Десять лет Bitcoin-накоплений. Исчезли за тридцать секунд.
Гаррет Даттон — известный как G. Love, солист группы G. Love & Special Sauce — потерял 5,92 BTC 11 апреля 2026 года. Никаких технических уязвимостей, никакого бага в прошивке Ledger. Только поддельное приложение, скачанное из Apple Mac App Store вместо оригинального.
Как Поддельное Приложение Опустошило Кошелёк
G. Love переносил свой аппаратный кошелёк на новый компьютер Apple. Он ввёл в поиск Mac App Store запрос "Ledger Live" и нашёл приложение, которое выглядело совершенно официально — правильные иконки, аккуратный интерфейс, убедительный брендинг. Он его скачал. При первом запуске приложение попросило ввести 24 слова seed-фразы для "восстановления устройства". Он ввёл.
В тот момент кто-то на другом конце света получил полный контроль над всеми его биткоинами.
I had a really tough day today I lost my retirement fund in a hack/Scam when I switched my @Ledger over to my new computer and by accident downloaded a malicious ledger app from the @Apple store. All my BTC gone in an instant.
— G. Love (@glove) April 11, 2026
ZachXBT Отследил Средства до KuCoin
В течение нескольких часов on-chain следователь ZachXBT восстановил маршрут средств: 5,92 BTC прошли через девять отдельных транзакций и были направлены на депозитные адреса KuCoin.
"Я отследил ваши украденные 5,92 BTC — все они были отмыты через депозитные адреса @kucoincom."
— ZachXBT (@zachxbt), 12 апреля 2026
Шансы на возврат средств практически равны нулю. KuCoin лишился европейской лицензии MiCA в феврале 2026 года — всего через три месяца после её получения через Австрию — и, по данным ZachXBT, биржа по-прежнему используется нелегальными сервисами без надлежащей реакции. Для русскоязычных пользователей, живущих в Европе и работающих с криптой вне российской банковской системы, это важный сигнал: DAC8 обязывает европейские биржи автоматически передавать данные об операциях налоговым органам, а значит, деньги на KuCoin могут засветиться в нескольких юрисдикциях. В 2025 году потери от фишинга с цифровой подписью выросли на 207% — предупреждение, которое рынок проигнорировал.
Apple Молчит: Поддельные Крипто-Приложения Проходят Модерацию
Мошенническое приложение было зарегистрировано на стороннего разработчика — не Ledger SAS — но всё равно прошло процедуру проверки App Store. Apple не выпустила никакого заявления, не подтвердила удаление приложения и, по словам ZachXBT, активно препятствовала попыткам публично задокументировать инцидент.
"Похоже, Apple не хочет, чтобы люди документировали факт того, что она допускает поддельные приложения в своём App Store."
— ZachXBT (@zachxbt), 12 апреля 2026
Это не первый случай. В 2023 году поддельное приложение Ledger в Microsoft Store обернулось почти 600 000 долларов убытков. Та же механика, та же небрежность платформ. Стоит отметить: в отличие от европейских финансовых регуляторов, ни Apple, ни Microsoft не несут юридической ответственности за мошеннические приложения в своих магазинах — этот пробел в регулировании никуда не делся.
Правило, Которое Работает Всегда: Защита Seed-Фразы
Ledger повторяет это годами: Ledger Live доступен только на ledger.com. Никогда — в магазинах приложений. Seed-фразу нужно вводить исключительно на физическом устройстве — никогда в приложении, никогда в браузере, никогда на экране ноутбука. Если любое приложение запрашивает ваши 24 слова на экране — это мошенничество. Без исключений.
Бо, руководитель службы безопасности Pudgy Penguins, написал вскоре после новости: неважно, насколько профессионально выглядит интерфейс. Любое устройство с подключением к интернету, запрашивающее ваши 24 слова, уже скомпрометировано.
Если вы пользуетесь аппаратным кошельком и ещё не до конца понимаете разницу между горячим и холодным хранилищем, этот гид объяснит, с чего начать. Это не продвинутый материал — это основа.
G. Love завершил историю с редкой честностью: "Это моя вина — я был недостаточно внимателен. Но пусть это послужит предупреждением. Там так много мошенников."
Пока X экспериментирует с блокировкой новых крипто-аккаунтов при первой публикации для борьбы с фишингом, подобные инциденты напоминают: настоящая уязвимость почти никогда не техническая. Она человеческая.
