ZachXBT می‌گوید اپلیکیشن جعلی لجر در اپ استور اپل 9.5 میلیون دلار از بیش از 50 قربانی در یک هفته سرقت کرد – اخبار کریپتو اخبار بیت کوین

نکات کلیدی:

• ZachXBT سرقت 9.5 میلیون دلاری از یک اپلیکیشن جعلی Ledger Live در اپ استور اپل را به بیش از 150 آدرس سپرده Kucoin مرتبط کرد.
• موزیسین G. Love تقریباً 6 BTC از دست داد؛ 3 قربانی بزرگتر هر کدام بین 7 تا 13 آوریل رقم هفت رقمی از دست دادند.
• اپل سرانجام اپلیکیشن جعلی را از اپ استور حذف کرد.

اپلیکیشن جعلی Ledger Live در iOS قبل از حذف توسط اپل 9.5 میلیون دلار تخلیه کرد، ZachXBT کشف می‌کند

ZachXBT یافته‌های خود را روز سه‌شنبه، 14 آوریل، در X منتشر کرد و توضیح داد که چگونه اپلیکیشن جعلی بین 7 تا 13 آوریل بیش از 50 کاربر را در شبکه‌های ارز دیجیتال بیت کوین، EVM، Tron، Solana و Ripple قربانی کرد. اپل یک روز قبل از انتشار پست او، اپلیکیشن را حذف کرد.

سه قربانی بزرگتر هر کدام رقم هفت رقمی از دست دادند. یک کاربر در 9 آوریل 3.23 میلیون دلار USDT از دست داد. قربانی دوم در 11 آوریل 2.079 میلیون دلار USDC از دست داد. قربانی سوم در 8 آوریل معادل 1.95 میلیون دلار رمزارز از دست داد، شامل 20.64 BTC، 211 stETH و 70 ETH.

قربانی دیگر در میان کسانی که کلاهبرداری شدند، موزیسین گارت داتون بود که به صورت حرفه‌ای با نام G. Love شناخته می‌شود و تقریباً 6 BTC به اپلیکیشن جعلی از دست داد. ZachXBT سرویس AudiA6 را به عنوان سرویس میکس متمرکزی که برای انتقال وجوه سرقت شده استفاده شد، شناسایی کرد.

او AudiA6 را به عنوان سرویسی توصیف کرد که کارمزد بالایی برای پردازش پول غیرقانونی دریافت می‌کند، و ادعا کرد که وجوه سرقت شده از طریق آدرس‌های سپرده Kucoin مرتبط با آن سرویس منتقل شده‌اند. محقق همچنین ادعا کرد که یک مهاجم جداگانه 3.5 میلیون دلار از حادثه Bitcoin Depot را از طریق بیش از 25 آدرس سپرده Kucoin در روزهای قبل از سرقت مرتبط با Ledger پولشویی کرد.

در X، پس از اینکه حساب رسمی Kucoin در X یک پست رأی‌گیری تصادفی A و B منتشر کرد، ZachXBT تصمیم گرفت با اتهامات خود پاسخ دهد. "C) می‌خواهید به جامعه توضیح دهید که چرا Kucoin به یک مهاجم اجازه داد تا 9.5 میلیون دلار+ مرتبط با یک اپلیکیشن جعلی Ledger را از طریق بیش از 150 آدرس سپرده Kucoin طی هفته گذشته پولشویی کند؟" ZachXBT پرسید. محقق آنچین اضافه کرد:

وقتی حساب رسمی Kucoin در X در پاسخ به این جنجال درخواست شناسه کاربری و شماره تیکت برای بررسی موضوع کرد، ZachXBT با عکسی از سند شناسایی یک نوزاد پاسخ داد، که به طور ضمنی نشان می‌داد فرآیند تاییدیه مشتری خودت را بشناس (KYC) صرافی ناکافی است.

Kucoin تا زمان انتشار به طور عمومی به آن اتهامات خاص پاسخ نداده بود. پاسخ شناسه کاربری و شماره تیکت احتمالاً از یک نماینده خدمات مشتری بود.

ZachXBT گفت که این وضعیت ممکن است مبنایی برای یک دعوای جمعی علیه اپل برای میزبانی اپلیکیشن تقلبی فراهم کند. آدرس‌های سرقت منتشر شده توسط ZachXBT چندین بلاک چین را شامل می‌شود، از جمله ارز دیجیتال بیت کوین، بلاک چین اتریوم، Tron، Solana و Ripple، که کیف پول‌های خاص مرتبط با هر قربانی را شناسایی می‌کند.

حضور اپلیکیشن جعلی Ledger Live در اپ استور اپل سؤالات گسترده‌تری در مورد اینکه چگونه نرم‌افزار مخرب از فرآیند بررسی اپل عبور می‌کند و چه مدت قبل از حذف می‌تواند فعالیت کند، ایجاد کرد.

در یادداشتی که با Bitcoin.com News به اشتراک گذاشته شد، Charles Guillemet، CTO لجر، تأکید کرد که شرکت او هرگز درخواست عبارت بازیابی نخواهد کرد. "Ledger هرگز 24 کلمه شما را درخواست نمی‌کند. اگر کسی یا هر اپلیکیشنی 24 کلمه شما را درخواست می‌کند، فرض کنید چیزی اشتباه است،" Guillemet توضیح داد.

"Ledger به طور مداوم جامعه را در مورد این موضوع یادآوری می‌کند. شما نمی‌توانید به محیط نرم‌افزاری اطراف خود اعتماد کنید - نه مرورگر شما، نه فروشگاه اپلیکیشن شما، نه اپلیکیشن دسکتاپ شما. مهاجمان هر جایی که فرصت وجود داشته باشد عمل می‌کنند، و این شامل پلتفرم‌های توزیع رسمی می‌شود. تنها محافظتی که پایدار است نگهداری کلیدهای خصوصی شما در یک دستگاه سخت‌افزاری اختصاصی با صفحه نمایش امن، مانند Ledger signer، و هرگز عبارت بازیابی خود را در هیچ برنامه‌ای یا وب‌سایتی وارد نکنید. 24 کلمه شما، کیف پول شما است،" CTO شرکت کیف پول سخت‌افزاری اضافه کرد.