Onchain araştırmacısı ZachXBT’ye göre Apple App Store’da yer alan sahte bir Ledger Live uygulaması, 7-13 Nisan tarihleri arasında 50’den fazla kişiden toplam 9,5 milyon dolar değerinde kripto para çalmış. Araştırmacı, çalınan fonların 150’den fazla KuCoin deposit adresi üzerinden aklandığını ve bu adreslerin merkezi karıştırma servisi AudiA6 ile bağlantılı olduğunu iddia etti. Sahte uygulama 13 Nisan’da Apple tarafından mağazadan kaldırıldı.
Üç büyük mağdur 7 milyon dolar kaybetti
ZachXBT’nin Telegram’da paylaştığı bulgulara göre saldırı Bitcoin, Solana, Tron, XRP Ledger ve Ethereum Virtual Machine uyumlu ağlarda aktif kullanıcıları hedef aldı. En büyük kayıplar arasında bir mağdurun 1,95 milyon dolar değerinde BTC, stETH ve ETH kaybettiği, ikinci bir mağdurun 9 Nisan’da 3,23 milyon dolar USDT kaybettiği ve üçüncü bir mağdurun 11 Nisan’da yaklaşık 2 milyon dolar USDC kaybettiği yer alıyor. Bu üç vaka toplamda yaklaşık 7,18 milyon dolar tutarında zarar teşkil ediyor.
KuCoin’e artan yasadışı aktivite uyarısı
ZachXBT, KuCoin‘in son dönemde yasadışı aktivitelerde artış yaşadığını belirtti ve şirketin Şubat ayında MiCA lisansı aldıktan kısa süre sonra yeni Avrupa Birliği kullanıcılarını kabul etme yasağı aldığını hatırlattı. Araştırmacı ayrıca bu olayın Apple’a karşı toplu dava açmak için gerekçe teşkil edip etmeyeceğini sorguladı. ZachXBT’nin bulgularından elde edilen toplam kayıp, mağdur sayısı ve aklama güzergahı gibi anahtar detaylar yayın anında Apple veya KuCoin tarafından doğrulanmadı.
Ledger 24 kelimelik tohum cümlesini asla istemez uyarısı
Ledger CTO’su Charles Guillemet, şirketin kullanıcılardan asla 24 kelimelik recovery phrase istememiz konusunda uyardı ve resmi görünümlü yazılım ortamlarının doğası gereği güvenli kabul edilmemesi gerektiğini vurguladı. “Etrafınızdaki yazılım ortamına güvenemezsiniz – ne tarayıcınıza, ne uygulama mağazanıza, ne de masaüstünüze” diyen Guillemet, saldırganların resmi dağıtım platformları da dahil olmak üzere “fırsat nerede varsa orada faaliyet gösterdiğini” söyledi. Bu olay, Pazartesi günü müzisyen Garrett Dutton’ın Apple App Store’dan sahte Ledger Live uygulaması indirip tohum cümlesini girdikten sonra 420 bin dolar BTC kaybettiğini açıklamasının ardından geldi.
Apple’ın uygulama onay sürecindeki güvenlik boşluğunu ortaya çıkaran bu olay, kullanıcıların resmi mağazalarda bile sahte uygulamalara karşı dikkatli olması gerektiğini bir kez daha kanıtladı.
Kaynak: Cointelegraph
