Apple’ın App Store’unda yer alan sahte Ledger Live vakası, milyonlarca kripto paranın çalınmasına yol açtı ve on yıllık birikimler birkaç dakika içinde buharlaştı.
Summary
Sahte uygulama dolandırıcılığı ve bir ömürlük birikimlerin sıfırlanması
Apple’ın App Store’u üzerinden dağıtılan, donanım cüzdan yönetim uygulaması Ledger‘ın sahte bir versiyonu, en az 9,5 milyon dolar değerinde kripto para hırsızlığına bağlandı. Kurbanlar, “bir anda” silinen emeklilik fonları da dahil olmak üzere yıkıcı kayıplar yaşadıklarını belirtiyor.
X kullanıcısı @glove, on yıl boyunca biriktirdiği 5,9 BTC‘yi kaybettiğini açıkladı. Yeni bir bilgisayar kurarken, resmi Ledger uygulaması olduğunu düşündüğü bir uygulamayı indirmişti, hiçbir şeyden şüphelenmeden.
“Emeklilik fonumu bir hack/dolandırıcılıkta kaybettim… Tüm BTC’lerim bir anda yok oldu,” diye yazdı. Daha sonra, on-chain araştırmacısı ZachXBT, çalınan 5,92 BTC‘yi izleyerek, bunların bir dizi işlemle KuCoin üzerindeki depozit adreslerine hızla aktarıldığını gösterdi.
Sahte Ledger Live: 50’den fazla kurban ve birden fazla blockchain’e saldırılar
@glove kullanıcısı tek mağdur değildi. 7 Nisan ile 13 Nisan arasında aktif olan phishing kampanyası, 50’den fazla şüpheli kurbanı hedef aldı. Saldırganlar Bitcoin, Ethereum uyumlu ağlar, Tron, Solana ve XRP‘yi hedef aldı.
En ciddi üç vaka, yedi haneli miktarları içeriyordu. 9 Nisan‘da 3,23 milyon USDT çalındı. 11 Nisan‘da 2,08 milyon USDC hedef alındı, 8 Nisan‘da ise 1,95 milyon BTC, ETH ve stETH çekildi.
Kullanıcılar, kötü niyetli uygulama içinde kurtarma ifadelerini girmeye yönlendirildi. Bu şekilde, saldırganlara cüzdanlarına tam erişim sağladılar ve tüm fonların anında transfer edilmesine olanak tanıdılar.
Fonların aklanması: KuCoin ve AudiA6 hizmeti
Çalınan fonlar, 150’den fazla KuCoin depozit adresi üzerinden yönlendirildi. On-chain analizler, bunları, yüksek komisyonlarıyla bilinen merkezi bir kripto para karıştırma hizmeti olan AudiA6‘ya bağladı ve yasadışı sermayenin kökenlerini gizlemek için kullanıldı.
Bir merkezi borsa olan KuCoin’in bir aklama merkezi olarak kullanılması, özellikle KuCoin‘in son düzenleyici zorlukları ışığında oldukça önemlidir. Şubat 2026‘da, Avusturya yetkilileri platformun Avrupa Birliği’nde yeni kullanıcı kaydetmesini yasakladı.
Bu, MiCA lisansının alınmasından birkaç ay sonra, artan bir denetim çerçevesini doğrulayan bir gelişmeydi. Ayrıca, 2025 yılında borsa, kara para aklama karşıtı düzenlemelerin ihlalleriyle ilgili davaları kapatmak için ABD yetkililerine 300 milyon dolardan fazla ödeme yaptı.
App Store suçlamalar altında ve olası yasal sonuçlar
Apple, Ledger Live’ın sahte uygulamasını App Store’dan kaldırdı, ancak yazılımın inceleme sürecini nasıl geçtiği konusunda sorular açık kalıyor. Ayrıca, ne kadar süreyle indirilebilir olduğu da henüz net değil.
Kayıpların büyüklüğü ve uygulamanın Apple’ın resmi pazar yeri üzerinden dağıtılmış olması, grubu yasal risklere maruz bırakabilir. Bazı gözlemciler, davanın mağdurlar tarafından bir toplu davaya dönüşebileceğini öne sürüyor.
Kripto yatırımcıları için büyüyen tehdit
Bu olay, yıllardır kripto para ekosistemini etkileyen yapısal bir risk bağlamına oturuyor. 2025 yılında, dijital yatırımcılar hack ve dolandırıcılıklar nedeniyle yaklaşık 17 milyar dolar kaybetti, sosyal mühendislik ve phishing kampanyaları en yaygın saldırı vektörleri arasında yer aldı.
Bununla birlikte, vaka bir kez daha daha az deneyimli kullanıcıların yanı sıra yüksek varlık sahibi olanların da resmi mağazaların tam güvenlik sağladığını varsayarak savunmasız olduklarını gösteriyor. Gerçekte, sahte uygulamalar bazen kontrolleri atlatabilir.
Tuzağa düşenler için zarar zaten geri döndürülemez. “Bunun için on yıl çalıştım,” diye yazdı mağdurlardan biri. “Dışarıda dikkatli olun.” Genel olarak, vaka, cüzdanlarla ilgili uygulamaların her zaman doğruluğunun kontrol edilmesi gerektiğine dair bir uyarı niteliğindedir.
