Apple’ın App Store’u üzerinden yayılan sahte bir Ledger Live uygulaması, en az 9,5 milyon dolarlık kripto varlığın çalınmasına neden oldu. Son günlerde bu uygulamayı indirip cüzdanlarını kaybeden çok sayıda mağdur sosyal medyada başlarından geçenleri anlatmaya başladı. Aralarında tüm emeklilik birikimini bir anda kaybedenler de bulunuyor.
Sahte uygulama mağdurları büyük kayıp yaşadı
Hack saldırısının mağdurlarından biri olduğu belirtilen ve X platformunda @glove takma adını kullanan kişi, on yıl boyunca biriktirdiği toplam 5,9 Bitcoin’in sahte uygulama yüzünden elinden gittiğini açıkladı. Yeni bir bilgisayar kurarken resmi Ledger uygulaması sandığı yazılımı indirdiğini anlatan kullanıcı ciddi maddi kayıplar yaşadığını dile getirdi.
“Tüm emeklilik fonumu bir anda kaybettim, bütün Bitcoin’lerim gitti.”
Blockchain araştırmacısı ZachXBT, @glove’ın toplamda 5,92 Bitcoin’inin blokzincir üzerinde izini sürdü. Saniyeler içinde bir dizi transfer yolu izleyen dijital varlıkların, KuCoin borsasına aktarıldığı ortaya çıktı. Bu yöntem, saldırılar sırasında sıkça kullanılan kripto temizlik zincirlerine benzer bir yapıya sahip.
Etkinliği 7-13 Nisan tarihleri arasında tespit edilen oltalama saldırısı, yalnızca belirli bir grup değil, Bitcoin, Ethereum tabanlı ağlar, Tron, Solana ve #XRP ağında faaliyet gösteren 50’den fazla mağduru etkiledi. Şimdiye kadarki en büyük üç mağdurun 7 haneli kayıplar yaşadığı ortaya çıktı: 9 Nisan’da 3,23 milyon dolar USDT, 11 Nisan’da 2,08 milyon dolar USDC ve 8 Nisan’da 1,95 milyon dolar değerinde BTC, ETH ve stETH çalındı.
Fonlar iz bırakmadan taşındı
Mağdurların ihbarlarına göre, uygulamanın sahte olduğu anlaşılmadan önce çoğu kişi cüzdanlarını kurtarma cümlelerini bu yazılıma giriyor ve böylece saldırganlara tam erişim sağlıyordu. Çalınan dijital varlıklar, 150’den fazla farklı KuCoin cüzdanına yönlendirildi.
Bazı transferlerin, yüksek komisyonlarla çalışan ve yasa dışı para hareketlerini gizlemekte kullanılan AudiA6 adlı merkezi bir kripto karıştırıcı üzerinden gerçekleştiği belirtildi. Özellikle KuCoin borsasının yasal sorunlar yaşadığı bir dönemde, borsanın bu tür işlemlerde önemli bir merkez olması dikkat çekici bulundu.
2026 yılının şubat ayında Avusturya’daki düzenleyici kurumlar, KuCoin’in yeni Avrupa Birliği kullanıcılarını kabul etmesini yasaklamıştı. Bu gelişme, borsanın kısa bir süre önce MiCA lisansı almasının hemen ardından yaşanmıştı. Ayrıca KuCoin, 2025’te Amerika Birleşik Devletleri’ndeki kara para aklamayı önlemeye yönelik ciddi bir soruşturmayı sonuçlandırmak için 300 milyon dolardan fazla bir ceza ödemişti.
App Store’a güven sarsıldı
Olayın ardından Apple, sahte Ledger Live uygulamasını App Store’dan kaldırdı. Ancak uygulamanın nasıl onaylandığı ve kaç gün boyunca mağazada kaldığına dair sorular hâlâ yanıt bulmuş değil. Uzmanlar, böyle bir uygulamanın resmi mağaza üzerinden yayılması nedeniyle Apple’ın da önemli bir hukuki riskle karşı karşıya kalabileceğini dile getiriyor.
ZachXBT, olayın toplu dava yoluna gidebileceğini, mağduriyetin büyüklüğü nedeniyle Apple’ın tazminat baskısıyla da karşılaşabileceğini belirtti.
Son yıllarda kripto piyasasında benzer saldırılar sürekli gündeme geliyor. Sadece 2025 yılı boyunca yatırımcıların hack ve dolandırıcılık nedeniyle toplam 17 milyar dolar kaybettiği biliniyor. Dolandırıcılar ise özellikle sosyal mühendislik ve oltalama (phishing) yöntemleriyle kullanıcıların cüzdan erişimlerini ele geçirmeyi sürdürüyor.
Mağdurlardan biri, paylaşımında “Bu on yılın emeğiydi. Herkes çok dikkatli olsun,” diyerek sektörün karşı karşıya olduğu tehlikeye vurgu yaptı.
