Несправжній додаток Ledger Live в App Store сприяв викраденню зловмисниками не менше $9,5 млн у криптовалюті. Про це заявив ончейн-розслідувач ZachXBT.
Тринадцятого квітня одна з потерпілих, лідер гурту G. Love Гарретт Даттон, повідомив про втрату у даній афері всіх накопичених за десятиліття 5,9 BTC (приблизно $420 000). Він пояснив, що встановив гаманець на новий пристрій і ввів початкову фразу. Проте ПЗ виявилося шахрайським.
ZachXBT простежив за викраденими активами. Кошти після серії транзакцій були відправлені на біржу KuCoin. Пізніше експерт уточнив, що саме її зловмисники застосовували для легалізації викраденої криптовалюти.
C) Want to explain to the community why Kucoin allowed a threat actor to launder $9.5M+ tied to a fake Ledger app via 150+ Kucoin deposit addresses over the past week?
A few days before that another threat actor laundered $3.5M+ from the Bitcoin Depot incident via 25+ Kucoin… pic.twitter.com/vo7jb1rdwu
— ZachXBT (@zachxbt) April 14, 2026
«Протягом тижня через понад 150 депозитних адрес KuCoin було відмито $9,5 млн, вкрадених за допомогою фальшивого застосунку Ledger. А за кілька днів до цього через 25+ гаманців платформи пройшло $3,5 млн від злому Bitcoin Depot», — написав він.
Інцидент торкнувся не тільки музиканта. Крім нього постраждали понад 50 користувачів у різних блокчейнах, включаючи біткоїн, TRON, Solana і XRP Ledger.
Фішингова кампанія тривала з сьомого по тринадцяте квітня. Серед найбільших втрат:
- $3,23 млн у USDT;
- $2,08 млн у USDC;
- $1,95 млн у BTC, ETH і stETH.
У кожному випадку жертви вводили свою seed-фразу у фальшивий додаток, надаючи зловмисникам повний контроль над гаманцями.
ZachXBT також встановив, що всі депозитні адреси на KuCoin, через які проходили викрадені активи, асоційовані із сервісом AudiA6. Це централізований криптоміксер, який стягує значні комісії за приховування шляхів переказів.
На момент написання Apple прибрала підробку Ledger Live з App Store. Тим не менш, залишається неясним, як цей додаток пройшов перевірку.
Ончейн-розслідувач припустив, що компанії загрожують правові наслідки, враховуючи масштаб збитків.
У Ledger не висловили своєї думки щодо даного інциденту. У той же час команда гаманця нагадала про основні правила захисту від фішингу.
Protecting your digital life starts with staying alert to scams and phishing attempts.
As digital ownership grows, fraud is becoming more sophisticated, and more frequent.
Here are a few security reminders to keep top of mind 🧵 pic.twitter.com/az2Exj7cOu
— Ledger (@Ledger) April 13, 2026
Втрати першого кварталу
Спеціалісти Hacken порахували, що в першому кварталі Web3-проєкти втратили $482 млн через зломи та шахрайські дії.
У розглянутий період превалювали фішинг та атаки із використанням соціальної інженерії. Внаслідок 44 випадків хакери викрали $306 млн.
Джерело: Hacken.
За відомостями експертів, найбільші інциденти трапляються не в ончейн-коді, а на операційному та інфраструктурному рівнях, які традиційні аудити майже не охоплюють.
Як приклади аналітики навели:
- фішинг, який обійшовся індустрії у $306 млн;
- підроблений дзвінок від «венчурного капіталіста» (насправді — хакера з Північної Кореї) у Step Finance, через що проєкт втратив $40 млн;
- компрометацію AWS-сервісу управління ключами в Resolv Labs — $25 млн.
Навіть там, де винні смартконтракти, найдорожчі помилки часто полягали в старих розгортаннях і відомих класах уразливостей:
- Truebit втратив $26,4 млн через помилку в контракті Solidity, розгорнутому близько п’яти років тому;
- Venus Protocol постраждав від класичної маніпуляції ціновим оракулом, схема якої відома з 2022 року.
Проєкти, які пройшли аудит (Resolv — 18 аудитів, Venus — п’ять), втратили $37,7 млн. У середньому їхні збитки більші, ніж у проєктів без перевірок. Протоколи з великим TVL стають об’єктом для найдосвідченіших хакерів, зазначили в Hacken.
Нагадаємо, на початку квітня Solana-проєкт Drift Protocol втратив $280 млн. Експерти пов’язали злом з угрупованням Lazarus із КНДР.