Wichtige Erkenntnisse:
- ZachXBT hat den Diebstahl einer gefälschten Ledger Live Apple App Store-App im Wert von 9,5 Millionen US-Dollar mit angeblich über 150 Kucoin-Einzahlungsadressen in Verbindung gebracht.
- Der Musiker G. Love verlor fast 6 BTC; Die drei größten Opfer verloren zwischen dem 7. und 13. April jeweils siebenstellige Beträge.
- Apple hat die gefälschte Anwendung schließlich aus dem App Store entfernt.
Laut ZachXBT hat die gefälschte Ledger Live iOS-App 9,5 Millionen US-Dollar verschlungen, bevor Apple sie zurückzog
ZachXBT gepostet Er veröffentlichte seine Ergebnisse am Dienstag, dem 14. April, auf Bitcoin, EVMTron, Solanaund Ripple-Netzwerke. Apple hat die App einen Tag vor seinem Beitrag entfernt.
Die drei größten Opfer verloren jeweils siebenstellige Beträge. Ein Benutzer verlor 3,23 Millionen US-Dollar USDT am 9. April. Ein zweites Opfer verlor am 11. April 2,079 Millionen US-Dollar in USDC. Ein drittes Opfer verlor 1,95 Millionen US-Dollar Krypto am 8. April, einschließlich 20.64 Uhr BTC211 stETH und 70 ETH.
Ein weiteres Opfer unter den Betrogenen war der Musiker Garrett Dutton, beruflich bekannt als G. Love. der fast 6 BTC verloren hat zur Fake-App. ZachXBT identifizierte AudiA6 als den zentralen Mischdienst, der für den Transfer der gestohlenen Gelder verwendet wurde.
Er beschrieb AudiA6 als einen Dienst, der hohe Gebühren für die Verarbeitung illegaler Gelder erhebt, und behauptete, dass gestohlene Gelder über mit diesem Dienst verbundene Kucoin-Einzahlungsadressen transferiert wurden. Der Ermittler behauptete außerdem, dass ein separater Bedrohungsakteur 3,5 Millionen US-Dollar von der Bank gewaschen habe Bitcoin Depot Vorfall über mehr als 25 Kucoin-Einzahlungsadressen in den Tagen vor dem Ledger-bezogenen Diebstahl.
Auf X beschloss ZachXBT, mit seinen Anschuldigungen zu antworten, nachdem Kucoins offizielles „C) Möchten Sie der Community erklären, warum Kucoin einem Bedrohungsakteur in der vergangenen Woche erlaubt hat, mehr als 9,5 Millionen US-Dollar im Zusammenhang mit einer gefälschten Ledger-App über mehr als 150 Kucoin-Einzahlungsadressen zu waschen?“ ZachXBT fragte. Der Onchain-Ermittler fügte hinzu:
„Einige Tage zuvor hat ein anderer Bedrohungsakteur mehr als 3,5 Millionen US-Dollar aus dem Internet gewaschen Bitcoin Depotvorfall über 25+ Kucoin-Einzahlungsadressen. Sie haben den sofortigen Austausch ermöglicht und dabei KYC und Unternehmen wie AudiA6 missbraucht, einen zentralisierten Mixer, der illegalen Akteuren die freie Tätigkeit ermöglicht. Kucoin hat es verdient, dass die Aufsichtsbehörden erneut seine Geschäfte verfolgen.“
Beim offiziellen X-Konto von Kucoin antwortete zur Kontroverse beizutragen, indem er nach einer UID und einer Ticketnummer fragte, um die Angelegenheit zu untersuchen, ZachXBT antwortete mit einem Foto des Ausweisdokuments eines Kleinkindes, was darauf hindeutet, dass der Know-Your-Customer (KYC)-Verifizierungsprozess der Börse unzureichend ist.
Kucoin hatte zum Zeitpunkt der Veröffentlichung nicht öffentlich auf diese spezifischen Vorwürfe reagiert. Die Antwort auf UID und Ticketnummer stammte wahrscheinlich von einem Kundendienstmitarbeiter.
ZachXBT sagte, die Situation könne Anlass für eine Sammelklage gegen das Unternehmen sein Apfel für das Hosten der betrügerischen App. Die von ZachXBT veröffentlichten Diebstahladressen umfassen mehrere Blockchainseinschließlich BitcoinEthereum, Tron, Solanaund Ripple, die spezifische Wallets identifizieren, die mit jedem Opfer verbunden sind.
Die Präsenz der gefälschten Ledger Live-App im App Store von Apple warf umfassendere Fragen darüber auf, wie bösartige Software den Überprüfungsprozess von Apple durchläuft und wie lange sie bis zur Entfernung aktiv sein kann.
In einer Notiz, die mit geteilt wurde Bitcoin.com Nachricht, Hauptbuchist CTO Charles Guillemet betonte, dass seine Firma niemals nach einer Startphrase fragen werde. „Ledger wird Sie niemals nach Ihren 24 Wörtern fragen. Wenn jemand oder eine App nach Ihren 24 Wörtern fragt, gehen Sie davon aus, dass etwas nicht stimmt“, erklärte Guillemet.
„Ledger erinnert die Community immer wieder daran. Sie können der Softwareumgebung um Sie herum nicht vertrauen – nicht Ihrem Browser, nicht Ihrem App Store, nicht Ihrem Desktop. Angreifer agieren überall dort, wo die Gelegenheit dazu besteht, und dazu gehören auch offizielle Vertriebsplattformen. Der einzige Schutz, der besteht, besteht darin, Ihre zu behalten.“ private Schlüssel auf einem dedizierten Hardwaregerät mit einem sicheren Bildschirm, wie einem Ledger-Signierer, und geben Sie niemals Ihre Startphrase in eine App oder Website ein. „Ihre 24 Wörter sind Ihr Portemonnaie“, fügte der CTO des Hardware-Wallet-Unternehmens hinzu.
