Фейковый Ledger в App Store украл $9,5 млн (14.04)

Цифровая ирония на грани абсурда: пока легитимные криптомедиа месяцами не могут пройти модерацию App Store, фейковое приложение Ledger беспрепятственно украло у пользователей $9,5 миллиона. Это не взлом блокчейна — это провал человеческого фактора и системы защиты Apple.

Главное коротко

• Мошенническое приложение под видом Ledger Live неделю находилось в официальном App Store, обойдя проверку Apple.
• Жертвы вводили свои сид-фразы в поддельный кошелёк, что привело к мгновенному хищению средств.
• Общий ущерб превысил $9,5 млн; крупнейшая потеря одного инвестора — $3,23 млн в USDT.

Механика идеального ограбления

С 7 по 13 апреля 2026 года в официальном магазине приложений Apple существовала практически идеальная копия Ledger Live. Брендинг, интерфейс, название — всё вызывало доверие. Жертвы, уверенные, что скачивают софт с проверенного источника, устанавливали его и на критическом этапе получали роковой запрос: ввести свою сид-фразу для «синхронизации» или «восстановления». Это фундаментальная ошибка. Настоящее приложение Ledger НИКОГДА не запрашивает сид-фразу — ключи хранятся исключительно на самом аппаратном устройстве. Но одного этого действия хватило, чтобы злоумышленники получили полный и неограниченный доступ ко всем активам пользователей.

Цифры и человеческие трагедии

Блокчейн-исследователь ZachXBT идентифицировал более 50 пострадавших в сетях Bitcoin, Ethereum, Solana, Tron и XRP. Статистика удручает:

9 апреля: похищено $3,23 млн в USDT.
11 апреля: украдено $2,08 млн в USDC.
8 апреля: снято $1,95 млн в BTC, ETH и stETH.

За этими цифрами — сломанные судьбы. Один из пользователей под ником @glove потерял 5,92 BTC — свои сбережения за целое десятилетие. «Я потерял пенсионный фонд из-за взлома/скама. Весь мой BTC исчез в одно мгновение. Я работал над этим десять лет. Будьте осторожны», — написал он в отчаянии.

Куда ушли деньги?

След украденных средств привёл к более чем 150 депозитным адресам на криптобирже KuCoin. Все они были связаны с сервисом AudiA6 — централизованным микшером, который за высокую комиссию отмывает происхождение криптовалюты. Сама биржа KuCoin имеет скандальную репутацию: в феврале 2026 года австрийские регуляторы запретили ей onboarding новых пользователей из ЕС, а годом ранее она заплатила властям США свыше $300 млн за урегулирование претензий по противодействию отмыванию денег. ZachXBT уже намекнул, что масштабы инцидента достаточны для коллективного иска против Apple.

Аналитика: Системный сбой, а не единичный случай

Эта история — не аномалия, а симптом системной болезни. В 2025 году убытки от хакерских атак, скамов и мошенничества в криптосфере достигли $17 млрд. Доминирующим вектором стала не техническая уязвимость кода, а социальная инженерия — искусство манипуляции человеческим доверием. Фейковые приложения, фишинговые сайты, кампании по impersonation — для этого не нужны навыки взлома, нужна лишь убедительная ложь.

Парадокс в том, что Apple, создав одну из самых закрытых и якобы безопасных экосистем, стала слепым пособником мошенников. Её алгоритмы проверки годами блокируют законные медиаприложения, видя в них «риск», но пропускают откровенно воровской софт. Это говорит о глубоком непонимании криптоиндустрии со стороны купертинских модераторов. Их правила устарели и не способны отличить реальную угрозу от безобидного новостного агрегатора. Пока этот разрыв не будет устранён, подобные инциденты будут повторяться с пугающей регулярностью, подрывая доверие не только к App Store, но и к безопасности ключевых концепций самохранения (self-custody) в принципе.

Вывод: Ваш самый большой риск — это вы сами

Аппаратные кошельки остаются золотым стандартом безопасности. Их модель не сломана. Сломана наша готовность доверять. Никакое железо, даже самое совершенное, не спасёт ваши активы, если вы добровольно отдадите злоумышленнику ключи от сейфа. Этот инцидент — жёсткое напоминание: ваша бдительность — последний и главный рубеж обороны. Доверяйте, но проверяйте. Всегда. Даже если предложение поступает от Apple.