Una aplicación falsa de Ledger Live en la tienda de Apple está vinculada a USD
9,5 millones en robos de criptomonedas, mientras ZachXBT relaciona los fondos
de más de 50 víctimas con un mixer vinculado a KuCoin y cuestiona la
responsabilidad de Apple.
El investigador onchain ZachXBT dijo que una
aplicación falsa de Ledger Live listada en la App Store
de Apple estuvo vinculada a aproximadamente USD 9,5 millones en criptomonedas
robadas de más de 50 víctimas sospechosas entre el 7 y el 13 de abril.
En una publicación en Telegram
el martes, ZachXBT dijo que los presuntos robos afectaron a usuarios en redes
como Bitcoin, Solana, Tron, XRP Ledger y redes compatibles con Ethereum
Virtual Machine (EVM). Afirmó que los fondos robados fueron lavados a través
de más de 150 direcciones de depósito de KuCoin presuntamente vinculadas a
AudiA6, al que describió como un servicio de mezcla centralizado.
ZachXBT señaló que la aplicación falsa fue eliminada por Apple el 13 de abril
e identificó tres pérdidas de siete cifras entre los mayores casos conocidos.
Dijo que una víctima perdió aproximadamente USD 1,95 millones en Bitcoin ,
Ether en staking (stETH) y Ether, otra perdió USD 3,23 millones en
USDT el 9 de abril, y una tercera víctima perdió alrededor de USD 2
millones en USDC el 11 de abril.
ZachXBT dijo que KuCoin había registrado un aumento en la actividad ilícita
recientemente y señaló que la compañía
había sido prohibida de incorporar nuevos usuarios de la Unión Europea
en febrero, poco después de recibir su licencia bajo el Reglamento de Mercados
de Criptoactivos (MiCA). También cuestionó si el incidente podría constituir
base para una demanda colectiva contra Apple.
Los detalles clave, incluidos las pérdidas totales, el número de víctimas y la
ruta de lavado, se basan en los hallazgos de ZachXBT y no habían sido
confirmados por Apple o KuCoin al momento de la publicación. Cointelegraph
contactó a ambas compañías para obtener comentarios, pero no había recibido
respuesta al momento de la publicación.
Ledger advierte a los usuarios que nunca ingresen la frase semilla en
aplicaciones.
El director de tecnología de Ledger, Charles Guillemet, dijo en un
comunicado a Cointelegraph que la compañía nunca solicita a los usuarios su
frase de recuperación de 24 palabras y advirtió que los entornos de software
que parecen oficiales no deben considerarse inherentemente seguros.
«No se puede confiar en el entorno de software que te rodea: ni en tu
navegador, ni en tu tienda de aplicaciones, ni en tu escritorio», dijo Guillemet, añadiendo que los atacantes
«operan donde exista la oportunidad», incluidas las plataformas
oficiales de distribución.
El último incidente sigue a un caso más pequeño pero similar reportado el
lunes. El músico Garrett Dutton, también conocido como «G. Love», dijo que
perdió aproximadamente USD 420.000 en BTC tras descargar una aplicación
maliciosa que suplantaba Ledger Live desde la App Store de Apple e
ingresar su frase semilla. ZachXBT dijo que los activos robados fueron
enviados a direcciones de depósito asociadas con KuCoin.
Fuente: CoinTelegraph