Principais vantagens:
- ZachXBT vinculou US$ 9,5 milhões em roubo de um aplicativo Ledger Live Apple App Store falso a supostos mais de 150 endereços de depósito Kucoin.
- Músico G. Love perdeu quase 6 Bitcoin; as três maiores vítimas perderam 7 dígitos cada uma entre 7 e 13 de abril.
- A Apple acabou removendo o aplicativo falso da App Store.
O aplicativo Fake Ledger Live iOS drenou US $ 9,5 milhões antes da Apple retirá-lo, descobre ZachXBT
ZachXBT postou suas descobertas na terça-feira, 14 de abril, no X, explicando como o aplicativo falso vitimou mais de 50 usuários entre 7 e 13 de abril em todo o mundo. Bitcoin, EVMTron, Solanae redes Ripple. A Apple removeu o aplicativo um dia antes de sua postagem.
As três maiores vítimas perderam sete dígitos cada. Um usuário perdeu US$ 3,23 milhões em USDT em 9 de abril. Uma segunda vítima perdeu US$ 2,079 milhões em USDC em 11 de abril. Uma terceira perdeu US$ 1,95 milhão em criptografia em 8 de abril, incluindo 20,64 Bitcoin211 stETH e 70 ETH.
Outra vítima entre os fraudados foi o músico Garrett Dutton, conhecido profissionalmente como G. Love, que perdeu quase 6 BTC para o aplicativo falso. ZachXBT identificou AudiA6 como o serviço de mixagem centralizado usado para movimentar os fundos roubados.
Ele descreveu o AudiA6 como um serviço que cobra altas taxas para processar dinheiro ilícito e alegou que os fundos roubados eram transferidos através de endereços de depósito Kucoin conectados a esse serviço. O investigador também afirmou que um outro ator de ameaça lavou US$ 3,5 milhões do Bitcoin Incidente de depósito em mais de 25 endereços de depósito Kucoin nos dias anteriores ao roubo relacionado ao Ledger.
No X, depois que a conta X oficial do Kucoin postou uma postagem aleatória de votação A&B, ZachXBT decidiu responder com suas acusações. “C) Quer explicar à comunidade por que Kucoin permitiu que um agente de ameaça lavasse mais de US$ 9,5 milhões vinculados a um aplicativo Ledger falso por meio de mais de 150 endereços de depósito Kucoin na semana passada?” ZachXBT perguntou. O investigador onchain acrescentou:
“Alguns dias antes, outro ator de ameaça lavou mais de US$ 3,5 milhões do Bitcoin Incidente de depósito através de mais de 25 endereços de depósito Kucoin. Você permitiu trocas instantâneas que abusam do KYC e de entidades como AudiA6, um misturador centralizado para que atores ilícitos operem livremente. Kucoin merece que os reguladores persigam seus negócios mais uma vez.”
Quando a conta X oficial da Kucoin respondeu à controvérsia solicitando um UID e um número de bilhete para investigar o assunto, ZachXBT respondeu com uma foto do documento de identificação de uma criança, o que implica que o processo de verificação do conhecimento do seu cliente (KYC) da bolsa é inadequado.
Kucoin não respondeu publicamente a essas alegações específicas até o momento da publicação. A resposta do UID e do número do ticket provavelmente veio de um agente de atendimento ao cliente.
ZachXBT disse que a situação pode servir de base para uma ação coletiva contra a Apple por hospedar o aplicativo fraudulento. Endereços de roubo publicados por ZachXBT abrangem vários blockchainincluindo Bitcoin, Ethereum, Tron, Solana e Ripple, identificando carteiras específicas conectadas a cada vítima.
A presença do falso aplicativo Ledger Live na App Store da Apple levantou questões mais amplas sobre como o software malicioso limpa o processo de revisão da Apple e por quanto tempo ele pode operar antes de ser removido.
Em uma nota compartilhada com o Bitcoin.com News, o CTO da Ledger, Charles Guillemet, enfatizou que sua empresa nunca solicitará uma frase-semente. “O Ledger nunca pedirá suas 24 palavras. Se alguém, ou qualquer aplicativo, estiver solicitando suas 24 palavras, presuma que algo está errado”, explicou Guillemet.
“A Ledger lembra consistentemente a comunidade sobre isso. Você não pode confiar no ambiente de software ao seu redor – nem no seu navegador, nem na sua loja de aplicativos, nem no seu desktop. Os invasores operam onde quer que exista oportunidade, e isso inclui plataformas de distribuição oficiais. A única proteção válida é manter suas chaves privadas em um dispositivo de hardware dedicado com uma tela segura, como um assinante do Ledger, e nunca inserir sua frase-semente em qualquer aplicativo ou site. Suas 24 palavras são sua carteira”, acrescentou o CTO da empresa de carteira de hardware.
Fontenews.bitcoink
