Фейковое приложение Ledger в App Store: как мошенники украли $9.5 млн и как защитить свой кошелёк

Фейковое приложение Ledger в App Store: как мошенники украли $9.5 млн и как защитить свой кошелёк

Гарретт Даттон играл блюз под псевдонимом G. Love больше тридцати лет. За это время он собрал поклонников по всему миру и отложил кое-что на старость – 5.9 биткоина, примерно $420 000 по курсу апреля 2026 года. Он называл эти монеты своим пенсионным фондом. В апреле он скачал приложение из App Store, ввёл сид-фразу – и за несколько минут лишился всех сбережений.

История Даттона попала в заголовки не потому, что он знаменитость. А потому, что он не один. Следователь блокчейна ZachXBT насчитал больше 50 пострадавших, у которых в совокупности украли $9.5 млн. Деньги утекли с кошельков в биткоине, Tron и Solana – и осели на адресах, связанных с миксером, который использует биржу KuCoin.

Это не тёмный уголок интернета. Это официальный App Store от Apple.

Что произошло: фальшивый Ledger Live в магазине Apple

Ledger – французская компания, которая выпускает одни из самых популярных аппаратных кошельков в мире. Официальное приложение Ledger Live предназначено для управления устройствами Ledger: просмотра баланса, отправки транзакций, обновления прошивки. Приложение бесплатное, его официальная версия доступна на сайте самой компании.

Мошенники создали клон – визуально неотличимую копию Ledger Live – и каким-то образом прошли модерацию Apple. Приложение появилось в Mac App Store и оставалось там достаточно долго, чтобы собрать десятки жертв. По данным ZachXBT, кампания шла около недели.

Схема работала через фишинг сид-фразы. Приложение выглядело как настоящий Ledger Live и просило пользователей ввести 24-словную мнемоническую фразу – якобы для «синхронизации» или «восстановления доступа». Как только жертва вводила слова, злоумышленники получали полный контроль над кошельком и немедленно выводили средства.

«Garrett Dutton's 5.9 Bitcoin has already been sent to deposit addresses associated with KuCoin» – ZachXBT, апрель 2026

Apple отреагировала после публичного скандала: приложение удалили, разработчика исключили из программы App Store. В комментарии для Cointelegraph компания подтвердила факт удаления. Однако вопрос о том, почему фальшивка прошла проверку и сколько времени прошло до реакции, остался без чёткого ответа.

Почему модерация App Store не остановила мошенников

Apple годами позиционирует свой магазин как безопасную экосистему – в отличие от Android, где приложения можно устанавливать из сторонних источников. Именно это доверие сыграло против пользователей: многие не сомневались в подлинности приложения, потому что видели его в официальном магазине.

Как именно фальшивка прошла проверку – пока точно неизвестно. Модерация App Store сочетает автоматические проверки с ручным рецензированием, но сосредоточена прежде всего на безопасности кода, а не на намерениях разработчика. Приложение, которое просто показывает форму для ввода слов и отправляет их на сервер, технически может не содержать «вредоносного кода» в классическом понимании.

Кроме того, мошенники могли использовать несколько приёмов для обхода проверки:

• Сначала загрузить безобидную версию приложения, а затем обновить функциональность после одобрения
• Использовать название, близкое к оригинальному, но формально не нарушающее правила о торговых марках
• Ориентироваться на небольшую аудиторию, чтобы не привлекать внимания жалобами пользователей

ZachXBT публично поднял вопрос об ответственности Apple. Если платформа берёт комиссию с разработчиков и позиционирует свою модерацию как защиту пользователей – несёт ли она хоть какую-то ответственность за убытки, которые эта модерация не предотвратила? Юридического ответа пока нет, но репутационный ущерб очевиден.

Куда ушли деньги: биткоин, Tron, Solana и след миксера

Особого внимания заслуживает то, как мошенники выводили средства. ZachXBT проследил движение денег и установил, что украденные активы – в биткоине, Tron и Solana – пошли через миксер, связанный с биржей KuCoin. Это стандартная схема для быстрой анонимизации: средства разбиваются на мелкие суммы, перемешиваются через множество адресов, а затем выводятся на биржу, где их сложнее отследить.

Сама по себе биржа KuCoin здесь не виновата – злоумышленники использовали связанные с ней адреса, а не саму платформу. Но этот след важен: он показывает, что у преступников была заранее подготовленная инфраструктура для отмывания, а не импровизация. Это не случайные хакеры, а организованная группа с чётким планом действий.

