Центр вознаграждений 
Фейковая версия Ledger Live находилась в Apple App Store примерно две недели. К моменту удаления приложения 14 апреля, по оценкам, более 50 пользователей лишились в сумме $9,5 млн в криптовалюте. Приложение было опубликовано под именем «Leva Heal Limited», не имеющим отношения к производителю оригинальных устройств Ledger SAS. Жертвы скачивали приложение, считая его официальным, вводили свои секретные фразы и теряли средства буквально за минуты.
Блокчейн-аналитик ZachXBT отследил движение украденных средств и опубликовал полный отчет 14 апреля. Крупнейшие потери — $3,23 млн в USDT, $2,08 млн в USDC и $1,95 млн в BTC, ETH и stETH. Один из пользователей рассказал в X, что потерял 5,9 BTC — свои накопления за десятилетие.
Это пример того, как в течение шести дней механизм проверки приложений Apple дал сбой, а пользователи, доверившиеся системе, понесли убытки.
Как работала схема мошенничества
Атака была достаточно простой, что и сделало её эффективной. Фейковое приложение появилось в магазине macOS с тем же названием и иконкой, а также с похожими данными издателя. «Leva Heal Limited» никак не ассоциируется с Ledger, но для большинства ищущих «Ledger Live» в App Store этого было достаточно для доверия.
После установки приложение демонстрировало экран настройки кошелька, полностью имитируя интерфейс Ledger Live. Пользователя просили ввести 24-словную фразу восстановления для «синхронизации» или «восстановления» кошелька. После ввода фразы злоумышленники получали полный доступ к средствам. Не требовалось вредоносного ПО, эксплойтов или уязвимостей — только форма ввода и доверие пользователя к источнику.
Вывод средств происходил стремительно. С 7 по 13 апреля средства жертв систематически переводились злоумышленниками. Крупнейшие кражи произошли 8, 9 и 11 апреля; во всех случаях средства выводились через несколько минут после ввода фразы, далее переводились на промежуточные кошельки и размещались на адресах для депозитов на биржах.
Куда ушли средства
ZachXBT проследил движение средств через более чем 150 депозитных адресов KuCoin. Для отмывания использовался централизованный сервис «AudiA6», который распределяет криптовалюту по множеству адресов, делая отслеживание затруднительным.
Выбор KuCoin в качестве обменника неслучаен. Биржа подвергалась давлению регуляторов и критике за менее строгие меры KYC по сравнению с биржами, регулируемыми в США. Для злоумышленников сбыть украденное через такую платформу — способ снизить риск заморозки средств.
На момент 16 апреля средства не были возвращены. Использование миксера и скорость вывода затрудняют процедуру возврата, однако при взаимодействии KuCoin с правоохранительными органами часть средств теоретически может быть найдена.
Почему не сработала проверка приложений Apple
Для многих пострадавших именно этот момент оказался особенно болезненным. Apple берет комиссию 30% и позиционирует App Store как более безопасную экосистему за счет отбора приложений. Этим аргументом компания объясняет запрет загрузки программ со сторонних источников.
Тем не менее, фейковое криптоприложение находилось в магазине около двух недель и было удалено лишь после жалоб сообщества и публикаций в СМИ.
По данным 9to5Mac, это было не единственное подозрительное удаление в тот день: также был удален поддельный Freecash, что указывает на системный сбой, а не единичную ошибку.
Apple подтвердила, что аккаунт разработчика был заблокирован, но это произошло уже после хищения средств. Главный вопрос — почему клону одного из самых известных криптоприложений, опубликованному сторонней компанией, удалось пройти модерацию.
Потерпевшие и правовые последствия
Пострадавшие — это реальные люди. Один из пользователей X, @glove, сообщил о потере 5,9 BTC, что составляло его сбережения за десятилетие. Другие лишились крупных сумм в стейблкоинах, хранившихся на аппаратных кошельках из-за представлений о надёжности этого способа хранения.
Парадокс в том, что жертвы следовали основным рекомендациям по безопасности: они скачивали приложение из официального магазина, считая его проверенным и безопасным.
ZachXBT считает, что масштабы потерь могут стать основанием для коллективного иска к Apple. Суть — в ответственности компании за то, что она ограничивает пользователей в выборе источников приложений и гарантирует их проверку. Когда этот механизм не срабатывает, а пользователи несут убытки, возникает вопрос о соответствии между заявлениями компании и реальной безопасностью платформы.
Реализация коллективного иска зависит от активности пострадавших и действий юридических фирм. Но прецедент важен: если компания не понесет ответственности за размещение фейкового приложения, это подрывает доверие к безопасности App Store.
