मुख्य बातें:
- ZachXBT ने नकली Ledger Live Apple App Store ऐप से $9.5M की चोरी को 150+ Kucoin जमा पतों से जोड़ा।
- संगीतकार G. Love ने लगभग 6 BTC खो दिए; 3 सबसे बड़े पीड़ितों ने 7 अप्रैल-13 के बीच 7 अंकों का नुकसान उठाया।
- Apple ने अंततः App Store से नकली एप्लिकेशन को हटा दिया।
नकली Ledger Live iOS ऐप ने $9.5M निकाल लिए, Apple द्वारा हटाए जाने से पहले, ZachXBT ने पता लगाया
ZachXBT ने मंगलवार, 14 अप्रैल को X पर अपने निष्कर्ष पोस्ट किए, जिसमें बताया गया कि कैसे नकली ऐप ने 7 अप्रैल और 13 के बीच Bitcoin, EVM, Tron, Solana, और Ripple नेटवर्क पर 50 से अधिक उपयोगकर्ताओं को शिकार बनाया। Apple ने उनकी पोस्ट से एक दिन पहले ऐप को हटा दिया।
तीन सबसे बड़े पीड़ितों में से प्रत्येक ने सात अंकों का नुकसान उठाया। एक उपयोगकर्ता ने 9 अप्रैल को USDT में $3.23 मिलियन खो दिए। दूसरे पीड़ित ने 11 अप्रैल को USDC में $2.079 मिलियन खो दिए। तीसरे ने 8 अप्रैल को $1.95 मिलियन मूल्य की क्रिप्टो खो दी, जिसमें 20.64 BTC, 211 stETH, और 70 ETH शामिल थे।
धोखाधड़ी के शिकार लोगों में एक और पीड़ित संगीतकार Garrett Dutton थे, जो पेशेवर रूप से G. Love के नाम से जाने जाते हैं, जिन्होंने नकली ऐप में लगभग 6 BTC खो दिए। ZachXBT ने AudiA6 की पहचान चोरी किए गए धन को स्थानांतरित करने के लिए उपयोग की जाने वाली केंद्रीकृत मिक्सिंग सेवा के रूप में की।
उन्होंने AudiA6 को एक ऐसी सेवा बताया जो अवैध धन को संसाधित करने के लिए उच्च शुल्क लेती है, और आरोप लगाया कि चोरी किए गए धन उस सेवा से जुड़े Kucoin जमा पतों के माध्यम से स्थानांतरित किए गए। जांचकर्ता ने यह भी दावा किया कि एक अलग खतरा कर्ता ने Ledger से संबंधित चोरी से कुछ दिन पहले Bitcoin Depot घटना से $3.5 मिलियन को 25 से अधिक Kucoin जमा पतों के माध्यम से लॉन्डर किया।
X पर, Kucoin के आधिकारिक X अकाउंट द्वारा एक यादृच्छिक A & B वोट पोस्ट पोस्ट करने के बाद, ZachXBT ने अपने आरोपों के साथ जवाब देने का फैसला किया। "C) समुदाय को यह समझाना चाहते हैं कि Kucoin ने पिछले सप्ताह में 150+ Kucoin जमा पतों के माध्यम से एक नकली Ledger ऐप से जुड़े $9.5M+ को लॉन्डर करने के लिए एक खतरा कर्ता को क्यों अनुमति दी?" ZachXBT ने पूछा। ऑनचेन जांचकर्ता ने आगे कहा:
जब Kucoin के आधिकारिक X अकाउंट ने विवाद का जवाब देते हुए मामले की जांच के लिए UID और टिकट नंबर मांगा, तो ZachXBT ने एक शिशु के ID दस्तावेज़ की फोटो के साथ जवाब दिया, जिसका अर्थ है कि एक्सचेंज की नो-योर-कस्टमर (KYC) सत्यापन प्रक्रिया अपर्याप्त है।
प्रकाशन के समय तक Kucoin ने उन विशिष्ट आरोपों का सार्वजनिक रूप से जवाब नहीं दिया था। UID और टिकट नंबर की प्रतिक्रिया संभवतः एक ग्राहक सेवा एजेंट की थी।
ZachXBT ने कहा कि स्थिति धोखाधड़ी वाले ऐप को होस्ट करने के लिए Apple के खिलाफ सामूहिक मुकदमे के आधार प्रदान कर सकती है। ZachXBT द्वारा प्रकाशित चोरी के पते कई ब्लॉकचेन में फैले हुए हैं, जिनमें Bitcoin, Ethereum, Tron, Solana, और Ripple शामिल हैं, जो प्रत्येक पीड़ित से जुड़े विशिष्ट वॉलेट की पहचान करते हैं।
Apple के App Store पर नकली Ledger Live ऐप की उपस्थिति ने व्यापक सवाल उठाए कि कैसे दुर्भावनापूर्ण सॉफ़्टवेयर Apple की समीक्षा प्रक्रिया को पार करता है और हटाए जाने से पहले यह कितने समय तक काम कर सकता है।
Bitcoin.com News के साथ साझा किए गए एक नोट में, Ledger के CTO Charles Guillemet ने जोर देकर कहा कि उनकी फर्म कभी भी सीड फ़्रेज़ नहीं मांगेगी। "Ledger कभी भी आपके 24 शब्दों के लिए नहीं पूछेगा। यदि कोई, या कोई ऐप, आपके 24 शब्दों के लिए पूछ रहा है, तो मान लें कि कुछ गलत है," Guillemet ने समझाया।
"Ledger लगातार समुदाय को इस बारे में याद दिलाता है। आप अपने आसपास के सॉफ़्टवेयर वातावरण पर भरोसा नहीं कर सकते - न आपका ब्राउज़र, न आपका ऐप स्टोर, न आपका डेस्कटॉप। हमलावर जहां भी अवसर मौजूद होता है वहां काम करते हैं, और इसमें आधिकारिक वितरण प्लेटफ़ॉर्म शामिल हैं। एकमात्र सुरक्षा जो टिकती है वह है अपनी निजी कुंजियों को एक समर्पित हार्डवेयर डिवाइस पर सुरक्षित स्क्रीन के साथ रखना, जैसे Ledger साइनर, और कभी भी अपने सीड फ़्रेज़ को किसी ऐप या वेबसाइट में दर्ज न करना। आपके 24 शब्द आपका वॉलेट हैं," हार्डवेयर वॉलेट फर्म के CTO ने आगे कहा।
स्रोत: https://news.bitcoin.com/zachxbt-says-apple-app-store-fake-ledger-app-stole-9-5m-from-50-victims-in-one-week/