Именно поэтому проверка адресов через AML-инструменты приобретает такое значение – особенно при получении средств из неизвестных источников. Если адрес уже засветился в схемах отмывания, хороший AML-сканер это покажет. На нашем портале для этого есть AML-чекер – он проверяет адреса на биткоине и других блокчейнах по базам известных мошеннических кошельков и высокорисковых источников.

Главная ошибка жертв: сид-фраза никогда не вводится в приложение

Это звучит банально, но именно эту ошибку повторяют снова и снова – даже опытные пользователи. Сид-фраза (мнемоническая фраза из 12 или 24 слов) – это мастер-ключ к кошельку. Тот, у кого есть эти слова, владеет монетами. Точка.

Настоящее приложение Ledger Live никогда не просит ввести сид-фразу. Никогда. Это фундаментальный принцип работы аппаратных кошельков: секретные ключи никогда не покидают устройство, а сид-фраза нужна только для физического восстановления кошелька на новом девайсе – и вводится она на самом устройстве, а не в программе на компьютере.

Если приложение просит сид-фразу – это мошенничество. Неважно, как оно выглядит и где скачано. Без исключений.

Что нужно запомнить о сид-фразе

• Никогда не вводить сид-фразу в программное обеспечение на компьютере или телефоне
• Никогда не фотографировать и не хранить её в цифровом виде
• Никогда не делиться ею ни с кем – даже с поддержкой
• Хранить только на бумаге или металлическом носителе в защищённом месте

Как мошенники выбирали жертв

Аппаратные кошельки используют люди, которые уже что-то понимают в криптовалюте. Это не новички, купившие первые $100 на бирже – это держатели, которые осознанно выбрали холодное хранение для защиты значительных сумм. Именно поэтому средний чек у жертв оказался высоким: общая сумма потерь $9.5 млн делится примерно на 50+ пострадавших – это почти $190 000 на человека в среднем.

Мошенники целились туда, где деньги. Они знали, что пользователи Ledger – не случайные люди. И они знали, что доверие к экосистеме Apple создаёт ложное ощущение безопасности.

G. Love, вероятно, считал, что раз он использует аппаратный кошелёк и скачивает приложение из официального магазина – он в безопасности. Это типичная ловушка: человек принимает правильное решение (аппаратный кошелёк), но потом совершает одну критическую ошибку на последнем шаге.

Вопрос к Apple: кто несёт ответственность

После публикаций ZachXBT и волны медиаматериалов Apple быстро убрала приложение и закрыла аккаунт разработчика. Но это не ответ на системный вопрос.

App Store – это не просто каталог приложений. Это охраняемая экосистема, за доступ к которой Apple берёт 30% от доходов разработчиков и ежегодный взнос за членство. Компания продаёт доверие как продукт. Слоган «We review every app» – не просто маркетинг, это обещание безопасности.

Когда это обещание нарушается и пользователи теряют реальные деньги, возникает закономерный вопрос: может ли пострадавший потребовать компенсацию от Apple? Сейчас – почти наверняка нет. Условия использования App Store снимают с компании ответственность за содержимое приложений третьих сторон. Но давление регуляторов на платформы в части ответственности за контент растёт по всему миру, и этот инцидент – ещё один аргумент в копилку тех, кто считает, что крупные платформы должны нести больше ответственности.

ZachXBT прямо спросил: несёт ли Apple ответственность за $9.5 млн украденных средств? Ответа он не получил.

Это не первый раз: история фишинга через магазины приложений

Случай с Ledger – не уникальный. На протяжении нескольких лет в App Store и Google Play периодически появляются фальшивые версии популярных криптокошельков и приложений для управления активами. Модерация их ловит – но не всегда быстро, и не всегда до того, как пострадают пользователи.

В 2021 году похожая история произошла с фальшивым приложением Trezor – другого популярного производителя аппаратных кошельков. В 2023 году фиксировались случаи с поддельными приложениями MetaMask и Trust Wallet. Каждый раз схема примерно одна: убедительная визуальная копия, запрос на ввод сид-фразы или приватного ключа, мгновенный вывод средств.

Криптоиндустрия реагирует по-разному. Ledger регулярно предупреждает пользователей: скачивать приложение нужно только с официального сайта ledger.com, а не из магазинов приложений, где контроль слабее. Но большинство людей об этом не знает – или не придаёт этому значения, когда видит удобную кнопку «Установить» в знакомом интерфейсе.

