Один користувач завантажив застосунок із Mac App Store, щоб перенести криптогаманець на новий MacBook. За кілька хвилин він втратив 5,9 BTC — заощадження десяти років. Таких, як він, виявилося більше п'ятдесяти.
Як працювала схема
Підроблена версія Ledger Live з'явилася в Mac App Store під обліковим записом розробника Leva Heal Limited — компанії, яка не має жодного стосунку до справжньої Ledger. Застосунок виглядав ідентично оригіналу й під час «налаштування» просив ввести 24-слівну seed-фразу. Справжній Ledger Live цього ніколи не робить: фраза вводиться виключно на фізичному пристрої.
Щоб імітувати активний розвиток, зловмисники штучно нарощували «версійність»: застосунок пройшов шлях від 1.0 до 5.0 всього за два тижні — по одному великому оновленню на кілька днів. Атака тривала з 7 по 13 квітня.
«Три найбільші жертви втратили семизначні суми: $3,23 млн у USDT, $2,08 млн у USDC і $1,95 млн у BTC, ETH та stETH»
— за даними блокчейн-слідчого ZachXBT
Гроші пройшли через біржу з кримінальною історією
Вкрадені кошти роутились через більш ніж 150 депозитних адрес на KuCoin і були пов'язані з централізованим міксером AudiA6, що заробляє на обфускації нелегальних потоків. Вибір майданчика не випадковий: KuCoin у 2025 році сплатив понад $300 млн американським регуляторам за порушення антивідмивального законодавства, а в лютому 2026-го австрійські органи заборонили біржі залучати нових клієнтів із ЄС. Після публічного розголосу KuCoin заморозив пов'язані акаунти — але лише до 20 квітня.
Apple: «перевіряємо кожен застосунок» — але не цей
Офіційна позиція Apple звучить так: «Кожен застосунок і кожне оновлення проходять перевірку на відповідність вимогам конфіденційності, безпеки та захисту користувачів». Фейковий Ledger пробув у Mac App Store приблизно два тижні. Apple видалила його після скарг користувачів і відтоді не прокоментувала, як застосунок пройшов модерацію.
Це не перший випадок. За даними аналітиків, у 2025 році криптоінвестори втратили через хаки та шахрайство близько $17 млрд — і значна частина атак використовує легітимну інфраструктуру для розповсюдження: магазини застосунків, реалістичні інтерфейси, правдоподібні сценарії налаштування. ZachXBT публічно припустив, що масштаб збитків може стати підставою для колективного позову проти Apple.
- Збитки: $9,5 млн, понад 50 жертв за 6 днів
- Вектор: seed-фраза через фейковий UI офіційного застосунку
- Відмивання: 150+ адрес KuCoin → міксер AudiA6
- Реакція Apple: видалення застосунку, жодних коментарів
Ledger послідовно попереджає: жоден легітимний застосунок компанії ніколи не запитує seed-фразу на десктопі. Але якщо App Store виглядає як гарантія безпеки — і саме це Apple роками транслює як маркетинговий аргумент — то питання просте: чи зміниться щось у процесі перевірки до того, як Apple отримає перший судовий позов?
