Βασικά Σημεία:
- Ο ZachXBT συνέδεσε κλοπή $9,5M από μια ψεύτικη εφαρμογή Ledger Live του Apple App Store με 150+ φερόμενες διευθύνσεις κατάθεσης Kucoin.
- Ο μουσικός G. Love έχασε σχεδόν 6 BTC· τα 3 μεγαλύτερα θύματα έχασαν το καθένα 7 ψηφία μεταξύ 7-13 Απριλίου.
- Η Apple τελικά αφαίρεσε την πλαστή εφαρμογή από το App Store.
Η Ψεύτικη Εφαρμογή Ledger Live iOS Άδειασε $9,5M Πριν την Αφαιρέσει η Apple, Ανακαλύπτει ο ZachXBT
Ο ZachXBT δημοσίευσε τα ευρήματά του την Τρίτη, 14 Απριλίου, στο X, εξηγώντας πώς η ψεύτικη εφαρμογή θυματοποίησε περισσότερους από 50 χρήστες μεταξύ 7 και 13 Απριλίου σε δίκτυα Bitcoin, EVM, Tron, Solana και Ripple. Η Apple αφαίρεσε την εφαρμογή την ημέρα πριν από τη δημοσίευσή του.
Τα τρία μεγαλύτερα θύματα έχασαν το καθένα επτά ψηφία. Ένας χρήστης έχασε $3,23 εκατομμύρια σε USDT στις 9 Απριλίου. Ένα δεύτερο θύμα έχασε $2,079 εκατομμύρια σε USDC στις 11 Απριλίου. Ένα τρίτο έχασε $1,95 εκατομμύρια σε κρυπτονομίσματα στις 8 Απριλίου, συμπεριλαμβανομένων 20,64 BTC, 211 stETH και 70 ETH.
Ένα άλλο θύμα μεταξύ των εξαπατημένων ήταν ο μουσικός Garrett Dutton, επαγγελματικά γνωστός ως G. Love, ο οποίος έχασε σχεδόν 6 BTC στην ψεύτικη εφαρμογή. Ο ZachXBT εντόπισε το AudiA6 ως την κεντρικοποιημένη υπηρεσία ανάμειξης που χρησιμοποιήθηκε για τη μετακίνηση των κλεμμένων κεφαλαίων.
Περιέγραψε το AudiA6 ως μια υπηρεσία που χρεώνει υψηλές προμήθειες για την επεξεργασία παράνομων χρημάτων, και ισχυρίστηκε ότι τα κλεμμένα κεφάλαια μετακινήθηκαν μέσω διευθύνσεων κατάθεσης Kucoin που συνδέονται με αυτήν την υπηρεσία. Ο ερευνητής ισχυρίστηκε επίσης ότι ένας ξεχωριστός δράστης απειλής ξέπλυνε $3,5 εκατομμύρια από το περιστατικό Bitcoin Depot μέσω περισσότερων από 25 διευθύνσεων κατάθεσης Kucoin τις ημέρες πριν από την κλοπή που σχετίζεται με το Ledger.
Στο X, αφού ο επίσημος λογαριασμός X της Kucoin δημοσίευσε μια τυχαία ανάρτηση ψηφοφορίας A & B, ο ZachXBT αποφάσισε να απαντήσει με τις κατηγορίες του. "Γ) Θέλετε να εξηγήσετε στην κοινότητα γιατί η Kucoin επέτρεψε σε έναν δράστη απειλής να ξεπλύνει $9,5M+ που συνδέονται με μια ψεύτικη εφαρμογή Ledger μέσω 150+ διευθύνσεων κατάθεσης Kucoin την περασμένη εβδομάδα;" ρώτησε ο ZachXBT. Ο onchain ερευνητής πρόσθεσε:
Όταν ο επίσημος λογαριασμός X της Kucoin απάντησε στη διαμάχη ζητώντας UID και αριθμό εισιτηρίου για να εξετάσει το θέμα, ο ZachXBT απάντησε με μια φωτογραφία εγγράφου ταυτότητας βρέφους, υπονοώντας ότι η διαδικασία επαλήθευσης γνωριμίας-πελάτη (KYC) του ανταλλακτηρίου είναι ανεπαρκής.
Η Kucoin δεν είχε απαντήσει δημόσια σε αυτούς τους συγκεκριμένους ισχυρισμούς κατά τη στιγμή της δημοσίευσης. Η απάντηση με UID και αριθμό εισιτηρίου ήταν πιθανώς από έναν υπάλληλο εξυπηρέτησης πελατών.
Ο ZachXBT δήλωσε ότι η κατάσταση μπορεί να παράσχει λόγους για ομαδική αγωγή κατά της Apple για τη φιλοξενία της απατηλής εφαρμογής. Οι διευθύνσεις κλοπής που δημοσιεύθηκαν από τον ZachXBT καλύπτουν πολλαπλά blockchains, συμπεριλαμβανομένων Bitcoin, Ethereum, Tron, Solana και Ripple, εντοπίζοντας συγκεκριμένα πορτοφόλια που συνδέονται με κάθε θύμα.
Η παρουσία της ψεύτικης εφαρμογής Ledger Live στο App Store της Apple εγείρει ευρύτερα ερωτήματα σχετικά με το πώς κακόβουλο λογισμικό περνάει τη διαδικασία ελέγχου της Apple και πόσο καιρό μπορεί να λειτουργήσει πριν από την αφαίρεσή του.
Σε σημείωμα που μοιράστηκε με το Bitcoin.com News, ο CTO της Ledger Charles Guillemet τόνισε ότι η εταιρεία του δεν θα ζητήσει ποτέ μια φράση-κλειδί. "Το Ledger δεν θα ζητήσει ποτέ τις 24 λέξεις σας. Εάν κάποιος, ή οποιαδήποτε εφαρμογή, ζητά τις 24 λέξεις σας, υποθέστε ότι κάτι είναι λάθος," εξήγησε ο Guillemet.
"Το Ledger υπενθυμίζει συνεχώς στην κοινότητα γι' αυτό. Δεν μπορείτε να εμπιστευτείτε το περιβάλλον λογισμικού γύρω σας – όχι το πρόγραμμα περιήγησής σας, όχι το app store σας, όχι τον υπολογιστή σας. Οι επιτιθέμενοι δρουν όπου υπάρχει η ευκαιρία, και αυτό περιλαμβάνει επίσημες πλατφόρμες διανομής. Η μόνη προστασία που ισχύει είναι να κρατάτε τα ιδιωτικά σας κλειδιά σε μια αποκλειστική συσκευή υλικού με ασφαλή οθόνη, όπως ένας υπογράφων Ledger, και να μην εισάγετε ποτέ τη φράση-κλειδί σας σε οποιαδήποτε εφαρμογή ή ιστότοπο. Οι 24 λέξεις σας είναι το πορτοφόλι σας," πρόσθεσε ο CTO της εταιρείας πορτοφολιών υλικού.
Πηγή: https://news.bitcoin.com/zachxbt-says-apple-app-store-fake-ledger-app-stole-9-5m-from-50-victims-in-one-week/
