Une application frauduleuse sur l’App Store au cœur d’un vol massif de cryptomonnaies

Une fausse application Ledger Live infiltrée sur l’App Store a permis de détourner près de 9,5 millions de dollars en cryptomonnaies en quelques jours. Derrière cette opération, des attaquants ont ciblé des dizaines d’utilisateurs sur plusieurs blockchains majeures, exploitant leur confiance en diffusant une fausse version de l’appli. Cette affaire met en lumière la montée des fraudes sophistiquées et rappelle que même les environnements numériques officiels peuvent cacher des menaces invisibles.

Un faux Ledger Live infiltre l’App Store et dérobe 9,5 millions de dollars

Une fausse application Ledger Live, parvenue à se glisser sur l’App Store d’Apple, a permis de dérober près de 9,5 millions de dollars en cryptomonnaies en moins d’une semaine. Dans un message publié sur Telegram le mardi, l’enquêteur on-chain ZachXBT indique que l’escroquerie a fait plus d’une cinquantaine de victimes entre le 7 et le 13 avril.

L’opération a frappé de multiples réseaux de premier plan, notamment Bitcoin, Ethereum, Solana, Tron et le XRP Ledger. Le préjudice s’avère particulièrement lourd pour certaines victimes : trois d’entre elles cumulent plus de 7 millions de dollars de pertes. Le détective on-chain cite notamment le vol de 3,23 millions de dollars en USDT, d’environ 2 millions en USDC, ou encore la perte d’1,95 million de dollars d’actifs (BTC, ETH) mis en staking.

Apple a supprimé l’application frauduleuse le 13 avril après son identification. D’après les informations partagées par ZachXBT, les fonds volés auraient été redirigés vers plus de 150 adresses liées à la plateforme d’exchange KuCoin. Par conséquent, ces flux volés auraient transité par un service décrit comme un mixeur centralisé, rendant ainsi leur suivi plus complexe. De plus, cette situation s’inscrit dans un contexte de hausse des activités illicites récemment observées sur la plateforme, selon l’enquêteur on-chain.

Charles Guillemet alerte sur la sécurité et rappelle les risques liés aux environnements logiciels

Charles Guillemet, directeur technique de Ledger, rappelle des règles essentielles de sécurité dans un contexte marqué par la recrudescence des fraudes en cryptomonnaie. Dans une déclaration remise à Cointelegraph, il précise que l’entreprise ne demande jamais la phrase de récupération de 24 mots aux utilisateurs. Il insiste surtout sur un point clé :

Vous ne pouvez pas faire confiance à l’environnement logiciel qui vous entoure — ni à votre navigateur, ni à votre boutique d’applications, ni à votre ordinateur — car les attaquants opèrent partout où l’occasion se présente.

Charles Guillemet

Il souligne ainsi que même des outils qui semblent officiels ou sécurisés peuvent être compromis. Dans cette optique, les utilisateurs doivent adopter une posture de vigilance permanente, face à des menaces capables de s’infiltrer à tous les niveaux de l’écosystème numérique.

En somme, cette affaire montre une réalité persistante dans l’écosystème crypto : même les plateformes d’exchange les plus réputées ne sont pas à l’abri d’infiltrations malveillantes. Ce type d’incident rappelle que la sécurité dépend avant tout de la vigilance individuelle. Dans un environnement où les menaces évoluent rapidement, il est essentiel d’adopter des pratiques strictes, comme protéger sa phrase de récupération et vérifier systématiquement les sources, afin de limiter les risques de compromission.