Le musicien Garrett Dutton, connu sous le nom de G. Love, a perdu près de 6 Bitcoin (BTC) — d’une valeur de plus de 424 000 $ — après avoir saisi sa phrase de récupération dans une fausse application Ledger téléchargée depuis le Mac App Store d’Apple.
Le vol de Bitcoin de G. Love
Dutton a [expliqué](Garrett Dutton) dans un message publié le 11 avril sur X que l’incident s’est produit alors qu’il migrait sa configuration Ledger vers un nouvel ordinateur Apple. Il a recherché Ledger Live dans l’App Store, a trouvé une application qui paraissait authentique et a suivi ses instructions. L’application lui a ensuite demandé sa phrase de récupération de 24 mots.
Une fois qu’il l’a saisie, les attaquants ont vidé son portefeuille. Dutton a indiqué que les fonds volés représentaient une décennie d’économies. « J’ai perdu 5,9 BTC, tout ce que j’avais, j’ai travaillé dix ans pour ça », a-t‑il écrit.
L’enquêteur on-chain ZachXBT a retracé les 5,92 BTC via des adresses identifiées comme des portefeuilles de dépôt KuCoin.
Interrogé sur la possibilité de récupérer les fonds, ZachXBT a indiqué qu’il ne s’attendait pas à une intervention de KuCoin.
Il a accusé la plateforme de n’appliquer la conformité que lorsque cela l’arrange, en soulignant la perte de sa licence européenne MiCA en février 2026 — seulement trois mois après l’avoir obtenue auprès du régulateur financier autrichien.
ZachXBT a ajouté que des services illicites continuaient d’exploiter des comptes de courtiers et des comptes personnels sur la plateforme. Le grand nombre d’adresses de dépôt, selon lui, suggère que les voleurs ont pu faire transiter les fonds via un échange instantané.
À lire aussi : XRP Trading Volume Hits 2025 Low On Binance As Buyers Vanish
Arnaques crypto en 2026
Beau, responsable de la sécurité chez Pudgy Penguins, a averti que les utilisateurs ne doivent jamais saisir la phrase de récupération d’un portefeuille matériel sur un appareil connecté à Internet. Il a indiqué que les escrocs diffusent de fausses applications de portefeuilles via des e‑mails, des publicités trompeuses et même par courrier physique.
L’incident s’inscrit dans une tendance plus large. Les escroqueries par hameçonnage et usurpation d’identité ont bondi d’environ 1 400 % d’une année sur l’autre sur la période 2025–2026, et le vol de portefeuilles personnels a représenté environ 713 millions de dollars de pertes sur 158 000 incidents en 2025. En avril 2026, les forces de l’ordre américaines, britanniques et canadiennes ont démantelé une opération mondiale de fraude crypto de 45 millions de dollars visant des victimes via de fausses notifications semblant provenir d’applications légitimes.
Les fausses applications de portefeuille sont devenues l’un des vecteurs les plus courants. Les escrocs sont parvenus à faire répertorier sur l’Apple App Store et Google Play de fausses applications de portefeuilles qui paraissent professionnelles, fonctionnent sans planter et affichent de faux avis.
Dans un commentaire exclusif à Yellow Media, le directeur technique de Ledger, Charles Guillemet, a déclaré : « Ledger ne vous demandera jamais vos 24 mots. Si quelqu’un, ou une application, vous demande vos 24 mots, partez du principe que quelque chose ne va pas. » Il a insisté sur le fait que les utilisateurs ne peuvent pas faire confiance à l’environnement logiciel qui les entoure — qu’il s’agisse des navigateurs, des boutiques d’applications ou des ordinateurs de bureau — car les attaquants opèrent partout où une opportunité se présente, y compris sur les plateformes de distribution officielles.
« La seule protection qui tienne, c’est de conserver vos clés privées sur un appareil matériel dédié avec un écran sécurisé, comme un signer Ledger, et de ne jamais saisir votre phrase de récupération dans une application ou sur un site web », a ajouté Guillemet. « Vos 24 mots, c’est votre portefeuille. »
À lire ensuite : Bitcoin Is Now The World's Most Honest War Correspondent And It Just Filed A Grim Report