Несправжній застосунок Ledger Live в App Store сприяв викраденню зловмисниками щонайменше $9,5 млн у криптоактивах. Про це сповістив ончейн-розслідувач ZachXBT.
13 квітня один із потерпілих, лідер гурту G. Love Гарретт Даттон, поділився інформацією про втрату у цій афері всіх нагромаджень за декаду — 5,9 BTC (приблизно $420 000). Він пояснив, що встановив гаманець на новий ПК та ввів seed-фразу. Але софт виявився підробним.
ZachXBT відстежив вкрадені кошти. Активи через низку операцій перейшли на платформу KuCoin. Згодом аналітик уточнив, що саме її шахраї застосовували для відмивання викраденої криптовалюти.
C) Want to explain to the community why Kucoin allowed a threat actor to launder $9.5M+ tied to a fake Ledger app via 150+ Kucoin deposit addresses over the past week?
A few days before that another threat actor laundered $3.5M+ from the Bitcoin Depot incident via 25+ Kucoin… pic.twitter.com/vo7jb1rdwu
— ZachXBT (@zachxbt) April 14, 2026
«За тиждень через більше ніж 150 депозитних адрес KuCoin було відмито $9,5 млн, вкрадених за допомогою фальшивого застосунку Ledger. А трохи раніше через 25+ гаманців платформи пройшло $3,5 млн від злому Bitcoin Depot», — написав він.
Ситуація торкнулась не тільки музиканта. Окрім нього постраждали понад пів сотні користувачів у різних блокчейнах, зокрема біткоїні, TRON, Solana та XRP Ledger.
Фішингова афера протривала з 7 по 13 квітня. Найбільші збитки:
- $3,23 млн у USDT;
- $2,08 млн у USDC;
- $1,95 млн у BTC, ETH і stETH.
У кожному випадку жертви вводили свою seed-фразу у фальшивий застосунок, надаючи зловмисникам повний контроль над гаманцями.
ZachXBT також дізнався, що всі депозитні адреси на KuCoin, через які рухались викрадені активи, пов’язані з сервісом AudiA6. Це централізований криптоміксер, який бере високі збори за приховування транзакцій.
На момент написання Apple вилучила фальшивий Ledger Live з App Store. Однак, залишається незрозумілим, як даний софт пройшов перевірку.
Ончейн-розслідувач припустив, що компанії може загрожувати судове переслідування, враховуючи масштаб збитків.
У Ledger не відповіли на запит прокоментувати подію. У той самий час команда гаманця нагадала про основні правила захисту від фішингу.
Protecting your digital life starts with staying alert to scams and phishing attempts.
As digital ownership grows, fraud is becoming more sophisticated, and more frequent.
Here are a few security reminders to keep top of mind 🧵 pic.twitter.com/az2Exj7cOu
— Ledger (@Ledger) April 13, 2026
Збитки першого кварталу
Спеціалісти Hacken підрахували, що у першому кварталі Web3-проєкти втратили $482 млн через зломи та шахрайські дії.
У звітному періоді переважали фішинг і атаки з використанням соціальної інженерії. Внаслідок 44 інцидентів хакери вкрали $306 млн.
Джерело: Hacken.
За твердженням експертів, наймасштабніші інциденти трапляються не в ончейн-коді, а на операційному та інфраструктурному рівнях, котрі традиційні перевірки майже не охоплюють.
Як приклади аналітики навели:
- фішинг, який обійшовся індустрії у $306 млн;
- підроблений дзвінок від «венчурного капіталіста» (насправді — хакера з Північної Кореї) у Step Finance, через що проєкт позбувся $40 млн;
- компрометацію AWS-сервісу управління ключами в Resolv Labs — $25 млн.
Навіть там, де винні смартконтракти, найдорожчі помилки найчастіше полягали в старих розгортаннях і відомих класах вразливостей:
- Truebit втратив $26,4 млн через помилку в контракті Solidity, розгорнутому близько п’яти років тому;
- Venus Protocol постраждав від класичної маніпуляції ціновим оракулом, схема якої відома з 2022 року.
Проєкти, що пройшли аудит (Resolv — 18 аудитів, Venus — п’ять), втратили $37,7 млн. У середньому їх збитки більші, ніж у проєктів без перевірок. Протоколи з великим TVL стають мішенню для найбільш досвідчених хакерів, відзначили в Hacken.
Нагадаємо, на початку квітня Solana-проєкт Drift Protocol втратив $280 млн. Фахівці пов’язали злом із угрупованням Lazarus із КНДР.