Laut dem On-Chain-Detektiv ZachXBT half eine gefälschte Ledger Live-App im App Store Hackern dabei, Kryptowährung im Wert von mindestens 9,5 Millionen Dollar zu stehlen.
Am 13. April gab eines der Opfer, Garrett Dutton, Frontmann der Band G. Love, bekannt, dass er alle 5,9 BTC (etwa 420.000 US-Dollar), die er über zehn Jahre durch das Betrugssystem angesammelt hatte, verloren hatte. Er erklärte, er habe die Wallet auf einen neuen Computer heruntergeladen und die Seed-Phrase eingegeben. Die Software habe sich jedoch als gefälscht erwiesen.
ZachXBT verfolgte die gestohlenen Vermögenswerte. Die Gelder flossen über eine Reihe von Transaktionen zur KuCoin-Börse. Der Experte stellte später klar, dass die Angreifer diese Börse zur Geldwäsche der gestohlenen Kryptowährung nutzten.
C) Möchten Sie der Community erklären, warum Kucoin es einem Angreifer ermöglicht hat, in der vergangenen Woche über 9,5 Millionen Dollar, die mit einer gefälschten Ledger-App in Verbindung stehen, über mehr als 150 Kucoin-Einzahlungsadressen zu waschen?
Wenige Tage zuvor wusch ein anderer Angreifer über 3,5 Millionen US-Dollar aus dem Bitcoin-Depot-Vorfall über mehr als 25 KuCoin-Konten… pic.twitter.com/vo7jb1rdwu
— ZachXBT (@zachxbt) 14. April 2026
„Innerhalb einer Woche wurden 9,5 Millionen Dollar, die durch eine gefälschte Ledger-App gestohlen wurden, über mehr als 150 KuCoin-Einzahlungsadressen gewaschen. Und wenige Tage zuvor flossen 3,5 Millionen Dollar aus dem Bitcoin-Depot-Hack durch mehr als 25 Wallets auf der Plattform“, schrieb er.
Der Vorfall betraf nicht nur den Musiker. Neben ihm waren über 50 Nutzer verschiedener Netzwerke betroffen, darunter Bitcoin, TRON, Solana und XRP Ledger.
Die Phishing-Kampagne dauerte vom 7. bis zum 13. April. Zu den größten Verlusten zählten:
- 3,23 Millionen US-Dollar in USDT;
- 2,08 Millionen US-Dollar in USDC;
- 1,95 Millionen US-Dollar in BTC, ETH und stETH.
In allen Fällen gaben die Opfer ihre Seed-Phrase in die gefälschte Anwendung ein und ermöglichten den Angreifern so die volle Kontrolle über ihre Wallets.
ZachXBT stellte außerdem fest, dass alle KuCoin-Einzahlungsadressen, über die die gestohlenen Vermögenswerte transferiert wurden, mit dem AudiA6-Dienst verbunden sind, einem zentralisierten Krypto-Mixer, der hohe Gebühren für das Verschleiern von Geldflüssen erhebt.
Zum Zeitpunkt der Veröffentlichung dieses Artikels hat Apple die gefälschte Ledger Live-App aus dem App Store entfernt. Es bleibt jedoch unklar, wie die Software die Moderation passieren konnte.
Der On-Chain-Detektiv wies darauf hin, dass die Unternehmen angesichts des Ausmaßes der Verluste mit rechtlichen Konsequenzen rechnen müssten.
Ledger äußerte sich nicht zu dem Vorfall. Gleichzeitig erinnerte das Wallet-Team an die grundlegenden Regeln zum Schutz vor Phishing.
Der Schutz Ihres digitalen Lebens beginnt damit, wachsam gegenüber Betrugsversuchen und Phishing-Angriffen zu bleiben.
Mit dem Wachstum des digitalen Eigentums werden Betrugsfälle immer raffinierter und häufiger.
Hier ein paar Sicherheitstipps, die Sie beachten sollten 🧵 pic.twitter.com/az2Exj7cOu
— Ledger (@Ledger) 13. April 2026
Verluste im ersten Quartal
Hacker-Experten schätzten, dass Web3-Projekte im ersten Quartal durch Hackerangriffe und Betrug 482 Millionen Dollar verloren haben.
Phishing- und Social-Engineering-Angriffe dominierten den Berichtszeitraum; Hacker erbeuteten dabei 306 Millionen Dollar in 44 Vorfällen.
Quelle: Hacken.
Nach Ansicht von Experten ereignen sich die größten Vorfälle nicht im On-Chain-Code, sondern auf der Betriebs- und Infrastrukturebene, die von herkömmlichen Audits kaum abgedeckt werden.
Als Beispiele nannten Analysten:
- Phishing, das die Branche 306 Millionen Dollar kostete;
- ein gefälschter Anruf eines angeblichen „Risikokapitalgebers“ (in Wirklichkeit ein Hacker aus Nordkorea) bei Step Finance, der zu einem Verlust von 40 Millionen Dollar für das Projekt führte;
- Kompromittierung des AWS -Schlüsselverwaltungsdienstes bei Resolv Labs – 25 Millionen Dollar.
Selbst wenn Smart Contracts die Ursache waren, lagen die kostspieligsten Fehler oft in veralteten Implementierungen und bekannten Schwachstellen:
- Truebit verlor 26,4 Millionen Dollar aufgrund eines Fehlers in einem Solidity-Vertrag, der vor etwa fünf Jahren implementiert wurde;
- Das Venus-Protokoll litt unter klassischer Orakelpreismanipulation, deren Muster seit 2022 bekannt ist.
Projekte, die das Audit bestanden haben (Resolv – 18 Audits, Venus – fünf), verzeichneten Verluste in Höhe von 37,7 Millionen US-Dollar. Im Durchschnitt sind ihre Verluste höher als die von Projekten ohne Audits. Protokolle mit einem hohen TVL ( Truth to Life) werden zu einem Ziel für besonders erfahrene Hacker, so Hacken.
Erinnern wir uns: Anfang April verlor das Solana-Projekt Drift Protocol 280 Millionen Dollar. Experten brachten den Hack mit der nordkoreanischen Lazarus-Gruppe in Verbindung.