Шахраї викрали $9,5 млн через фішинговий застосунок Ledger в App Store
Фейковий застосунок Ledger Live в App Store допоміг хакерам викрасти щонайменше $9,5 млн у криптовалюті. Про це повідомив ончейн-детектив ZachXBT.
13 квітня одна з жертв, фронтмен гурту G. Love Гарретт Даттон, розповів, що втратив у цій схемі всі накопичені за 10 років 5,9 BTC (близько $420 000). Він пояснив, що завантажив гаманець на новий комп’ютер і ввів сид-фразу. Однак ПЗ виявилося шахрайським.
ZachXBT відстежив викрадені активи. Кошти через серію транзакцій пішли на біржу KuCoin. Згодом експерт уточнив, що саме її зловмисники використовували для відмивання викраденої криптовалюти.
C) Want to explain to the community why Kucoin allowed a threat actor to launder $9.5M+ tied to a fake Ledger app via 150+ Kucoin deposit addresses over the past week?
A few days before that another threat actor laundered $3.5M+ from the Bitcoin Depot incident via 25+ Kucoin… pic.twitter.com/vo7jb1rdwu
— ZachXBT (@zachxbt) April 14, 2026
«За тиждень через понад 150 депозитних адрес KuCoin відмито $9,5 млн, викрадених через підроблений застосунок Ledger. А кількома днями раніше через 25+ гаманців майданчика пройшло $3,5 млн від зламу Bitcoin Depot», — написав він.
Інцидент зачепив не лише музиканта. Окрім нього постраждали понад 50 користувачів у різних мережах, включно з біткоїном, TRON, Solana та XRP Ledger.
Фішингова кампанія тривала з 7 по 13 квітня. Серед найбільших втрат:
- $3,23 млн у USDT;
- $2,08 млн у USDC;
- $1,95 млн у BTC, ETH і stETH.
В усіх випадках жертви вводили свою сид-фразу в підроблений застосунок, передаючи зловмисникам повний контроль над гаманцями.
ZachXBT також з’ясував, що всі депозитні адреси на KuCoin, через які проходили викрадені активи, пов’язані з сервісом AudiA6. Це централізований криптоміксер, який бере високі комісії за приховування потоків.
На момент написання Apple видалила підроблений Ledger Live з App Store. Втім, лишається незрозуміло, як це ПЗ пройшло модерацію.
Ончейн-детектив припустив, що компанії можуть загрожувати юридичні наслідки з огляду на масштаб втрат.
У Ledger не прокоментували інцидент. Водночас команда гаманця нагадала про базові правила захисту від фішингу.
Protecting your digital life starts with staying alert to scams and phishing attempts.
As digital ownership grows, fraud is becoming more sophisticated, and more frequent.
Here are a few security reminders to keep top of mind 🧵 pic.twitter.com/az2Exj7cOu
— Ledger (@Ledger) April 13, 2026
Втрати першого кварталу
Фахівці Hacken підрахували, що в першому кварталі Web3-проєкти втратили $482 млн через злами та шахрайство.
У звітному періоді домінували фішинг і атаки із застосуванням соціальної інженерії. Внаслідок 44 інцидентів хакери викрали $306 млн.
За даними експертів, найбільші інциденти трапляються не в ончейн-коді, а на операційному та інфраструктурному рівнях, які традиційні аудити майже не охоплюють.
Як приклади аналітики навели:
- фішинг, який обійшовся індустрії у $306 млн;
- підроблений дзвінок від «венчурного капіталіста» (насправді — хакера з Північної Кореї) у Step Finance, внаслідок чого проєкт втратив $40 млн;
- компрометацію AWS-сервісу керування ключами в Resolv Labs — $25 млн.
Навіть там, де винні смартконтракти, найдорожчі помилки часто полягали в старих розгортаннях і відомих класах вразливостей:
- Truebit втратив $26,4 млн через помилку в контракті Solidity, розгорнутому близько п’яти років тому;
- Venus Protocol постраждав від класичної маніпуляції ціновим оракулом, схема якої відома з 2022 року.
Проєкти, що пройшли аудит (Resolv — 18 аудитів, Venus — п’ять), втратили $37,7 млн. У середньому їх збитки вищі, ніж у проєктів без перевірок. Протоколи з великим TVL стають ціллю для найдосвідченіших хакерів, зазначили в Hacken.
Нагадаємо, на початку квітня Solana-проєкт Drift Protocol втратив $280 млн. Експерти пов’язали злам з угрупованням Lazarus із КНДР.