Підроблений застосунок Ledger з’явився в App Store, музикант 5,9 біткоїна продавлених заощаджень пішли на пенсію — вкрали

Американський музикант G. Love (справжнє ім’я Garrett Dutton) 11 квітня повідомив, що після завантаження підробленого застосунку Ledger Live з Apple Mac App Store та введення 24-символьної seed-фрази (мнемонічної фрази) за підказками він одразу втратив 5.92 біткоїни, що за ринковим курсом перевищує 424,000 доларів США.

Перебіг подій: фатальна помилка під час міграції пристрою

G. Love зазначає, що інцидент стався під час перенесення його Ledger апаратного гаманця на новий комп’ютер Apple. Він, знайшовши в Mac App Store запит « Ledger Live », завантажив підроблений застосунок із дуже схожим на оригінал виглядом і інтерфейсом та, діючи згідно з підказками, ввів повну seed-фразу з 24 слів. Після подання seed-фрази зловмисник миттєво завершив переказ активів: 5.92 біткоїни зникли протягом кількох хвилин.

G. Love у дописі заявив: «Це мої заощадження на пенсію, які я роками збирав з великими зусиллями. Усім, коли ви виходите з дому, обов’язково будьте обережні».

Ключова проблема цієї історії полягає в тому, що підроблений застосунок успішно пройшов перевірку на розміщення в Apple App Store, відображався для користувачів у офіційних каналах під законним найменуванням, а довіра, яку платформа Apple надавала, стала головним важелем, яким скористалися шахраї.

ZachXBT розслідує: напрям коштів підозрілий щодо CEX, можливість повернення дуже низька

Ончейн-аналіз ZachXBT підтвердив, що викрадені 5.92 біткоїни пройшли через гаманець, ідентифікований як адреса депозиту CEX, а також зазначив, що велика кількість розподілених депозитних адрес вказує: злодій, імовірно, здійснив повторне переведення коштів через негайні біржі, що ще більше ускладнює подальше відстеження.

ZachXBT чітко розкритикував CEX «за те, що він демонструє комплаєнс-позицію лише тоді, коли це відповідає його власним інтересам», і зазначив, що після отримання ліцензії MiCA від ЄС у листопаді 2025 року він був позбавлений ліцензії лише приблизно через три місяці — у лютому 2026 року, що свідчить про наявність глибоких проблем із комплаєнсом. Він також зазначив, що незаконні сервіси й далі переказують кошти через брокерів і індивідуальні акаунти на платформі цього CEX, а регулятори станом на сьогодні майже не вжили жодних дій.

Попередження від фахівців із безпеки: ключові правила захисту seed-фрази

Після оприлюднення інциденту керівник з безпеки Pudgy Penguins Beau зробив термінове попередження, підкресливши, що будь-які користувачі апаратних гаманців мають дотримуватися таких правил безпеки:

Ключові правила захисту seed-фрази

Ніколи не вводьте seed-фразу на підключеному до мережі пристрої: незалежно від ноутбука чи телефону, середовище з доступом до мережі не повинно бути сценариєм для введення seed-фрази

Запити на завантаження або оновлення вважайте підозрілими за замовчуванням: до того як ви самі перевірите, будь-які повідомлення, які спонукають користувача завантажити або оновити гаманець, слід вважати шахрайством

Шахрайські канали різноманітні: підроблені застосунки-гаманці поширюються через електронну пошту, фальшиві оголошення та звичайну пошту; офіційні магазини застосунків також не є абсолютно безпечними

Безпосередньо переходьте до офіційних джерел: встановлення Ledger Live має здійснюватися безпосередньо з офіційного сайту (ledger.com), а не через пошук у App Store

Поширені запитання

Чому в Apple App Store з’являються підроблені застосунки Ledger?

Підроблені застосунки використовують вразливості в механізмі перевірки застосунків у магазині: вони проходять публікацію завдяки іменам і інтерфейсам, які дуже схожі на оригінал. Звичайним користувачам важко визначити справжність лише за сторінкою в магазині, тож під час встановлення Ledger Live рекомендується одразу завантажувати з офіційного сайту Ledger (ledger.com), повністю обходячи етап пошуку в застосунках.

Чому введення seed-фрази призводить до того, що біткоїни миттєво викрадають?

Seed-фраза є повним відновлювальним ключем апаратного гаманця: будь-хто, хто має 24 слова seed-фрази, може відновити гаманець на будь-якому пристрої та керувати всіма активами. Ключова мета підробленого застосунку — змусити користувача ввести seed-фразу; після того як її отримує сервер у бекенді, одразу виконується переказ активів — увесь процес завершується за лічені хвилини.

Чи можна повернути викрадені біткоїни?

Згідно з ончейн-аналізом ZachXBT, кошти вже були спрямовані на адреси депозиту, схожі на CEX, і могли бути повторно переказані через негайні біржі. ZachXBT прямо заявив, що він не вважає, що CEX допоможе повернути кошти; з огляду на суперечності щодо комплаєнсу, пов’язані з нещодавнім відкликанням ліцензії MiCA цього біржового майданчика, фактична ймовірність повернення активів є дуже низькою.