Nhà điều tra onchain ZachXBT đã lên tiếng cảnh báo về một ứng dụng Ledger Live giả mạo trên Apple App Store, gây ra vụ trộm cắp tiền điện tử trị giá khoảng 9,5 triệu USD từ hơn 50 nạn nhân chỉ trong vỏn vẹn từ ngày 7 đến 13 tháng 4.
Trong một bài đăng Telegram vào thứ Ba, ZachXBT tiết lộ rằng các vụ trộm cắp này đã ảnh hưởng đến người dùng trên nhiều mạng lưới bao gồm Bitcoin, Solana, Tron, XRP Ledger và các mạng tương thích Máy ảo Ethereum (EVM). Điều đáng báo động là số tiền bị đánh cắp đã được rửa qua hơn 150 địa chỉ nạp tiền của sàn KuCoin, được cho là có liên quan đến AudiA6 – một dịch vụ trộn tiền tập trung.
Ứng dụng giả mạo này đã bị Apple gỡ bỏ vào ngày 13 tháng 4. ZachXBT đã chỉ ra ba trường hợp thiệt hại lớn nhất, mỗi vụ lên tới hàng triệu USD. Một nạn nhân đã mất khoảng 1,95 triệu USD dưới dạng Bitcoin (BTC), staked Ether (stETH) và Ether (ETH). Một nạn nhân khác mất 3,23 triệu USD dưới dạng USDt (USDT) vào ngày 9 tháng 4, và nạn nhân thứ ba bị mất khoảng 2 triệu USD USDC (USDC) vào ngày 11 tháng 4.
ZachXBT nhấn mạnh rằng sàn KuCoin gần đây đã chứng kiến sự gia tăng đáng kể trong các hoạt động bất hợp pháp. Đáng chú ý, sàn này đã bị cấm tiếp nhận người dùng mới từ Liên minh Châu Âu vào tháng 2, ngay sau khi nhận được giấy phép MiCA (Markets in Crypto Assets Regulation). Nhà điều tra còn đặt ra câu hỏi liệu sự cố này có đủ cơ sở để khởi kiện tập thể chống lại Apple hay không.
Các chi tiết quan trọng, bao gồm tổng thiệt hại, số lượng nạn nhân và lộ trình rửa tiền, hiện vẫn dựa trên kết quả điều tra của ZachXBT và chưa được Apple hay KuCoin xác nhận tại thời điểm xuất bản. tienso.org đã liên hệ với cả hai công ty để xin bình luận nhưng chưa nhận được phản hồi.
Charles Guillemet, Giám đốc Công nghệ của Ledger, đã tuyên bố với tienso.org rằng công ty không bao giờ yêu cầu người dùng cung cấp cụm từ khôi phục 24 từ của họ, đồng thời cảnh báo rằng các môi trường phần mềm trông có vẻ chính thức cũng không nên được xem là an toàn tuyệt đối.
“Bạn không thể tin tưởng môi trường phần mềm xung quanh mình – không phải trình duyệt, không phải app store, cũng không phải máy tính để bàn của bạn,” Guillemet nhấn mạnh. Ông còn cho biết thêm rằng những kẻ tấn công “hoạt động ở bất cứ nơi nào có cơ hội,” kể cả trên các nền tảng phân phối chính thức.
Sự cố mới nhất này xảy ra sau một trường hợp tương tự nhưng quy mô nhỏ hơn được báo cáo vào thứ Hai. Nhạc sĩ Garrett Dutton, còn được biết đến với nghệ danh “G. Love,” cho biết ông đã mất khoảng 420.000 USD Bitcoin sau khi tải xuống một ứng dụng độc hại mạo danh Ledger Live từ Apple App Store và nhập cụm từ hạt giống của mình. ZachXBT cho biết số tài sản bị đánh cắp đã được gửi đến các địa chỉ nạp tiền liên quan đến KuCoin.
tienso.org cam kết đưa tin độc lập và minh bạch. Bài viết này được sản xuất theo Chính sách Biên tập của tienso.org và nhằm cung cấp thông tin chính xác, kịp thời. Độc giả được khuyến khích tự mình xác minh thông tin.
