Мошенники похитили $9,5 млн через фишинг-приложение Ledger в App Store

Поддельное приложение Ledger Live в App Store помогло хакерам украсть криптовалюту на сумму не менее $9,5 млн. Об этом сообщил ончейн-детектив ZachXBT. 

13 апреля одна из жертв, фронтмен группы G. Love Гарретт Даттон, рассказал, что потерял на этой схеме все накопленные за 10 лет 5,9 BTC (около $420 000). Он пояснил, что скачал кошелек на новый компьютер и ввел сид-фразу. Однако софт оказался мошенническим. 

ZachXBT отследил украденные активы. Средства ушли через серию транзакций на биржу KuCoin. Позднее эксперт уточнил, что именно ее использовали злоумышленники для отмыва похищенной криптовалюты. 

C) Want to explain to the community why Kucoin allowed a threat actor to launder $9.5M+ tied to a fake Ledger app via 150+ Kucoin deposit addresses over the past week?A few days before that another threat actor laundered $3.5M+ from the Bitcoin Depot incident via 25+ Kucoin… pic.twitter.com/vo7jb1rdwu

«За неделю через более чем 150 депозитных адресов KuCoin отмыто $9,5 млн, похищенных через поддельное приложение Ledger. А несколькими днями ранее через 25+ кошельков площадки прошло $3,5 млн от взлома Bitcoin Depot», — написал он. 

Инцидент затронул не только музыканта. Помимо него пострадали более 50 пользователей в разных сетях, включая биткоин, TRON, Solana и XRP Ledger. 

Фишинговая кампания проводилась с 7 по 13 апреля. Среди крупнейших потерь: 

• $3,23 млн в USDT;
• $2,08 млн в USDC;
• $1,95 млн в BTC, ETH и stETH.

Во всех случаях жертвы вводили свою сид-фразу в поддельное приложение, передавая злоумышленникам полный контроль над кошельками.

ZachXBT также выяснил, что все депозитные адреса на KuCoin, через которые проходили украденные активы, связаны с сервисом AudiA6. Это централизованный криптомиксер, который берет высокие комиссии за сокрытие незаконных потоков. 

На момент написания Apple удалила поддельный Ledger Live из App Store. Однако остается неясным, как этот софт прошел модерацию. 

Ончейн-детектив допустил, что корпорации грозят юридические последствия, учитывая масштаб потерь. 

В Ledger не прокомментировали инцидент. Однако команда кошелька напомнила о базовых правилах защиты от фишинга. 

Protecting your digital life starts with staying alert to scams and phishing attempts.As digital ownership grows, fraud is becoming more sophisticated, and more frequent.Here are a few security reminders to keep top of mind ? pic.twitter.com/az2Exj7cOu

Потери первого квартала 

Специалисты Hacken подсчитали, что в первом квартале Web3-проекты потеряли $482 млн из-за взломов и мошенничества. 

В отчетном периоде доминировали фишинг и атаки с использованием социальной инженерии. В результате 44 инцидентов хакеры похитили $306 млн. 

По данным экспертов, крупнейшие инциденты происходят не в ончейн-коде, а на операционном и инфраструктурном уровнях, которые традиционные аудиты почти не охватывают.

В качестве примеров аналитики привели: 

• фишинг, который обошелся индустрии в $306 млн;
• поддельный звонок от «венчурного капиталиста» (на самом деле хакера из Северной Кореи) в Step Finance, в результате чего проект потерял $40 млн;
• компрометацию AWS-сервиса управления ключами в Resolv Labs — $25 млн.

Даже там, где виноваты смарт-контракты, самые дорогие ошибки часто заключались в старых развертываниях и известных классах уязвимостей:

• Truebit потерял $26,4 млн из-за ошибки в контракте Solidity, развернутом около пяти лет назад;
• Venus Protocol пострадал от классической манипуляции ценовым оракулом, схема которой известна с 2022 года.

Прошедшие аудит проекты (Resolv — 18 аудитов, Venus — пять) потеряли $37,7 млн. В среднем их убытки выше, чем у проектов без проверок. Протоколы с большим TVL становятся целью для самых опытных хакеров, отметили в Hacken. 

Напомним, в начале апреля Solana-проект Drift Protocol потерял $280 млн. Эксперты связали взлом с группировкой Lazarus из КНДР.