Badacz onchain ZachXBT powiedział, że fałszywa aplikacja Ledger Live, która była dostępna w App Store Apple, była powiązana z około 9,5 miliona dolarów w kryptowalutach skradzionych od ponad 50 podejrzewanych ofiar między 7 a 13 kwietnia.
W poście na Telegramie we wtorek, ZachXBT powiedział, że rzekome kradzieże dotknęły użytkowników w sieciach zgodnych z Bitcoin, Solana, Tron, XRP Ledger i Ethereum Virtual Machine (EVM). Twierdził, że skradzione środki zostały wypłacone przez ponad 150 adresów depozytowych KuCoin rzekomo powiązanych z AudiA6, które opisał jako scentralizowaną usługę mieszania.
ZachXBT powiedział, że fałszywa aplikacja została usunięta przez Apple 13 kwietnia i zidentyfikował trzy przypadki strat siedmiocyfrowych wśród największych znanych przypadków. Powiedział, że jedna ofiara straciła około 1,95 miliona dolarów w Bitcoinie (BTC), stakowanym Etherze (stETH) i Etherze (ETH), inna straciła 3,23 miliona dolarów w USDt (USDT) 9 kwietnia, a trzecia ofiara straciła około 2 miliony dolarów w USDC (USDC) 11 kwietnia.
ZachXBT powiedział, że Kucoin odnotował niedawno wzrost nielegalnej działalności i zauważył, że firma została zakazana z onboardingu nowych użytkowników Unii Europejskiej w lutym, krótko po uzyskaniu licencji Markets in Crypto Assets Regulation (MiCA). Zapytał również, czy incydent stanowi podstawy do pozwu zbiorowego przeciwko Apple.
Kluczowe szczegóły, w tym całkowite straty, liczba ofiar i trasa prania pieniędzy, pozostają oparte na ustaleniach ZachXBT i nie zostały potwierdzone przez Apple ani KuCoin w momencie publikacji. Cointelegraph poprosił obie firmy o komentarz, ale nie otrzymał odpowiedzi do czasu publikacji.
Ledger ostrzega użytkowników, aby nigdy nie wprowadzali frazy zabezpieczającej do aplikacji
Dyrektor techniczny Ledger Charles Guillemet powiedział w oświadczeniu dla Cointelegraph, że firma nigdy nie prosi użytkowników o ich 24-słowne frazy odzyskiwania i ostrzegł, że oprogramowanie o wyglądzie oficjalnym nie powinno być traktowane jako z natury bezpieczne.
Fałszywa aplikacja Ledge Live w App Store. Źródło: Archive.ph
„Nie możesz ufać środowisku oprogramowania wokół siebie – ani swojej przeglądarce, ani swojemu sklepowi z aplikacjami, ani swojemu pulpitowi,” powiedział Guillemet, dodając, że atakujący „działają wszędzie tam, gdzie istnieje możliwość,” w tym na oficjalnych platformach dystrybucji.
Najnowszy incydent następuje po mniejszym, ale podobnym przypadku zgłoszonym w poniedziałek. Muzyk Garrett Dutton, znany również jako „G. Love”, powiedział, że stracił około 420 000 dolarów w BTC po pobraniu złośliwej aplikacji podszywającej się pod Ledger Live z App Store Apple i wprowadzeniu swojego frazy zabezpieczającej. ZachXBT powiedział, że skradzione aktywa zostały wysłane na adresy depozytowe związane z KuCoin.
Magazyn: Jak AI dramatycznie przyspieszył ryzyko kwantowe dla Bitcoina