Points clés :
- ZachXBT a lié un vol de 9,5 millions de dollars provenant d'une fausse application Ledger Live sur l'Apple App Store à plus de 150 adresses de dépôt Kucoin présumées.
- Le musicien G. Love a perdu près de 6 BTC ; les 3 plus grandes victimes ont chacune perdu 7 chiffres entre le 7 et le 13 avril.
- Apple a finalement supprimé l'application frauduleuse de l'App Store.
Une fausse application Ledger Live iOS a drainé 9,5 millions de dollars avant qu'Apple ne la retire, découvre ZachXBT
ZachXBT a publié ses découvertes le mardi 14 avril sur X, expliquant comment la fausse application a fait plus de 50 victimes entre le 7 et le 13 avril sur les réseaux Bitcoin, EVM, Tron, Solana et Ripple. Apple a supprimé l'application la veille de sa publication.
Les trois plus grandes victimes ont chacune perdu sept chiffres. Un utilisateur a perdu 3,23 millions de dollars en USDT le 9 avril. Une deuxième victime a perdu 2,079 millions de dollars en USDC le 11 avril. Une troisième a perdu 1,95 million de dollars en crypto le 8 avril, dont 20,64 BTC, 211 stETH et 70 ETH.
Une autre victime parmi les personnes escroquées était le musicien Garrett Dutton, connu professionnellement sous le nom de G. Love, qui a perdu près de 6 BTC à cause de la fausse application. ZachXBT a identifié AudiA6 comme le service de mixage centralisé utilisé pour déplacer les fonds volés.
Il a décrit AudiA6 comme un service qui facture des frais élevés pour traiter de l'argent illicite, et a allégué que les fonds volés transitaient par des adresses de dépôt Kucoin liées à ce service. L'enquêteur a également affirmé qu'un acteur de menace distinct a blanchi 3,5 millions de dollars de l'incident Bitcoin Depot via plus de 25 adresses de dépôt Kucoin dans les jours précédant le vol lié à Ledger.
Sur X, après que le compte X officiel de Kucoin ait publié un sondage aléatoire A & B, ZachXBT a décidé de répondre avec ses accusations. "C) Voulez-vous expliquer à la communauté pourquoi Kucoin a permis à un acteur de menace de blanchir plus de 9,5 millions de dollars liés à une fausse application Ledger via plus de 150 adresses de dépôt Kucoin au cours de la semaine dernière ?" a demandé ZachXBT. L'enquêteur onchain a ajouté :
Lorsque le compte X officiel de Kucoin a répondu à la controverse en demandant un UID et un numéro de ticket pour examiner l'affaire, ZachXBT a répondu avec une photo d'un document d'identification d'un nourrisson, sous-entendant que le processus de vérification d'identité (KYC) de l'exchange est inadéquat.
Kucoin n'avait pas répondu publiquement à ces allégations spécifiques au moment de la publication. La réponse concernant l'UID et le numéro de ticket provenait probablement d'un agent du service client.
ZachXBT a déclaré que la situation pourrait fournir des motifs pour une action collective contre Apple pour avoir hébergé l'application frauduleuse. Les adresses de vol publiées par ZachXBT couvrent plusieurs blockchains, notamment Bitcoin, Ethereum, Tron, Solana et Ripple, identifiant des portefeuilles spécifiques connectés à chaque victime.
La présence de la fausse application Ledger Live sur l'App Store d'Apple a soulevé des questions plus larges sur la manière dont les logiciels malveillants passent le processus d'examen d'Apple et combien de temps ils peuvent fonctionner avant d'être supprimés.
Dans une note partagée avec Bitcoin.com News, le CTO de Ledger, Charles Guillemet, a souligné que son entreprise ne demandera jamais une seed phrase. "Ledger ne demandera jamais vos 24 mots. Si quelqu'un, ou une application, vous demande vos 24 mots, supposez que quelque chose ne va pas," a expliqué Guillemet.
"Ledger rappelle constamment cela à la communauté. Vous ne pouvez pas faire confiance à l'environnement logiciel qui vous entoure – pas votre navigateur, pas votre app store, pas votre bureau. Les attaquants opèrent partout où l'opportunité existe, et cela inclut les plateformes de distribution officielles. La seule protection qui tient est de conserver vos clés privées sur un dispositif matériel dédié avec un écran sécurisé, comme un signataire Ledger, et de ne jamais saisir votre seed phrase dans une application ou un site web. Vos 24 mots sont votre portefeuille," a ajouté le CTO de l'entreprise de portefeuilles matériels.
Source : https://news.bitcoin.com/zachxbt-says-apple-app-store-fake-ledger-app-stole-9-5m-from-50-victims-in-one-week/
