Investigator onchain ZachXBT mengatakan aplikasi Ledger Live palsu yang terdaftar di App Store Apple terkait dengan sekitar $9,5 juta kripto yang dicuri dari lebih dari 50 korban yang dicurigai antara 7 dan 13 April.
Dalam postingan Telegram hari Selasa, ZachXBT mengatakan pencurian yang diduga mempengaruhi pengguna di seluruh jaringan Bitcoin, Solana, Tron, XRP Ledger dan Ethereum Virtual Machine (EVM)-compatible. Dia mengklaim dana yang dicuri dicuci melalui lebih dari 150 alamat deposit KuCoin yang diduga terkait dengan AudiA6, yang dia gambarkan sebagai layanan pencampuran terpusat.
ZachXBT mengatakan aplikasi palsu tersebut dihapus oleh Apple pada 13 April dan mengidentifikasi tiga kerugian tujuh digit di antara kasus terbesar yang diketahui. Dia mengatakan satu korban kehilangan sekitar $1,95 juta dalam Bitcoin (BTC), staked Ether (stETH) dan Ether (ETH), korban lainnya kehilangan $3,23 juta dalam USDt (USDT) pada 9 April, dan korban ketiga kehilangan sekitar $2 juta dalam USDC (USDC) pada 11 April.
ZachXBT mengatakan Kucoin telah mengalami peningkatan aktivitas ilegal baru-baru ini, dan menunjukkan bahwa perusahaan telah dilarang untuk menerima pengguna baru Uni Eropa pada Februari, tidak lama setelah menerima lisensi Markets in Crypto Assets Regulation (MiCA). Dia juga mempertanyakan apakah insiden tersebut memberikan alasan untuk gugatan class action terhadap Apple.
Terkait: Counterhacker mengungkap unit DPRK yang menghasilkan $1 juta per bulan bekerja di pekerjaan IT
Detail kunci, termasuk total kerugian, jumlah korban dan rute pencucian, tetap berdasarkan temuan ZachXBT dan belum dikonfirmasi oleh Apple atau KuCoin pada saat publikasi. Cointelegraph meminta komentar dari kedua perusahaan tetapi belum menerima tanggapan pada saat publikasi.
Ledger memperingatkan pengguna untuk tidak pernah memasukkan seed phrase ke dalam aplikasi
Chief technology officer Ledger Charles Guillemet mengatakan dalam pernyataan kepada Cointelegraph bahwa perusahaan tidak pernah meminta pengguna untuk frasa pemulihan 24 kata mereka dan memperingatkan bahwa lingkungan perangkat lunak yang terlihat resmi tidak boleh dianggap aman secara inheren.
Aplikasi Ledge Live palsu di App Store. Sumber: Archive.ph
"Anda tidak dapat mempercayai lingkungan perangkat lunak di sekitar Anda – bukan browser Anda, bukan app store Anda, bukan desktop Anda," kata Guillemet, menambahkan bahwa penyerang "beroperasi di mana pun ada kesempatan," termasuk platform distribusi resmi.
Terkait: Peretasan Web3 menelan biaya $482 juta di Q1 karena phishing mendorong mayoritas kerugian: Hacken
Insiden terbaru mengikuti kasus yang lebih kecil tetapi serupa yang dilaporkan pada hari Senin. Musisi Garrett Dutton, juga dikenal sebagai "G. Love," mengatakan dia kehilangan sekitar $420.000 dalam BTC setelah mengunduh aplikasi berbahaya yang menyamar sebagai Ledger Live dari App Store Apple dan memasukkan seed phrase-nya. ZachXBT mengatakan aset yang dicuri dikirim ke alamat deposit yang terkait dengan KuCoin.
Majalah: Bagaimana AI baru saja secara dramatis mempercepat risiko kuantum untuk Bitcoin
- #Security
- #Ledger
- #Cybersecurity
- #Scams
- #KuCoin
- #Scams & Cybercrime
