Der Mechanismus funktioniert wie folgt: Die betrügerische Anwendung war im Mac App Store von Apple unter einem Entwicklerkonto gelistet, das nicht mit Ledger verbunden war.
Dennoch präsentierte sie sich optisch und funktional als der legitime Ledger Live Desktop-Client – die Begleitsoftware, die Nutzer von Ledger-Hardware-Wallets installieren, um ihre Geräte und Bestände zu verwalten.
Als Dutton die Anwendung herunterlud und während einer Gerätemigration auf einen neuen Apple-Computer startete, forderte ihn die App sofort auf, seine 24-Wörter-Wiederherstellungsphrase einzugeben.
Eine im Mac App Store von Apple gelistete gefälschte Ledger Live-App hat dem Musiker Garrett Dutton, bekannt als G. Love, 5,92 BTC im Wert von etwa 420.000 USD entzogen. Das Opfer hatte seine 24-Wörter-Seed-Phrase in die betrügerische Anwendung eingegeben, während er seine Hardware-Wallet auf einem neuen Apple-Computer einrichtete.
Dutton machte den Diebstahl am 11. April 2026 über X öffentlich und bezeichnete den Verlust als seine gesamte Bitcoin-Altersvorsorge, die er binnen rund eines Jahrzehnts angesammelt hatte. Der On-Chain-Ermittler ZachXBT bestätigte daraufhin den Pfad der Geldwäsche und verfolgte die gestohlenen Gelder über neun Transaktionen zu Einzahlungsadressen bei KuCoin.
Wir vermuten, dass dieser Vorfall weniger die Unglücks-Geschichte eines einzelnen Nutzers ist, sondern vielmehr ein strukturelles Signal für das anhaltende Versagen großer App-Distributionsplattformen, betrügerische Kryptowährungs-Wallet-Anwendungen zu filtern, bevor sie die Endnutzer erreichen.
I had a really tough day today I lost my retirement fund in a hack/Scam when I switched my @Ledger over to my new computer and by accident downloaded a malicious ledger app from the @Apple store. All my BTC gone in an instant.
Gefälschte Ledger-App im App Store, Diebstahl der Seed-Phrase und die On-Chain-Spur zu KuCoin
Der Mechanismus funktioniert wie folgt: Die betrügerische Anwendung war im Mac App Store von Apple unter einem Entwicklerkonto gelistet, das nicht mit Ledger verbunden war. Dennoch präsentierte sie sich optisch und funktional als der legitime Ledger Live Desktop-Client – die Begleitsoftware, die Nutzer von Ledger-Hardware-Wallets installieren, um ihre Geräte und Bestände zu verwalten.
Als Dutton die Anwendung herunterlud und während einer Gerätemigration auf einen neuen Apple-Computer startete, forderte ihn die App sofort auf, seine 24-Wörter-Wiederherstellungsphrase einzugeben. Dies ist eine Aufforderung, die die echte Ledger Live-Software während einer normalen Desktop-Einrichtung nicht stellt, da die Eingabe der Seed-Phrase ausschließlich auf dem physischen Hardware-Gerät erfolgt.
Dutton kam der Aufforderung nach und gab die Phrase in die gefälschte Anwendung ein, welche die Zugangsdaten an die Angreifer übermittelte. Der Mechanismus, mit dem die BTC anschließend abgezogen wurden, erforderte keine weitere Interaktion des Opfers: Der Besitz der Seed-Phrase gewährt die vollständige, unwiderrufliche Kontrolle über alle damit verbundenen Wallet-Gelder, unabhängig vom Hardware-Gerät selbst.
Hi I traced out your 5.92 BTC stolen and it was all laundered via @kucoincom deposit addresses in the following transactions:
Die Untersuchung von ZachXBT identifizierte neun ausgehende Transaktionen, die die 5,92 BTC auf Einzahlungsadressen bei KuCoin verteilten. Dieses Geldwäschemuster deckt sich mit früheren Kampagnen gefälschter Wallets, bei denen Börsen mit weniger strengen Einzahlungskontrollen genutzt werden, um gestohlene Bestände schnell umzuwandeln.
