Những điểm chính:
- ZachXBT đã liên kết vụ trộm trị giá 9,5 triệu đô la từ ứng dụng giả mạo Ledger Live trên Apple App Store với hơn 150 địa chỉ nạp Kucoin bị cáo buộc.
- Nhạc sĩ G. Love đã mất gần 6 BTC; 3 nạn nhân lớn nhất mỗi người đã mất 7 con số trong khoảng từ ngày 7-13 tháng 4.
- Cuối cùng Apple đã gỡ bỏ ứng dụng giả mạo khỏi App Store.
Ứng dụng Ledger Live iOS giả mạo đã rút 9,5 triệu đô la trước khi Apple gỡ bỏ, ZachXBT phát hiện
ZachXBT đã đăng phát hiện của mình vào thứ Ba, ngày 14 tháng 4, trên X, trình bày cách ứng dụng giả mạo đã làm nạn nhân hơn 50 người dùng trong khoảng từ ngày 7 đến 13 tháng 4 trên các mạng Bitcoin, EVM, Tron, Solana và Ripple. Apple đã gỡ bỏ ứng dụng vào ngày trước khi ông đăng bài.
Ba nạn nhân lớn nhất mỗi người đã mất 7 con số. Một người dùng đã mất 3,23 triệu đô la USDT vào ngày 9 tháng 4. Nạn nhân thứ hai đã mất 2,079 triệu đô la USDC vào ngày 11 tháng 4. Người thứ ba đã mất tiền mã hóa trị giá 1,95 triệu đô la vào ngày 8 tháng 4, bao gồm 20,64 BTC, 211 stETH và 70 ETH.
Một nạn nhân khác trong số những người bị lừa đảo là nhạc sĩ Garrett Dutton, được biết đến với nghệ danh G. Love, người đã mất gần 6 BTC cho ứng dụng giả mạo. ZachXBT đã xác định AudiA6 là dịch vụ trộn tập trung được sử dụng để chuyển tiền bị đánh cắp.
Ông mô tả AudiA6 là dịch vụ tính phí cao để xử lý tiền bất hợp pháp, và cáo buộc rằng tiền bị đánh cắp đã di chuyển qua các địa chỉ nạp Kucoin được kết nối với dịch vụ đó. Nhà điều tra cũng tuyên bố rằng một tác nhân đe dọa riêng biệt đã rửa 3,5 triệu đô la từ vụ Bitcoin Depot thông qua hơn 25 địa chỉ nạp Kucoin trong những ngày trước vụ trộm liên quan đến Ledger.
Trên X, sau khi tài khoản X chính thức của Kucoin đăng bài bình chọn A & B ngẫu nhiên, ZachXBT quyết định phản hồi bằng những cáo buộc của mình. "C) Muốn giải thích cho cộng đồng tại sao Kucoin cho phép một tác nhân đe dọa rửa hơn 9,5 triệu đô la liên quan đến ứng dụng Ledger giả mạo qua hơn 150 địa chỉ nạp Kucoin trong tuần qua?" ZachXBT hỏi. Nhà điều tra onchain đã thêm:
Khi tài khoản X chính thức của Kucoin phản hồi tranh cãi bằng cách yêu cầu MEXC UID và số ticket để xem xét vấn đề, ZachXBT đã trả lời bằng ảnh giấy tờ tùy thân của một trẻ sơ sinh, ám chỉ quy trình xác minh KYC của sàn giao dịch không đầy đủ.
Kucoin chưa công khai phản hồi những cáo buộc cụ thể đó vào thời điểm công bố. Phản hồi về MEXC UID và số ticket có thể từ một nhân viên dịch vụ khách hàng.
ZachXBT cho biết tình huống này có thể cung cấp cơ sở cho vụ kiện tập thể chống lại Apple vì lưu trữ ứng dụng gian lận. Các địa chỉ trộm cắp được ZachXBT công bố trải rộng trên nhiều blockchain, bao gồm Bitcoin, Ethereum blockchain, Tron, Solana và Ripple, xác định các ví cụ thể được kết nối với từng nạn nhân.
Sự hiện diện của ứng dụng Ledger Live giả mạo trên App Store của Apple đã đặt ra những câu hỏi rộng hơn về cách phần mềm độc hại vượt qua quy trình xem xét của Apple và nó có thể hoạt động bao lâu trước khi bị gỡ bỏ.
Trong ghi chú chia sẻ với Bitcoin.com News, CTO của Ledger Charles Guillemet nhấn mạnh rằng công ty của ông sẽ không bao giờ yêu cầu cụm từ khóa. "Ledger sẽ không bao giờ yêu cầu 24 từ của bạn. Nếu bất kỳ ai, hoặc bất kỳ ứng dụng nào, yêu cầu 24 từ của bạn, hãy cho rằng có điều gì đó không ổn," Guillemet giải thích.
"Ledger liên tục nhắc nhở cộng đồng về điều này. Bạn không thể tin tưởng môi trường phần mềm xung quanh mình – không phải trình duyệt của bạn, không phải cửa hàng ứng dụng của bạn, không phải máy tính để bàn của bạn. Kẻ tấn công hoạt động bất cứ nơi nào có cơ hội, và điều đó bao gồm cả các nền tảng phân phối chính thức. Biện pháp bảo vệ duy nhất có hiệu quả là giữ khóa riêng của bạn trên một thiết bị phần cứng chuyên dụng với màn hình bảo mật, như thiết bị ký Ledger, và không bao giờ nhập cụm từ khóa của bạn vào bất kỳ ứng dụng hoặc trang web nào. 24 từ của bạn chính là ví của bạn," CTO của công ty ví phần cứng bổ sung.
Nguồn: https://news.bitcoin.com/zachxbt-says-apple-app-store-fake-ledger-app-stole-9-5m-from-50-victims-in-one-week/
