Wichtigste Erkenntnisse:
- ZachXBT verknüpfte einen Diebstahl von 9,5 Millionen US-Dollar durch eine gefälschte Ledger Live Apple App Store-App mit angeblich über 150 Kucoin-Einzahlungsadressen.
- Musiker G. Love verlor fast 6 BTC; die 3 größten Opfer verloren jeweils siebenstellige Beträge zwischen dem 07.04. und 13.04.
- Apple entfernte schließlich die betrügerische Anwendung aus dem App Store.
Gefälschte Ledger Live iOS-App entzog 9,5 Millionen US-Dollar, bevor Apple sie entfernte, so ZachXBT
ZachXBT veröffentlichte seine Erkenntnisse am Dienstag, den 14.04., auf X und legte dar, wie die gefälschte App zwischen dem 07.04. und 13.04. mehr als 50 Nutzer über Bitcoin-, EVM-, Tron-, Solana- und Ripple-Netzwerke geschädigt hatte. Apple entfernte die App am Tag vor seiner Veröffentlichung.
Die drei größten Opfer verloren jeweils siebenstellige Beträge. Ein Nutzer verlor am 09.04. 3,23 Millionen US-Dollar in USDT. Ein zweites Opfer verlor am 11.04. 2,079 Millionen US-Dollar in USDC. Ein drittes verlor am 08.04. Kryptowährungen im Wert von 1,95 Millionen US-Dollar, darunter 20,64 BTC, 211 stETH und 70 ETH.
Ein weiteres Opfer unter den Betrogenen war der Musiker Garrett Dutton, professionell bekannt als G. Love, der fast 6 BTC durch die gefälschte App verlor. ZachXBT identifizierte AudiA6 als den zentralisierten Mixing-Service, der zum Transfer der gestohlenen Gelder verwendet wurde.
Er beschrieb AudiA6 als einen Service, der hohe Gebühren für die Verarbeitung illegaler Gelder verlangt, und behauptete, dass gestohlene Gelder über Kucoin-Einzahlungsadressen transferiert wurden, die mit diesem Service verbunden sind. Der Ermittler behauptete auch, dass ein separater Bedrohungsakteur in den Tagen vor dem Ledger-bezogenen Diebstahl 3,5 Millionen US-Dollar aus dem Bitcoin Depot-Vorfall über mehr als 25 Kucoin-Einzahlungsadressen gewaschen hat.
Auf X, nachdem Kucoins offizieller X-Account einen zufälligen A & B-Abstimmungspost veröffentlicht hatte, entschied sich ZachXBT, mit seinen Anschuldigungen zu antworten. „C) Möchten Sie der Community erklären, warum Kucoin einem Bedrohungsakteur erlaubt hat, über 9,5 Millionen US-Dollar+ im Zusammenhang mit einer gefälschten Ledger-App über mehr als 150 Kucoin-Einzahlungsadressen in der vergangenen Woche zu waschen?" fragte ZachXBT. Der On-Chain-Ermittler fügte hinzu:
Als Kucoins offizieller X-Account auf die Kontroverse reagierte, indem er nach einer UID und einer Ticketnummer fragte, um die Angelegenheit zu untersuchen, antwortete ZachXBT mit einem Foto eines Säuglings-Ausweisdokuments, was impliziert, dass der KYC-Verifizierungsprozess der Börse unzureichend ist.
Kucoin hatte zum Zeitpunkt der Veröffentlichung nicht öffentlich auf diese spezifischen Vorwürfe reagiert. Die Antwort mit UID und Ticketnummer stammte wahrscheinlich von einem Kundendienstmitarbeiter.
ZachXBT sagte, die Situation könnte Grundlage für eine Sammelklage gegen Apple bieten, weil es die betrügerische App gehostet hat. Von ZachXBT veröffentlichte Diebstahladressen erstrecken sich über mehrere Blockchains, darunter Bitcoin, Ethereum, Tron, Solana und Ripple, und identifizieren spezifische Wallets, die mit jedem Opfer verbunden sind.
Die Präsenz der gefälschten Ledger Live-App in Apples App Store warf umfassendere Fragen darauf auf, wie schädliche Software Apples Überprüfungsprozess passiert und wie lange sie vor ihrer Entfernung operieren kann.
In einer mit Bitcoin.com News geteilten Mitteilung betonte Ledgers CTO Charles Guillemet, dass sein Unternehmen niemals nach einer Seed-Phrase fragen wird. „Ledger wird niemals nach Ihren 24 Wörtern fragen. Wenn jemand oder eine App nach Ihren 24 Wörtern fragt, gehen Sie davon aus, dass etwas nicht stimmt", erklärte Guillemet.
„Ledger erinnert die Community konsequent daran. Sie können der Software-Umgebung um Sie herum nicht vertrauen – nicht Ihrem Browser, nicht Ihrem App Store, nicht Ihrem Desktop. Angreifer operieren überall dort, wo sich eine Gelegenheit bietet, und das schließt offizielle Vertriebsplattformen ein. Der einzige Schutz, der hält, besteht darin, Ihre privaten Schlüssel auf einem dedizierten Hardware-Gerät mit sicherem Bildschirm, wie einem Ledger Signer, zu speichern und niemals Ihre Seed-Phrase in eine App oder Website einzugeben. Ihre 24 Wörter sind Ihre Wallet", fügte der CTO des Hardware-Wallet-Unternehmens hinzu.
Quelle: https://news.bitcoin.com/zachxbt-says-apple-app-store-fake-ledger-app-stole-9-5m-from-50-victims-in-one-week/