Zum Zeitpunkt des Diebstahls belief sich der ungefähre Dollarwert auf 420.000 USD, basierend auf einem BTC-Preis von nahezu 70.955 USD. KuCoin hatte bis zum Zeitpunkt der Veröffentlichung keine öffentliche Stellungnahme zu den rückverfolgten Einzahlungen abgegeben. Dutton stellte öffentlich klar, dass der Angriff auf Social Engineering durch eine täuschende Anwendung zurückzuführen war und nicht auf einen Fehler im Ledger-Hardware-Gerät selbst – eine Unterscheidung, die für die Risikoeinschätzung der Nutzer von Bedeutung ist.
Versagen der App-Store-Prüfung und die wiederkehrende Angriffsfläche durch Scam-Wallets
Dies ist nicht das erste Mal, dass eine gefälschte Ledger-Anwendung einen angeblich überwachten Prüfprozess eines App Stores durchlaufen hat. 2023 ermöglichte eine gefälschte Ledger Live-App im Microsoft App Store Angreifern den Diebstahl von fast 600.000 USD in Bitcoin von mehreren Opfern, bevor der Eintrag entfernt wurde.
Anfang 2025 dokumentierte das Cybersicherheitsunternehmen Moonlock eine macOS-spezifische Malware, die heimlich legitime Ledger Live-Installationen auf den Rechnern der Nutzer ersetzte und über eine gefälschte Benutzeroberfläche zur Eingabe der Seed-Phrase aufforderte. Das wiederkehrende Muster – gefälschte App, Bereitstellung über App Stores oder das Dateisystem, Erfassung der Seed-Phrase, sofortiger Abzug der Gelder – besteht über Plattformen und Jahre hinweg fort, ohne dass eine strukturelle Lösung gefunden wurde.
Ledger vertritt seit langem die öffentliche Position, dass seine Software ausschließlich über ledger.com vertrieben wird und dass keine legitime Ledger-Anwendung jemals eine Wiederherstellungsphrase über eine Desktop- oder mobile Schnittstelle abfragen wird.
it seems Apple does not want people documenting the fact they allow fake apps on the App Store. pic.twitter.com/1mnkSsZ9R7
Trotzdem erscheinen weiterhin betrügerische Apps in den Suchergebnissen des App Stores unter Entwicklerkonten, die nicht zu Ledger gehören, und missbrauchen das Vertrauen, das Nutzer der Prüfinfrastruktur von Apple entgegenbringen. Wir vermuten, dass der App-Prüfprozess von Apple – der primär auf funktionale Sicherheit und Richtlinienkonformität ausgelegt ist – strukturell nicht darauf vorbereitet ist, semantische Identitätstäuschungen von Hardware-Wallet-Schnittstellen zu erkennen, bei denen der Betrug nicht in der Ausführung eines bösartigen Codes liegt, sondern in einer gefälschten Benutzeroberfläche, die sensible Zugangsdaten abfragt.
Der breitere Kontext für Inhaber von Self-Custody-Wallets ist, dass hochentwickelte Diebstahlsoperationen gegen Krypto-Besitzer zunehmend Social Engineering mit einer Distributionsinfrastruktur kombinieren, die eine implizite Legitimität ausstrahlt – etwa ein App-Store-Eintrag, eine realistische Benutzeroberfläche oder ein plausibler Einrichtungsprozess. Die Angriffsfläche verkleinert sich nicht.
Raphael Adrian ist ein Krypto-Journalist und Analyst, der bei Coinspeaker über Krypto-News, PR-Inhalte und Marktanalysen schreibt. Hier gilt er als Lead-Autor und Experte für Kryptowährungs-Prognosen. Mit seinem journalistischen Hintergrund und seiner Spezialisierung auf Finanzen, Business und digitale Assets berichtet er seit Jahren über Blockchain-Trends, neue Projekte und Entwicklungen am Kryptomarkt.
Seine Kenntnisse in fundamentaler und technischer Analyse ermöglichen es ihm, Marktbewegungen fundiert zu bewerten, Potenziale von Projekten einzuordnen und datenbasierte Krypto-Prognosen zu erstellen. In seiner Arbeit legt er besonderen Wert auf verständliche, recherchierte Inhalte, die Leser bei fundierten Entscheidungen im Kryptomarkt unterstützen.
Wir verwenden Cookies, um Ihnen die bestmögliche Nutzung unserer Website zu ermöglichen. Wenn Sie diese Website weiter nutzen, gehen wir davon aus, dass Sie damit zufrieden sind.Ok
