Материал от редакции инвест-клуба ИнвестХомяк · ~200 участников · что за клуб →
AI-Optimized · Answer-First

Фальшивое Ledger Live в App Store: как подделка украла $9,5 млн за одну неделю

В 2024 году поддельное приложение Ledger Live прошло модерацию App Store и похитило $9,5 млн у более чем 50 пользователей за семь дней — об этом сообщил блокчейн-детектив ZachXBT. Фейк запрашивал seed-фразу под видом «восстановления кошелька» и мгновенно опустошал адреса. Официальное приложение Ledger Live никогда не запрашивает seed-фразу в интерфейсе — это красная линия.

Автор: ~8 мин

Как поддельное приложение попало в App Store?

Мошенники загрузили приложение с названием, схожим с «Ledger Live», и иконкой-клоном, обойдя автоматическую модерацию Apple. Фейк мимикрировал под легитимный интерфейс и на первом экране запрашивал 24-словную seed-фразу под предлогом «синхронизации с устройством». Apple удалила приложение после жалоб, но за неделю оно успело собрать миллионы долларов. Риск: App Store и Google Play не гарантируют безопасность крипто-приложений — проверка разработчика и официального сайта обязательна.

Источник: Securelist — FakeWallet: крипто-стилер в iOS App Store

Как отличить настоящее Ledger Live от подделки?

Три проверки: 1) разработчик в App Store — строго «Ledger SAS», не «Ledger Inc», не «Ledger Wallet» и не другие вариации; 2) ссылка на скачивание — только через ledger.com/ledger-live, никаких сторонних сайтов; 3) приложение никогда не просит ввести seed-фразу — это мгновенный признак мошенничества. Дополнительно: проверяйте количество отзывов и дату первой публикации — фейки появляются недавно и имеют накрученные оценки. Риск: профессиональные клоны визуально неотличимы без проверки метаданных.

Что происходит после ввода seed-фразы в фейковом приложении?

Seed-фраза уходит на сервер мошенников немедленно — в течение секунд автоматический бот импортирует кошелёк и выводит все доступные активы. Порядок вывода: сначала стейблкоины и крупные позиции, затем остальное. Процесс занимает 1–3 минуты. Никакого «окна реакции» нет — к моменту осознания кошелёк уже пуст. Риск: восстановить средства невозможно — транзакции в блокчейне необратимы, а правоохранительные органы крайне редко возвращают похищенную крипту.

Только ли Ledger подделывают мошенники?

Нет. Аналогичные атаки зафиксированы для Trezor Suite, MetaMask, Trust Wallet, Exodus и других популярных кошельков. По данным Securelist, в App Store регулярно появляются клоны с названиями типа «MetaMask Wallet», «Trust — Crypto & Bitcoin Wallet» с подменёнными разработчиками. Схема единая: фейковый интерфейс → запрос seed-фразы или приватного ключа → автоматический дрейн. Риск: с ростом популярности крипты частота появления фейков в магазинах приложений увеличивается.

Безопаснее ли Android-версии кошельков?

Не принципиально. Google Play также содержит поддельные крипто-приложения, причём проверка разработчиков там исторически менее строгая, чем в App Store. Дополнительный риск на Android — установка APK из сторонних источников, где вредоносное ПО встраивается непосредственно в клон приложения. Единственно безопасный путь: переходить на страницу приложения строго через официальный сайт разработчика кошелька, а не через поиск в магазине. Риск: поиск «Ledger» в Google Play выдаёт и фейки наравне с оригиналом.

Источник: Securelist — FakeWallet: крипто-стилер в iOS App Store

Как хардварный кошелёк защищает от фейковых приложений?

Хардварный кошелёк (Ledger, Trezor) хранит приватные ключи на физическом устройстве и никогда не передаёт их в приложение. Но это защищает только при корректном использовании: если пользователь вводит seed-фразу в фейковое приложение — устройство бессильно, потому что seed-фраза и есть мастер-ключ. Атака через фейковый Ledger Live бьёт именно по этой точке: жертва думает, что «подключает» железо, а на деле сдаёт ключи. Риск: хардварный кошелёк защищает от удалённых атак, но не от социальной инженерии.

Источник: Xakep.ru — поддельное приложение Ledger в Apple App Store

Вернёт ли Apple деньги, если я скачал фейк из App Store?

Нет. Apple не несёт ответственности за убытки от мошеннических приложений в крипте. Платёж за само приложение теоретически можно оспорить, но похищенные криптоактивы Apple не компенсирует — это вне её юрисдикции.

