O investigador on-chain ZachXBT afirmou que um aplicativo falso do Ledger Live listado na App Store da Apple esteve ligado a cerca de US$ 9,5 milhões em criptomoedas roubadas de mais de 50 vítimas suspeitas entre 7 e 13 de abril.
Em uma publicação no Telegram na terça-feira, ZachXBT disse que os supostos roubos afetaram usuários em redes como Bitcoin, Solana, Tron, XRP Ledger e redes compatíveis com a Ethereum Virtual Machine (EVM). Ele afirmou que os fundos roubados foram lavados por meio de mais de 150 endereços de depósito da KuCoin, supostamente ligados à AudiA6, que ele descreveu como um serviço centralizado de mixer.
ZachXBT disse que o aplicativo falso foi removido pela Apple em 13 de abril e identificou três perdas de sete dígitos entre os maiores casos conhecidos. Segundo ele, uma vítima perdeu cerca de US$ 1,95 milhão em Bitcoin (BTC), Ether em staking (stETH) e Ether (ETH); outra perdeu US$ 3,23 milhões em USDt (USDT) em 9 de abril; e uma terceira perdeu cerca de US$ 2 milhões em USDC (USDC) em 11 de abril.
ZachXBT afirmou que a KuCoin registrou um aumento em atividades ilícitas recentemente e destacou que a empresa foi proibida de cadastrar novos usuários da União Europeia em fevereiro, pouco depois de receber sua licença sob o Regulamento de Mercados em Criptoativos (MiCA). Ele também questionou se o caso poderia abrir espaço para uma ação coletiva contra a Apple.
Detalhes-chave, incluindo o total de perdas, o número de vítimas e a rota de lavagem dos fundos, permanecem baseados nas descobertas de ZachXBT e não haviam sido confirmados pela Apple ou pela KuCoin até a publicação. O Cointelegraph entrou em contato com ambas as empresas, mas não recebeu resposta até o fechamento.
Ledger alerta usuários a nunca inserir frase-semente em aplicativos
O diretor de tecnologia da Ledger, Charles Guillemet, afirmou em comunicado ao Cointelegraph que a empresa nunca solicita a frase de recuperação de 24 palavras dos usuários e alertou que ambientes de software que parecem oficiais não devem ser considerados automaticamente seguros.
“Você não pode confiar no ambiente de software ao seu redor, nem no navegador, nem na loja de aplicativos, nem no desktop”, disse Guillemet, acrescentando que invasores “atuam onde houver oportunidade”, incluindo plataformas oficiais de distribuição.
O caso mais recente ocorre após um episódio menor, porém semelhante, relatado na segunda-feira. O músico Garrett Dutton, conhecido como G. Love, afirmou ter perdido cerca de US$ 420 mil em BTC após baixar um aplicativo malicioso que imitava o Ledger Live na App Store da Apple e inserir sua frase-semente. ZachXBT disse que os ativos roubados foram enviados para endereços de depósito associados à KuCoin.