив $3,23 млн в USDT 9 квітня. Друга жертва втратила $2,079 млн в USDC 11 квітня. Третя втратила криптовалюту на суму $1,95 млн 8 квітня, включаючи 20,64 BTC, 211 stETH та 70 ETH.
Іншою жертвою серед обманутих був музикант Гаррет Даттон, відомий професійно як G. Love, який втратив майже 6 BTC через підроблений застосунок. ZachXBT ідентифікував AudiA6 як централізований сервіс міксування, використаний для переміщення вкрадених коштів.
Він описав AudiA6 як сервіс, що стягує високі комісії за обробку незаконних грошей, і стверджував, що вкрадені кошти переміщувалися через адреси депозиту Kucoin, пов'язані з цим сервісом. Дослідник також стверджував, що окремий зловмисник відмив $3,5 млн з інциденту Bitcoin Depot через понад 25 адрес депозиту Kucoin за кілька днів до крадіжки, пов'язаної з Ledger.
В X, після того як офіційний акаунт Kucoin в X опублікував випадковий пост з голосуванням A та B, ZachXBT вирішив відповісти своїми звинуваченнями. "C) Хочете пояснити спільноті, чому Kucoin дозволив зловмиснику відмити $9,5 млн+, пов'язаних з підробленим застосунком Ledger, через 150+ адрес депозиту Kucoin за минулий тиждень?" запитав ZachXBT. Ончейн дослідник додав:
Коли офіційний акаунт Kucoin в X відповів на суперечку, попросивши UID та номер тікета для розгляду питання, ZachXBT відповів фотографією документа про особу немовляти, натякаючи на те, що процес верифікації KYC біржі є неадекватним.
Kucoin не відповіла публічно на ці конкретні звинувачення станом на час публікації. Відповідь про UID та номер тікета, ймовірно, була від агента служби підтримки клієнтів.
ZachXBT сказав, що ситуація може стати підставою для колективного позову проти Apple за розміщення шахрайського застосунку. Адреси крадіжок, опубліковані ZachXBT, охоплюють декілька блокчейнів, включаючи Bitcoin, Ethereum, Tron, Solana та Ripple, ідентифікуючи конкретні гаманці, пов'язані з кожною жертвою.
Присутність підробленого застосунку Ledger Live в Apple App Store викликала ширші питання про те, як шкідливе програмне забезпечення проходить процес перевірки Apple і як довго воно може працювати до видалення.
У нотатці, якою поділилися з Bitcoin.com News, CTO Ledger Чарльз Гійме наголосив, що його компанія ніколи не попросить seed фразу. "Ledger ніколи не попросить ваші 24 слова. Якщо хтось або будь-який застосунок просить ваші 24 слова, вважайте, що щось не так," пояснив Гійме.
"Ledger постійно нагадує спільноті про це. Ви не можете довіряти програмному середовищу навколо вас – ні вашому браузеру, ні вашому застосунку, ні вашому десктопу. Зловмисники діють там, де існує можливість, і це включає офіційні платформи розповсюдження. Єдиний захист, який працює, – це зберігання ваших приватних ключів на спеціальному апаратному пристрої з безпечним екраном, як-от Ledger signer, і ніколи не вводити вашу seed фразу в жоден застосунок або веб-сайт. Ваші 24 слова – це ваш гаманець," додав CTO компанії апаратних гаманців.
Джерело: https://news.bitcoin.com/zachxbt-says-apple-app-store-fake-ledger-app-stole-9-5m-from-50-victims-in-one-week/