Как проверить, что вы используете настоящее приложение

Конкретные шаги для тех, кто пользуется аппаратными кошельками или планирует их использовать:

Для пользователей Ledger

• Скачивать Ledger Live только с официального сайта ledger.com – и больше нигде
• Проверять цифровую подпись установщика, если скачиваете под Windows или Linux
• Не устанавливать Ledger Live из App Store или Google Play – официально компания рекомендует сайт
• Регулярно проверять официальные каналы Ledger на предмет предупреждений о фальшивках

Общие правила безопасности для любых криптокошельков

• Сид-фраза никогда не вводится в программное обеспечение
• Перед установкой любого приложения, связанного с криптовалютой, проверять разработчика: имя, дата публикации, количество отзывов
• Скептически относиться к приложениям с малым числом отзывов или недавней датой публикации
• Использовать отдельное устройство для работы с крупными суммами
• Регулярно проверять адреса на наличие в базах мошеннических кошельков

Инструменты, которые помогают защититься

Мы собрали несколько инструментов, которые помогают работать с криптовалютой безопаснее – и не только в контексте этого инцидента.

AML-проверка адресов. Перед тем как принять перевод от незнакомого источника или отправить средства на новый адрес, стоит проверить его историю. Наш AML-чекер анализирует адреса на биткоине, Ethereum, Tron и других блокчейнах и показывает, связан ли адрес с известными мошенническими схемами, миксерами или санкционными списками. Именно такой инструмент помог бы идентифицировать адреса, куда утекли деньги жертв фальшивого Ledger – хотя в данном случае они уже были конечными получателями, а не отправителями.

Сравнение бирж. Часть пострадавших, вероятно, хранила активы на горячих кошельках и использовала биржи для управления портфелем. Выбор надёжной биржи – это тоже элемент безопасности. В нашем разделе обзоров бирж мы собрали актуальные оценки крупнейших платформ с учётом их политики безопасности, страховых фондов и истории инцидентов.

Управление портфелем. Распределение активов между разными кошельками и платформами снижает риски. Если всё хранится в одном месте – одна ошибка может стоить всего. Наш портфельный трекер помогает отслеживать активы на разных адресах и биржах в одном интерфейсе, не передавая приватных ключей.

Почему аппаратные кошельки всё равно остаются лучшим вариантом

История с фальшивым Ledger может создать ложное впечатление, что аппаратные кошельки ненадёжны. Это не так. Сам аппаратный кошелёк – устройство – не взламывали. Приватные ключи G. Love не утекли из его Ledger Nano. Он потерял деньги потому, что ввёл сид-фразу в стороннее приложение – то есть фактически сам отдал ключи мошенникам.

Аппаратный кошелёк работает именно потому, что хранит ключи офлайн. Если пользователь соблюдает базовые правила безопасности – никогда не вводит сид-фразу в цифровом виде, не устанавливает непроверенное программное обеспечение – его средства в безопасности, даже если компьютер заражён вирусом.

Проблема не в технологии. Проблема в человеческом факторе и в платформах, которые берут на себя роль привратников, но не справляются с ней.

Что этот инцидент говорит о зрелости отрасли

Криптовалюта прошла долгий путь от форумов о биткоине до мейнстримных финансовых продуктов. Но вместе с ростом аудитории растёт и привлекательность для мошенников. $9.5 млн, украденных у 50+ человек за неделю – это не мелкий инцидент. Это организованная кампания с подготовленной инфраструктурой, нацеленная на доверие к крупной технологической компании.

Отрасль реагирует по-разному. Одни призывают к большей ответственности платформ. Другие напоминают об основах: не твои ключи – не твои монеты, и никогда не доверяй приложению свою сид-фразу. Обе позиции правильные – и они не противоречат друг другу.

Пока регуляторы и платформы разбираются с ответственностью, каждый пользователь может защитить себя сам. Это требует знаний и внимательности – но не технических навыков уровня разработчика.

Итог: что сделать прямо сейчас

Если у вас есть аппаратный кошелёк – проверьте, откуда вы скачали сопроводительное приложение. Если из магазина приложений, а не с официального сайта производителя – удалите его и скачайте заново с правильного источника. Сид-фразу при этом вводить никуда не нужно.

Если вы только думаете о переходе на холодное хранение – это по-прежнему лучший способ защитить крупные суммы. Главное – один раз разобраться в правилах, а не доверять первому приложению, которое выглядит похоже на настоящее.

Проверить свои адреса на наличие рисков можно прямо сейчас – в нашем AML-чекере. А если вы выбираете кошелёк или хотите сравнить варианты хранения, загляните в наш раздел обзоров кошельков – там мы собрали актуальные оценки аппаратных и программных решений с учётом безопасности, удобства и поддерживаемых сетей.

G. Love потерял пенсионный фонд из-за одной ошибки в несколько секунд. Эта история болезненная – но она чётко показывает, где проходит граница между безопасностью и катастрофой. Эта граница проходит по сид-фразе.