Principais Conclusões:
- ZachXBT associou $9,5M em roubo de uma aplicação falsa do Ledger Live na Apple App Store a alegadamente mais de 150 endereços de depósito da Kucoin.
- O músico G. Love perdeu quase 6 BTC; as 3 maiores vítimas perderam cada uma 7 dígitos entre 7 e 13 de abril.
- A Apple acabou por remover a aplicação fraudulenta da App Store.
Aplicação Falsa do Ledger Live para iOS Drenou $9,5M Antes de a Apple a Remover, Descobre ZachXBT
ZachXBT publicou as suas descobertas na terça-feira, 14 de abril, no X, explicando como a aplicação falsa vitimou mais de 50 utilizadores entre 7 e 13 de abril através das redes Bitcoin, EVM, Tron, Solana e Ripple. A Apple removeu a aplicação no dia anterior à sua publicação.
As três maiores vítimas perderam cada uma sete dígitos. Um utilizador perdeu $3,23 milhões em USDT a 9 de abril. Uma segunda vítima perdeu $2,079 milhões em USDC a 11 de abril. Uma terceira perdeu $1,95 milhões em cripto a 8 de abril, incluindo 20,64 BTC, 211 stETH e 70 ETH.
Outra vítima entre os defraudados foi o músico Garrett Dutton, conhecido profissionalmente como G. Love, que perdeu quase 6 BTC para a aplicação falsa. ZachXBT identificou AudiA6 como o serviço de mistura centralizado usado para movimentar os fundos roubados.
Ele descreveu AudiA6 como um serviço que cobra taxas elevadas para processar dinheiro ilícito, e alegou que os fundos roubados foram movimentados através de endereços de depósito da Kucoin ligados a esse serviço. O investigador também afirmou que um agente de ameaça separado blanqueou $3,5 milhões do incidente Bitcoin Depot através de mais de 25 endereços de depósito da Kucoin nos dias antes do roubo relacionado com o Ledger.
No X, depois de a conta oficial X da Kucoin publicar uma publicação de votação aleatória A & B, ZachXBT decidiu responder com as suas acusações. "C) Querem explicar à comunidade porque é que a Kucoin permitiu que um agente de ameaça branqueasse $9,5M+ ligados a uma aplicação falsa do Ledger através de mais de 150 endereços de depósito da Kucoin durante a semana passada?" perguntou ZachXBT. O investigador on-chain acrescentou:
Quando a conta oficial X da Kucoin respondeu à controvérsia pedindo um UID MEXC e número de ticket para analisar o assunto, ZachXBT respondeu com uma fotografia de um documento de identificação por foto de um bebé, sugerindo que o processo de verificação KYC da exchange é inadequado.
A Kucoin não tinha respondido publicamente a essas alegações específicas até ao momento da publicação. A resposta do UID MEXC e número de ticket foi provavelmente de um agente de atendimento ao cliente.
ZachXBT disse que a situação pode fornecer fundamentos para uma ação judicial coletiva contra a Apple por hospedar a aplicação fraudulenta. Os endereços de roubo publicados por ZachXBT abrangem múltiplas blockchains, incluindo Bitcoin, blockchain Ethereum, Tron, Solana e Ripple, identificando carteiras específicas ligadas a cada vítima.
A presença da aplicação falsa do Ledger Live na App Store da Apple levantou questões mais amplas sobre como software malicioso passa pelo processo de revisão da Apple e quanto tempo pode operar antes da remoção.
Numa nota partilhada com a Bitcoin.com News, o CTO da Ledger, Charles Guillemet, sublinhou que a sua empresa nunca pedirá uma frase-semente. "A Ledger nunca pedirá as suas 24 palavras. Se alguém, ou qualquer aplicação, estiver a pedir as suas 24 palavras, assuma que algo está errado", explicou Guillemet.
"A Ledger lembra consistentemente a comunidade sobre isto. Não pode confiar no ambiente de software à sua volta – nem no seu navegador, nem na sua app store, nem no seu desktop. Os atacantes operam onde quer que a oportunidade exista, e isso inclui plataformas oficiais de distribuição. A única proteção que se mantém é manter as suas chaves privadas num dispositivo de hardware dedicado com um ecrã seguro, como um assinante Ledger, e nunca introduzir a sua frase-semente em qualquer aplicação ou website. As suas 24 palavras são a sua carteira", acrescentou o CTO da empresa de carteiras de hardware.
Fonte: https://news.bitcoin.com/zachxbt-says-apple-app-store-fake-ledger-app-stole-9-5m-from-50-victims-in-one-week/
