Puntos clave de la noticia:
- Una falsa app de Ledger Live para iOS habría robado más de $9.5 millones a más de 50 víctimas entre el 7 y el 13 de abril.
- Las tres mayores pérdidas reportadas fueron de $3.23 millones en USDT, $2.079 millones en USDC y $1.95 millones en una mezcla de criptoactivos.
- ZachXBT vinculó el lavado a más de 150 direcciones de depósito de KuCoin y señaló que Apple retiró la app cuando la aplicación fraudulenta ya llevaba varios días publicada en la App Store.
Una aplicación falsa de Ledger Live en la App Store de Apple habría robado más de $9.5 millones a más de 50 víctimas en solo una semana, según el investigador onchain ZachXBT, convirtiendo lo que debería haber sido un canal de distribución confiable en el centro de una operación de robo cripto de rápida escala. Las pérdidas reportadas se extendieron entre Bitcoin, cadenas EVM, Tron, Solana y Ripple entre el 7 y el 13 de abril. Lo más inquietante del caso es que el ataque parece haberse expandido a través de un marketplace oficial de aplicaciones y no desde una página de phishing oscura y marginal.
Las pérdidas denunciadas no fueron robos pequeños y dispersos. Una víctima habría perdido $3.23 millones en USDT el 9 de abril. Otra habría perdido $2.079 millones en USDC el 11 de abril. Una tercera habría perdido $1.95 millones el 8 de abril, incluyendo 20.64 BTC, 211 stETH y 70 ETH. El músico G. Love también fue identificado entre las víctimas, con casi 6 BTC presuntamente robados. Apple retiró la aplicación un día antes de que ZachXBT publicara sus hallazgos. La imagen que queda es la de una app fraudulenta que permaneció activa el tiempo suficiente como para causar daños concentrados de siete cifras antes de desaparecer.
Por qué la supuesta ruta de lavado está atrayendo tanta atención como el propio robo
ZachXBT afirmó que los fondos robados fueron lavados a través de más de 150 direcciones de depósito de KuCoin y vinculó el flujo con AudiA6, al que describió como un servicio de mezcla centralizado utilizado para procesar dinero ilícito. También aseguró que otro actor había lavado más de $3.5 millones procedentes del incidente de Bitcoin Depot a través de más de 25 direcciones de depósito de KuCoin en los días previos al robo relacionado con Ledger. Esa acusación desplaza la historia desde una simple estafa con una app falsa hacia un debate mucho más amplio sobre controles en exchanges, cumplimiento KYC y la facilidad con la que los fondos robados siguen moviéndose por plataformas centralizadas.
Las consecuencias ya van más allá de las propias víctimas. ZachXBT sostuvo que el episodio podría abrir la puerta a una demanda colectiva contra Apple por la presencia de la aplicación en la App Store. La respuesta pública de KuCoin no abordó el fondo de las acusaciones y, en cambio, pidió un UID y un número de ticket, algo que ZachXBT ridiculizó con una imagen destinada a cuestionar los estándares de verificación del exchange. El CTO de Ledger, Charles Guillemet, respondió con la advertencia más básica de todas: Ledger jamás pedirá una frase semilla de 24 palabras. Al final, esta estafa funciona como un recordatorio brutal de que incluso las plataformas oficiales de distribución pueden convertirse en superficies de ataque cuando los usuarios confunden visibilidad con seguridad.
