Een geval van een valse Ledger Live op de Apple App Store heeft geleid tot de diefstal van miljoenen in cryptocurrencies, waarbij decennia aan spaargeld in enkele minuten verdwenen zijn.
Summary
Oplichting via nep-app en levenslange besparingen weggevaagd
Een vervalste versie van de hardwarebeheer wallet app Ledger, verspreid via de Apple App Store, is in verband gebracht met de diefstal van minstens 9,5 miljoen dollar in cryptocurrencies. Slachtoffers melden verwoestende verliezen, inclusief volledige pensioenfondsen die “in een oogwenk” zijn gewist.
Een gebruiker van X, bekend als @glove, verklaarde dat hij 5,9 BTC had verloren, gelijk aan zijn in tien jaar opgebouwde spaargeld. Hij had gedownload wat hij dacht dat de officiële app van Ledger was terwijl hij een nieuwe computer installeerde, zonder iets te vermoeden.
“Ik ben mijn pensioenfonds kwijtgeraakt door een hack/scam… Al mijn BTC verdwenen in een oogwenk”, schreef hij. Vervolgens heeft de on-chain onderzoeker ZachXBT de gestolen 5,92 BTC getraceerd, waarbij hij liet zien hoe deze snel werden overgebracht naar stortingsadressen op KuCoin via een reeks transacties.
Valse Ledger Live: meer dan 50 slachtoffers en aanvallen op meerdere blockchains
De gebruiker @glove was niet de enige die betrokken was. De phishingcampagne, actief tussen 7 april en 13 april, trof meer dan 50 vermoedelijke slachtoffers. De aanvallers richtten zich op Bitcoin, netwerken compatibel met Ethereum, evenals Tron, Solana en XRP.
Drie van de ernstigste gevallen betroffen bedragen van zeven cijfers. Op 9 april werden 3,23 miljoen USDT gestolen. Op 11 april was het de beurt aan 2,08 miljoen USDC, terwijl op 8 april 1,95 miljoen in BTC, ETH en stETH werden weggenomen.
In feite werden gebruikers ertoe gebracht hun herstelzin in de kwaadaardige app in te voeren. Door dit te doen, gaven ze de aanvallers volledige toegang tot hun wallets, waardoor de onmiddellijke overdracht van alle fondsen mogelijk werd.
Witwassen van fondsen: KuCoin en de AudiA6-service
De gestolen fondsen werden geleid via meer dan 150 KuCoin stortingsadressen. On-chain analyses verbinden ze met AudiA6, een gecentraliseerde cryptocurrency-mixingservice die bekend staat om zijn hoge kosten, gebruikt om de illegale oorsprong van de fondsen te verbergen.
De afhankelijkheid van een gecentraliseerde exchange als witwascentrum is bijzonder significant, vooral in het licht van de recente regelgevende moeilijkheden van KuCoin. In februari 2026 hebben de Oostenrijkse autoriteiten het platform verboden om nieuwe gebruikers in de Europese Unie te registreren.
Dit gebeurde enkele maanden na het verkrijgen van de MiCA-licentie, wat een groeiend toezichtskader bevestigt. Bovendien heeft de exchange in 2025 meer dan 300 miljoen dollar betaald aan de Amerikaanse autoriteiten om procedures met betrekking tot schendingen van anti-witwasregels te sluiten.
App Store onder vuur en mogelijke juridische gevolgen
Apple heeft de valse Ledger Live-app uit zijn App Store verwijderd, maar er blijven vragen openstaan over hoe de software de beoordelingsprocedure heeft kunnen doorstaan. Bovendien is het nog onduidelijk hoe lang het daadwerkelijk beschikbaar was voor download.
De combinatie van de omvang van de verliezen en het feit dat de app via de officiële marktplaats van Apple werd verspreid, zou de groep aan juridische risico’s kunnen blootstellen. Sommige waarnemers speculeren dat de zaak zou kunnen leiden tot een class action van de slachtoffers.
Groeiende dreiging voor crypto-investeerders
Het incident past in een context van structureel risico dat het cryptocurrency-ecosysteem al jaren treft. In 2025 verloren digitale investeerders ongeveer 17 miljard dollar door hacks en oplichting, waarbij social engineering en phishingcampagnes tot de meest voorkomende aanvalsvectoren behoren.
Dat gezegd hebbende, benadrukt de zaak opnieuw de kwetsbaarheid van minder ervaren gebruikers, maar ook van degenen die aanzienlijke vermogens bezitten en aannemen dat officiële stores volledige veiligheid garanderen. In werkelijkheid kunnen frauduleuze apps af en toe de controles omzeilen.
Voor degenen die in de val zijn gelopen, is de schade al onomkeerbaar. “Ik heb hier tien jaar voor gewerkt”, schreef een van de slachtoffers. “Wees voorzichtig daarbuiten”. Over het algemeen vormt de zaak een waarschuwing over de noodzaak om altijd de authenticiteit van wallet-gerelateerde applicaties te verifiëren.