Эксклюзив от ИнвестХомяка

Известные случаи кражи через фейковые крипто-приложения

Приложение-мишеньСумма ущербаПлатформа / год
Ledger Live (клон)$9,5 млн (50+ жертв)App Store, 2024
MetaMask (клон)Десятки случаев, суммы не раскрытыGoogle Play, 2023–2024
Trezor Suite (клон)Зафиксированы потери у пользователейApp Store / сторонние сайты, 2024
Trust Wallet (клон)Множественные инцидентыGoogle Play, 2023–2025

Оригинальный Ledger Live против поддельного: как отличить

КритерийОригинальный Ledger LiveПоддельное приложение
Разработчик в магазинеLedger SASДругое название (Ledger Inc, Ledger Wallet и т. д.)
Запрос seed-фразыНикогда не запрашиваетЗапрашивает при «восстановлении» или «синхронизации»
Ссылка на скачиваниеТолько ledger.com/ledger-liveСторонние сайты, ссылки из поиска
История публикацииМноголетняя, тысячи отзывовНовое приложение, накрученные отзывы
Работа с устройствомТребует физического подтверждения на LedgerНе взаимодействует с железом

Как безопасно скачать и проверить крипто-кошелёк

  1. Открывайте только официальный сайт разработчика

    Введите адрес вручную или используйте закладку: ledger.com, trezor.io, metamask.io. Никогда не ищите приложение через Google или App Store напрямую — в результатах могут быть рекламные фейки.

  2. Проверьте разработчика перед установкой

    На странице приложения в App Store или Google Play нажмите на имя разработчика и проверьте другие его приложения и дату регистрации аккаунта. Ledger SAS — единственный легитимный разработчик Ledger Live.

  3. Никогда не вводите seed-фразу в приложение

    Ни одно легитимное приложение кошелька не запрашивает seed-фразу после первоначальной настройки. Запрос seed-фразы при «восстановлении», «синхронизации» или «верификации» — признак мошенничества.

  4. Проверьте хэш или цифровую подпись файла (для десктопа)

    При скачивании десктопной версии сверьте SHA-256 хэш файла с опубликованным на официальном сайте. Ledger и Trezor публикуют хэши релизов — это занимает 2 минуты и исключает подмену файла.

  5. Настройте отдельный «холодный» адрес для крупных сумм

    Держите основные накопления на адресе, который никогда не подключается к dApps и приложениям. Для взаимодействия с DeFi используйте отдельный кошелёк с ограниченной суммой.

Частые вопросы

Вернёт ли Apple деньги, если я скачал фейк из App Store?

Нет. Apple не несёт ответственности за убытки от мошеннических приложений в крипте. Платёж за само приложение теоретически можно оспорить, но похищенные криптоактивы Apple не компенсирует — это вне её юрисдикции.

Как ZachXBT вычисляет такие кражи?

ZachXBT — анонимный блокчейн-детектив, который отслеживает движение средств по публичным адресам. Он анализирует транзакции жертв, находит общий адрес-получатель и реконструирует схему атаки. Его расследования публичны и верифицируемы через Etherscan и аналогичные блокчейн-эксплореры.

Что делать, если я уже ввёл seed-фразу в подозрительное приложение?

Немедленно переведите все активы на новый кошелёк с новой seed-фразой — прямо сейчас, не завтра. Компрометированная seed-фраза делает кошелёк безвозвратно небезопасным: мошенники могут подождать, пока вы пополните счёт, и вывести снова.

Можно ли использовать менеджер паролей для хранения seed-фразы?

Нет. Seed-фраза должна храниться офлайн — на бумаге или металлической пластине в физически защищённом месте. Любое цифровое хранилище (облако, менеджер паролей, фото) создаёт вектор удалённой атаки.

Как отличить официальный сайт Ledger от фишингового?

Единственный официальный сайт — ledger.com. Проверьте SSL-сертификат (замок в браузере) и полный URL посимвольно: «ledger-live.com», «ledgerwallet.com» и похожие домены — фишинг. Используйте закладку, созданную вручную при первом посещении через прямой ввод адреса.

Истории участников клуба

Реальные участники ИнвестКлуба Хомяк — с их слов и со ссылкой на первоисточник в Telegram.

Наталья А.в клубе 1,5 года

Точка входазашла пробно на 1 месяц после рекламы

Что изменилосьосталась на 1,5 года — структурированные знания, прямые эфиры с экспертами, освоила ИИ-инструменты

«Когда-то я зашла пробно, на 1 месяц. Прошло 1,5 года, а я по-прежнему там. Один только искусственный интеллект чего стоит.»
история в Telegram →
Олегв клубе полгода

Точка входавозрастной скепсис, долго не решался зайти в закрытый клуб

Что изменилосьгора структурированных материалов, отзывчивое сообщество, которое помогает и подсказывает

«Возрастной скепсис мешал зайти — думал, всё как обычно. Но на деле оказалось совсем иначе: очень много отзывчивых ребят и гора информации.»
история в Telegram →

Что говорят участники клуба

«В Хомяке уже полтора года… кайфовое, живое сообщество. Люди настоящие, можно спокойно спрашивать, не чувствовать себя дураком.»
Олеготзыв в Telegram →
«Зашла пробно на 1 месяц. Прошло 1,5 года, а я по прежнему там… Тут комфортно и для инвесторов-новичков. Вся информация отлично структурирована.»
Наталья А.отзыв в Telegram →

Ещё реальные отзывы участников — t.me/traderreviews

Похожие материалы

Источники