El investigador onchain ZachXBT dijo que una aplicación falsa de Ledger Live listada en la App Store de Apple estuvo vinculada a aproximadamente USD 9,5 millones en criptomonedas robadas de más de 50 víctimas sospechosas entre el 7 y el 13 de abril.
En una publicación en Telegram el martes, ZachXBT dijo que los presuntos robos afectaron a usuarios en redes como Bitcoin, Solana, Tron, XRP Ledger y redes compatibles con Ethereum Virtual Machine (EVM). Afirmó que los fondos robados fueron lavados a través de más de 150 direcciones de depósito de KuCoin presuntamente vinculadas a AudiA6, al que describió como un servicio de mezcla centralizado.
ZachXBT señaló que la aplicación falsa fue eliminada por Apple el 13 de abril e identificó tres pérdidas de siete cifras entre los mayores casos conocidos. Dijo que una víctima perdió aproximadamente USD 1,95 millones en Bitcoin (BTC), Ether en staking (stETH) y Ether (ETH), otra perdió USD 3,23 millones en USDt (USDT) el 9 de abril, y una tercera víctima perdió alrededor de USD 2 millones en USDC (USDC) el 11 de abril.
ZachXBT dijo que KuCoin había registrado un aumento en la actividad ilícita recientemente y señaló que la compañía había sido prohibida de incorporar nuevos usuarios de la Unión Europea en febrero, poco después de recibir su licencia bajo el Reglamento de Mercados de Criptoactivos (MiCA). También cuestionó si el incidente podría constituir base para una demanda colectiva contra Apple.
Los detalles clave, incluidos las pérdidas totales, el número de víctimas y la ruta de lavado, se basan en los hallazgos de ZachXBT y no habían sido confirmados por Apple o KuCoin al momento de la publicación. Cointelegraph contactó a ambas compañías para obtener comentarios, pero no había recibido respuesta al momento de la publicación.
Ledger advierte a los usuarios que nunca ingresen la frase semilla en aplicaciones
El director de tecnología de Ledger, Charles Guillemet, dijo en un comunicado a Cointelegraph que la compañía nunca solicita a los usuarios su frase de recuperación de 24 palabras y advirtió que los entornos de software que parecen oficiales no deben considerarse inherentemente seguros.
“No se puede confiar en el entorno de software que te rodea: ni en tu navegador, ni en tu tienda de aplicaciones, ni en tu escritorio”, dijo Guillemet, añadiendo que los atacantes “operan donde exista la oportunidad”, incluidas las plataformas oficiales de distribución.
El último incidente sigue a un caso más pequeño pero similar reportado el lunes. El músico Garrett Dutton, también conocido como “G. Love”, dijo que perdió aproximadamente USD 420.000 en BTC tras descargar una aplicación maliciosa que suplantaba Ledger Live desde la App Store de Apple e ingresar su frase semilla. ZachXBT dijo que los activos robados fueron enviados a direcciones de depósito asociadas con KuCoin.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.
