ZachXBT Mengatakan Aplikasi Ledger Palsu di Apple App Store Mencuri $9,5 Juta dari 50+ Korban dalam Satu Minggu – Berita Kripto Berita Bitcoin

Poin-Poin Penting:

• ZachXBT mengaitkan pencurian senilai $9,5 juta dari aplikasi palsu Ledger Live di Apple App Store dengan dugaan 150+ alamat deposit Kucoin.
• Musisi G. Love kehilangan hampir 6 BTC; 3 korban terbesar masing-masing kehilangan 7 digit antara 7-13 April.
• Apple akhirnya menghapus aplikasi palsu tersebut dari App Store.

Aplikasi iOS Ledger Live Palsu Menguras $9,5 Juta Sebelum Apple Menariknya, Temuan ZachXBT

ZachXBT memposting temuannya pada Selasa, 14 April, di X, menjelaskan bagaimana aplikasi palsu tersebut merugikan lebih dari 50 pengguna antara 7 dan 13 April di jaringan Bitcoin, EVM, Tron, Solana, dan Ripple. Apple menghapus aplikasi tersebut sehari sebelum postingannya.

Tiga korban terbesar masing-masing kehilangan tujuh digit. Satu pengguna kehilangan $3,23 juta dalam USDT pada 9 April. Korban kedua kehilangan $2,079 juta dalam USDC pada 11 April. Korban ketiga kehilangan kripto senilai $1,95 juta pada 8 April, termasuk 20,64 BTC, 211 stETH, dan 70 ETH.

Korban lain di antara mereka yang ditipu adalah musisi Garrett Dutton, yang dikenal secara profesional sebagai G. Love, yang kehilangan hampir 6 BTC karena aplikasi palsu tersebut. ZachXBT mengidentifikasi AudiA6 sebagai layanan pencampuran terpusat yang digunakan untuk memindahkan dana curian.

Dia menggambarkan AudiA6 sebagai layanan yang membebankan biaya tinggi untuk memproses uang ilegal, dan menuduh bahwa dana curian berpindah melalui alamat deposit Kucoin yang terhubung dengan layanan tersebut. Investigator tersebut juga mengklaim bahwa pelaku ancaman terpisah mencuci $3,5 juta dari insiden Bitcoin Depot melalui lebih dari 25 alamat deposit Kucoin dalam beberapa hari sebelum pencurian terkait Ledger.

Di X, setelah akun X resmi Kucoin memposting postingan voting A & B secara acak, ZachXBT memutuskan untuk merespons dengan tuduhannya. "C) Mau menjelaskan kepada komunitas mengapa Kucoin mengizinkan pelaku ancaman mencuci $9,5 juta+ yang terkait dengan aplikasi Ledger palsu melalui 150+ alamat deposit Kucoin selama seminggu terakhir?" tanya ZachXBT. Investigator onchain tersebut menambahkan:

Ketika akun X resmi Kucoin merespons kontroversi dengan meminta UID dan nomor tiket untuk menyelidiki masalah tersebut, ZachXBT membalas dengan foto dokumen ID bayi, menyiratkan bahwa proses verifikasi know-your-customer (KYC) bursa tersebut tidak memadai.

Kucoin belum merespons secara publik tuduhan spesifik tersebut pada saat publikasi. Respons UID dan nomor tiket kemungkinan berasal dari agen layanan pelanggan.

ZachXBT mengatakan situasi tersebut mungkin memberikan dasar untuk gugatan class action terhadap Apple karena menghosting aplikasi penipuan tersebut. Alamat pencurian yang dipublikasikan oleh ZachXBT mencakup berbagai blockchain, termasuk Bitcoin, Ethereum, Tron, Solana, dan Ripple, mengidentifikasi dompet spesifik yang terhubung dengan setiap korban.

Keberadaan aplikasi Ledger Live palsu di App Store Apple menimbulkan pertanyaan yang lebih luas tentang bagaimana perangkat lunak berbahaya lolos dari proses peninjauan Apple dan berapa lama dapat beroperasi sebelum dihapus.

Dalam catatan yang dibagikan kepada Bitcoin.com News, CTO Ledger Charles Guillemet menekankan bahwa perusahaannya tidak akan pernah meminta seed phrase. "Ledger tidak akan pernah meminta 24 kata Anda. Jika ada orang, atau aplikasi apa pun, meminta 24 kata Anda, anggaplah ada yang salah," jelas Guillemet.

"Ledger secara konsisten mengingatkan komunitas tentang hal ini. Anda tidak dapat mempercayai lingkungan perangkat lunak di sekitar Anda – bukan browser Anda, bukan app store Anda, bukan desktop Anda. Penyerang beroperasi di mana pun peluang ada, dan itu termasuk platform distribusi resmi. Satu-satunya perlindungan yang bertahan adalah menyimpan kunci pribadi Anda pada perangkat keras khusus dengan layar aman, seperti penanda tangan Ledger, dan tidak pernah memasukkan seed phrase Anda ke aplikasi atau situs web mana pun. 24 kata Anda adalah dompet Anda," tambah CTO perusahaan dompet perangkat keras tersebut.