Une réplique malveillante de l’application Ledger Live a été découverte sur l’App Store, entraînant le vol de près de 9,5 millions de dollars en cryptomonnaies en seulement quelques jours. Cette opération malicieuse a visé des dizaines d’utilisateurs à travers diverses blockchains, exploitant leur confiance avec une version contrefaite de l’application. Cet incident souligne l’augmentation des fraudes sophistiquées et rappelle que les plateformes numériques officielles ne sont pas à l’abri des menaces cachées.
Points clés
- Une version contrefaite de l’application Ledger Live sur l’App Store a facilité le vol de près de 9,5 millions de dollars en cryptomonnaies.
- Plus de cinquante personnes ont été affectées sur plusieurs blockchains importantes, avec des pertes individuelles s’élevant à plusieurs millions.
- Les montants dérobés ont été transférés à plus de 150 adresses associées à KuCoin, rendant leur traçabilité difficile via un service de mixage.
- Ledger rappelle aux utilisateurs de ne jamais placer une confiance aveugle dans les logiciels, même les plus officiels.
Une copie frauduleuse de Ledger Live s’infiltre dans l’App Store et subtilise 9,5 millions de dollars
Un clone frauduleux de l’application Ledger Live, qui a réussi à se frayer un chemin sur l’App Store d’Apple, a conduit au vol de presque 9,5 millions de dollars en cryptomonnaies en moins d’une semaine. Selon un rapport publié sur Telegram le mardi par l’enquêteur de chaîne ZachXBT, l’escroquerie a affecté plus d’une cinquantaine d’individus entre le 7 et le 13 avril.
L’arnaque a touché plusieurs réseaux blockchain majeurs tels que Bitcoin, Ethereum, Solana, Tron et le XRP Ledger. Le dommage a été particulièrement sévère pour certains utilisateurs : trois d’entre eux ont perdu plus de 7 millions de dollars combinés. L’enquêteur mentionne notamment un vol de 3,23 millions de dollars en USDT, environ 2 millions en USDC, et une perte de 1,95 million de dollars en actifs (BTC, ETH) en staking.
Apple a retiré l’application malveillante le 13 avril suite à son identification. Selon les informations divulguées par ZachXBT, les fonds volés ont été envoyés à plus de 150 adresses liées à la plateforme d’échange KuCoin. En conséquence, ces actifs ont été transférés via un service de mixage centralisé, compliquant davantage leur suivi. Cette affaire survient dans un contexte où l’on note une augmentation des activités illicites sur la plateforme, d’après l’enquêteur.
Charles Guillemet met en garde contre les risques de sécurité et rappelle les dangers des environnements logiciels
Charles Guillemet, directeur technique de Ledger, insiste sur l’importance de respecter les règles de sécurité dans un contexte marqué par une augmentation des fraudes en cryptomonnaie. Dans une déclaration à Cointelegraph, il précise que l’entreprise ne demande jamais la phrase de récupération de 24 mots aux utilisateurs. Il met particulièrement l’accent sur un aspect crucial :
Vous ne pouvez pas faire confiance à l’environnement logiciel qui vous entoure — ni à votre navigateur, ni à votre boutique d’applications, ni à votre ordinateur — car les attaquants se manifestent partout où il existe une opportunité.
Charles Guillemet
Il met en évidence que même les outils apparemment officiels ou sécurisés peuvent être compromis. Ainsi, les utilisateurs doivent maintenir une vigilance constante face à des menaces susceptibles de se glisser à tous les niveaux de l’écosystème numérique.
En définitive, cet incident démontre une réalité constante dans l’écosystème des cryptomonnaies : même les plateformes d’échange les plus renommées ne sont pas exemptes de failles de sécurité. Cet événement rappelle que la sécurité repose principalement sur la vigilance individuelle. Dans un domaine où les menaces évoluent rapidement, il est crucial d’adopter des mesures strictes, telles que la protection de sa phrase de récupération et la vérification systématique des sources, pour réduire les risques de compromission.