Как защитить себя от поддельных приложений для кошельков
Главный вывод этого инцидента — «скачайте из официального магазина» больше не гарантирует полной безопасности. Нужно соблюдать дополнительные меры осторожности, что не требует много времени:
Проверьте имя издателя перед скачиванием. Официальное приложение Ledger Live публикуется от «Ledger SAS». Фейковое — от «Leva Heal Limited». Проверяйте информацию на сайте разработчика и сверяйте с магазином.
Никогда не вводите секретную фразу в приложение. Ваша 24-словная фраза восстановления — это ключ ко всем средствам. Ни одно легитимное приложение не попросит ввести её для «синхронизации» или «восстановления» через компьютер или смартфон. Ledger рекомендует вводить фразу только на самом устройстве, а не на экранах сторонних устройств.
Сохраняйте закладку на настоящую страницу загрузки. Посетите ledger.com/ledger-live, убедитесь в правильности домена и добавьте в закладки. Обновляйте приложение только через эту ссылку, а не через поиск в магазине.
Проверьте транзакцию на блокчейне перед доверием приложению. Если установили новое приложение-кошелек, сначала отправьте небольшую тестовую сумму (например, $5) и убедитесь, что получатель — правильный.
Для пользователей, хранящих активы на регулируемых биржах, ситуация меняется. Самостоятельное хранение ключей предполагает личную ответственность за проверку программного обеспечения. Хранение на бирже исключает риск поддельных приложений, но влечет другие риски, такие как потенциальная неплатежеспособность площадки.
Значение инцидента для общей безопасности крипторынка
Это не было взломом смарт-контракта или блокчейна. Главный фактор — человеческое доверие к платформе и её системе проверки. Атака удалась потому, что процесс модерации App Store создает иллюзию защищенности.
За последние годы индустрия криптовалют значительно усилила защиту на уровне блокчейна: появились мультиподписи, аппаратные модули безопасности, программы аудита. Однако в последние годы большинство успешных краж были связаны с социальными атаками: фишингом, поддельными приложениями и манипуляциями доверием пользователей.
По данным The Block, украденные средства затронули Bitcoin, Ethereum, Solana, Tron и XRP. Ввод одной сид-фразы открывает доступ ко всем совместимым кошелькам — это полный компромисс по всем сетям.
Для Apple этот инцидент — удар по репутации. Если магазин не способен фильтровать клоны популярных финансовых приложений, аргумент о безопасности закрытой экосистемы ослабевает. Особенно с учетом новых регуляций ЕС, обязывающих компанию разрешать установку сторонних магазинов.
Часто задаваемые вопросы
Как фейковое приложение Ledger оказалось в App Store?
Механизм проверки Apple не всегда выявляет приложения, маскирующиеся под легальные финансовые сервисы. Фейковый Ledger Live был опубликован от имени «Leva Heal Limited», и команда модерации не заметила несоответствие. Приложение было удалено только после жалоб пользователей.
Можно ли вернуть похищенные $9,5 млн?
Вернуть средства крайне сложно, но не полностью невозможно. Средства прошли через 150+ адресов KuCoin и миксер «AudiA6». Если биржа предоставит информацию правоохранителям и заморозит средства, часть суммы теоретически можно вернуть. На 16 апреля возврата не зафиксировано.
Стоит ли перестать пользоваться аппаратным кошельком Ledger?
Само устройство Ledger не было скомпрометировано. Уязвимость возникла из-за поддельного ПО, обманывающего пользователей. Ledger остается безопасным, если вводить сид-фразу только на устройстве и скачивать приложение исключительно с ledger.com.
Несет ли Apple юридическую ответственность?
Эксперты считают, что инцидент может стать поводом для коллективного иска. Apple представляет App Store как контролируемую и защищенную среду. Когда этот контроль не отрабатывает, возникает вопрос о нарушении обязанностей компании как хранителя платформы. На момент публикации иск не подан, но сумма ущерба дает серьезные основания.
Выводы
Фейковое приложение Ledger Live в App Store выявило уязвимость, которую многие пользователи не ожидали. Более 50 человек доверились процессу отбора Apple, ввели свои секретные фразы и за шесть дней потеряли $9,5 млн. Атака не требовала сложных навыков: злоумышленники просто создали клон от имени подставной компании и выжидали.
Практический вывод — всегда проверяйте имя издателя перед установкой любых криптоприложений. Не вводите сид-фразу в программные интерфейсы. И относитесь к любому приложению даже в официальном магазине с тем же уровнем критичности, как и к сторонним ресурсам. $9,5 млн, выведенные через миксеры, — наглядное подтверждение риска чрезмерного доверия.
Данный материал предоставлен исключительно в информационных целях и не является финансовой или инвестиционной рекомендацией. Торговля криптовалютой сопряжена с рисками. Всегда проводите собственное исследование перед принятием торговых решений.
