Поддельное приложение Ledger Live в App Store: хакеры украли криптовалюту на сумму не менее $9,5 млн.
Ончейн-детектив ZachXBT сообщил, что хакеры воспользовались поддельным приложением Ledger Live в App Store, чтобы украсть криптовалюту на сумму не менее $9,5 млн 🚀
Одна из жертв, фронтмен группы G
Love Гарретт Даттон, рассказал, что потерял все свои 5,9 BTC (около $420 000), которые он накопил за 10 лет Он скачал кошелек на новый компьютер и ввел сид-фразу, но оказалось, что софт мошеннический
🤔
ZachXBT отследил украденные активы и установил, что они ушли через серию транзакций на биржу KuCoin Позднее он уточнил, что именно эту биржу использовали злоумышленники для отмыва похищенной криптовалюты
💰
Кто-то еще хочет объяснить сообществу, почему Kucoin позволил злоумышленникам отмыть украденную криптовалюту через более чем 150 депозитных адресов KuCoin в течение последней недели? 🤔
За неделю через более чем 150 депозитных адресов KuCoin отмыто $9,5 млн, похищенных через поддельное приложение Ledger А несколькими днями ранее через 25+ кошельков KuCoin прошло $3,5 млн от Bitcoin Depot
— ZachXBT (@zachxbt)
Инцидент затронул не только музыканта Более 50 пользователей пострадали в разных сетях, включая Bitcoin и XRP Ledger
📉
Фишинговая кампания проводилась с 7 по 13 апреля Среди крупнейших потерь: $1,95 млн в BTC, ETH и stETH
📊
Во всех случаях жертвы вводили свою сид-фразу в поддельное приложение, передавая злоумышленникам полный контроль над кошельками 😱
ZachXBT также выяснил, что все депозитные адреса на KuCoin, через которые проходили украденные активы, связаны с сервисом AudiA6
Это централизованный криптомиксер, который берет высокие комиссии за сокрытие незаконных потоков 💰
На момент написания Apple удалила поддельный Ledger Live из App Store
Однако остается неясным, как этот софт прошел модерацию 🤔
Ончейн-детектив допустил, что корпорации грозят юридические последствия, учитывая масштаб потерь
😬
В Ledger не прокомментировали инцидент Однако команда кошелька напомнила о базовых правилах защиты от фишинга
🚨
Защита вашего цифрового života начинается с осторожности и предосторожности при обращении с кошельками и криптовалютой 🧵
С ростом цифрового владения становится все сложнее и частым явлением
💻
Ниже приведены несколько важных советов по обеспечению безопасности 📝
В первом квартале проекты потеряли $482 млн из-за взломов и мошенничества, сообщают специалисты Hacken
📊
Доминировали фишинг и атаки с использованием социальной инженерии В результате 44 инцидента хакеры похитили $306 млн
😱
По данным экспертов, крупнейшие инциденты происходят не в ончейн-коде, а на операционном и инфраструктурном уровнях, которые традиционные аудиты почти не охватывают 🤔
Аналитики привели следующие примеры:
фишинг, обошедшийся индустрии в $306 млн;
поддельный звонок от «венчурного капиталиста» (на самом деле хакера из Северной Кореи) в Step Finance, в результате чего проект;
компрометация AWS-сервиса управления ключами.
Даже там, где виноваты смарт-контракты, самые дорогие ошибки часто заключались в старых развертываниях и известных классах уязвимостей:
Truebit $26,4 млн из-за ошибки в контракте Solidity, развернутом около пяти лет назад;
Venus Protocol от классической манипуляции ценовым, схема которой известна с 2022 года.
Прошедшие аудит проекты (Resolv — 18 аудитов, Venus — пять) потеряли $37,7 млн
В среднем их убытки выше, чем у проектов без проверок 📊
Эксперты отметили, что протоколы с большим TVL становятся целью для самых опытных хакеров
💰
Всего было потеряно $280 млн Эксперты взлом с группировкой Lazarus из КНДР
💥
По материалам ForkLog