Una versión fraudulenta de la aplicación Ledger Live, disponible en la App Store de Apple, provocó el robo de aproximadamente 9,5 millones de dólares en criptomonedas, según informó el investigador de blockchain ZachXBT.
El ataque afectó a más de 50 víctimas en diversas redes blockchain, incluyendo Bitcoin, Solana, Tron, Ripple y múltiples redes EVM. El vaciado de los fondos se produjo entre el 7 y el 13 de abril de 2026.
Tres de las víctimas con mayores pérdidas sufrieron daños de siete cifras. Entre ellas se encuentran la pérdida de 3,23 millones de dólares en USDT, 2,079 millones en USDC y un total de 1,95 millones en activos que incluyen Bitcoin, stETH y ETH.
Fondos canalizados a través de un mezclador centralizado
ZachXBT rastreó los activos robados a través de más de 150 direcciones de depósito de KuCoin vinculadas a AudiA6, un servicio de mezcla centralizado utilizado para el blanqueo de capitales ilícitos. El investigador señaló que KuCoin ha experimentado un aumento en los flujos de fondos ilícitos durante el último año.
Este incidente se produce tras un ataque similar ocurrido el 12 de abril, en el que el músico G. Love perdió 5,9 BTC tras introducir su frase de recuperación en una aplicación fraudulenta.
Los directivos de Ledger advirtieron a los usuarios que las tiendas de aplicaciones oficiales pueden albergar software malicioso diseñado para el robo de fondos. El director de tecnología de Ledger, Charles Guillemet, afirmó que la empresa nunca solicitará la frase de recuperación de 24 palabras de un usuario.
"Si alguien, o cualquier aplicación, le pide sus 24 palabras, asuma que algo va mal", declaró Guillemet en un comunicado. Asimismo, instó a los clientes a descargar software únicamente desde el sitio web oficial de Ledger.
Apple ya ha procedido a eliminar la aplicación maliciosa de la App Store.
