ZachXBT: Apple App StoreのLedger Live偽アプリが被害者から950万ドルを流出させる

オンチェーン調査員のZachXBTは、Apple の App Store に掲載された偽のLedger Liveアプリが、4月7日から13日の間に50人以上の被害者から盗まれた約950万ドルの暗号資産に関連していると述べました。

火曜日のTelegram投稿で、ZachXBTは、この盗難がBitcoin、Solana、Tron、XRP Ledger、およびイーサリアム仮想マシン(EVM)互換ネットワークのユーザーに影響を与えたと述べました。彼は、盗まれた資金がAudiA6に関連するとされる150以上のKuCoin入金アドレスを通じてマネーロンダリングされたと主張しており、AudiA6を中央集権型ミキシングサービスと説明しています。 

ZachXBTは、この偽アプリが4月13日にAppleによって削除され、既知の最大のケースの中で7桁の損失を3件特定したと述べました。彼によると、ある被害者はBitcoin(BTC)、ステーキングEther(stETH)、Ether(ETH)で約195万ドルを失い、別の被害者は4月9日にUSDt(USDT)で323万ドルを失い、3人目の被害者は4月11日にUSDC(USDC)で約200万ドルを失いました。

ZachXBTは、Kucoinが最近不正行為の増加を見ており、同社が暗号資産市場規制(MiCA)ライセンスを取得した直後の2月に、欧州連合の新規ユーザーの受け入れを禁止されたと指摘しました。彼はまた、この事件がAppleに対する集団訴訟の根拠となるかどうかを疑問視しました。

関連記事: カウンターハッカーが月100万ドルを稼いでいた北朝鮮のIT部門を暴露

総損失額、被害者数、マネーロンダリングルートを含む主要な詳細は、ZachXBTの調査結果に基づいており、公開時点でAppleまたはKuCoinによって確認されていませんでした。Cointelegraphは両社にコメントを求めましたが、公開時点で返答は得られませんでした。

Ledgerはユーザーにアプリにシードフレーズを入力しないよう警告

Ledgerの最高技術責任者Charles Guillemetは、Cointelegraphへの声明で、同社はユーザーに24語のリカバリーフレーズを尋ねることは決してなく、公式に見えるソフトウェア環境を本質的に安全であると扱うべきではないと警告しました。

「周囲のソフトウェア環境は信頼できません。ブラウザも、アプリストアも、デスクトップも信頼できません」とGuillemetは述べ、攻撃者は公式の配信プラットフォームを含め「機会が存在する場所ならどこでも活動する」と付け加えました。 

関連記事: フィッシングが損失の大部分を占め、Web3ハッキングによる第1四半期の被害額は4億8200万ドル:Hacken

今回の事件は、月曜日に報告されたより小規模だが類似のケースに続くものです。ミュージシャンのGarrett Dutton(「G. Love」としても知られる)は、AppleのApp StoreからLedger Liveになりすました悪意のあるアプリをダウンロードし、シードフレーズを入力した後、BTCで約42万ドルを失ったと述べました。 ZachXBTは、盗まれた資産がKuCoinに関連する入金アドレスに送信されたと述べました。 

マガジン: AIがビットコインの量子リスクを劇的に加速させた方法