Ứng dụng Ledger Live giả mạo trên Apple App Store chiếm đoạt 9,5 triệu USD của hàng chục nạn nhân

Nhà điều tra on-chain ZachXBT cho biết một ứng dụng Ledger Live giả mạo được liệt kê trên App Store của Apple có liên quan đến vụ trộm khoảng 9,5 triệu USD tiền điện tử từ hơn 50 nạn nhân nghi vấn trong khoảng thời gian từ ngày 7 đến ngày 13 tháng 4.

Trong một bài đăng trên Telegram vào thứ Ba, ZachXBT cho biết các vụ trộm bị cáo buộc đã ảnh hưởng đến người dùng trên các mạng lưới Bitcoin, Solana, Tron, XRP Ledger và các mạng tương thích với Ethereum Virtual Machine (EVM). Ông khẳng định số tiền bị đánh cắp đã được rửa thông qua hơn 150 địa chỉ nạp tiền của KuCoin, được cho là có liên quan đến AudiA6, một dịch vụ trộn tiền tập trung.

ZachXBT cho biết ứng dụng giả mạo đã bị Apple gỡ bỏ vào ngày 13 tháng 4 và xác định được ba trường hợp tổn thất lên đến bảy con số trong số những vụ việc lớn nhất được biết đến. Ông cho biết một nạn nhân đã mất khoảng 1,95 triệu USD dưới dạng Bitcoin (BTC), staked Ether (stETH) và Ether (ETH), một nạn nhân khác mất 3,23 triệu USD dưới dạng USDt (USDT) vào ngày 9 tháng 4, và nạn nhân thứ ba mất khoảng 2 triệu USD dưới dạng USDC (USDC) vào ngày 11 tháng 4.

ZachXBT cho biết KuCoin đã chứng kiến sự gia tăng các hoạt động bất hợp pháp gần đây và chỉ ra rằng công ty này đã bị cấm tiếp nhận người dùng mới từ Liên minh Châu Âu vào tháng 2, ngay sau khi nhận được giấy phép Quy định về Thị trường Tài sản Tiền điện tử (MiCA). Ông cũng đặt câu hỏi liệu vụ việc này có tạo cơ sở cho một vụ kiện tập thể chống lại Apple hay không.

Các chi tiết quan trọng, bao gồm tổng thiệt hại, số lượng nạn nhân và lộ trình rửa tiền, vẫn dựa trên những phát hiện của ZachXBT và chưa được Apple hay KuCoin xác nhận tại thời điểm xuất bản. Cả hai công ty đều chưa phản hồi yêu cầu bình luận.

Ledger cảnh báo người dùng tuyệt đối không nhập cụm từ khôi phục vào ứng dụng

Giám đốc công nghệ của Ledger, Charles Guillemet, cho biết trong một tuyên bố rằng công ty không bao giờ yêu cầu người dùng cung cấp cụm từ khôi phục 24 từ và cảnh báo rằng các môi trường phần mềm trông có vẻ chính thức không nên được coi là an toàn tuyệt đối.

“Bạn không thể tin tưởng môi trường phần mềm xung quanh mình – không phải trình duyệt, không phải cửa hàng ứng dụng, cũng không phải máy tính để bàn của bạn,” Charles Guillemet nói, đồng thời cho biết thêm rằng những kẻ tấn công “hoạt động ở bất cứ nơi nào có cơ hội,” bao gồm cả các nền tảng phân phối chính thức.

Vụ việc mới nhất này diễn ra sau một trường hợp tương tự nhưng có quy mô nhỏ hơn được báo cáo vào thứ Hai. Nghệ sĩ Garrett Dutton, còn được gọi là “G. Love”, cho biết ông đã mất khoảng 420.000 USD dưới dạng BTC sau khi tải xuống một ứng dụng độc hại giả mạo Ledger Live từ App Store của Apple và nhập cụm từ khôi phục của mình. ZachXBT cho biết các tài sản bị đánh cắp đã được gửi đến các địa chỉ nạp tiền liên quan đến KuCoin.