XRP-investeerder meldt dat $3 miljoen aan XRP is gestolen; fabrikant van cold wallet verklaart dat seed-import de wallet hot maakte

Een Amerikaanse gepensioneerde zegt meer dan $3 miljoen aan XRP verdween nadat hij op 15 oktober de mobiele app van Ellipal controleerde en zijn saldo verdwenen zag, een ontdekking die een on-chain tracering inspanning op gang bracht door de pseudonieme analist ZackXBT.

CoinDesk heeft de identiteit van de investeerder, saldi of het volledige on-chain traject niet onafhankelijk geverifieerd. De account is afkomstig van verschillende YouTube-video’s die sinds 15 oktober zijn geplaatst, alsook van Ellipal’s openbare verklaring op 18 oktober, en ZackXBT’s 19 oktober X-thread.

Wat het slachtoffer zegt dat er is gebeurd

De belegger, die zichzelf Brandon noemde, gaf aan dat hij in North Carolina woont, 54 jaar oud is, en dat zijn vrouw, 60, ook met pensioen is. Hij zei dat de XRP-positie bijna hun volledige pensioenbesparing uitmaakte en dat ze van plan waren een huis te kopen in Las Vegas.

Hij zei dat hij sinds 2017 XRP aan het verzamelen was en voorheen meer bezat, maar een deel had verkocht voor levensonderhoud. In zijn YouTube-video's verklaarde hij dat hij de diefstal ontdekte door de Ellipal-app te controleren op woensdag 15 oktober, en vervolgens vaststelde dat het leegmaken plaatsvond op de voorafgaande zondag 12 oktober.

Hij beschreef twee testopnames van 10 XRP rond 11:15 uur Eastern time, gevolgd door een veegactie van ongeveer 1.209.990 XRP naar een nieuw aangemaakt adres, waarna er een snelle verspreiding plaatsvond over tientallen wallets en uiteindelijk honderden. Hij zei dat kleinere saldo's van andere activa, waaronder ongeveer $1.000 in XLM en zo'n $900 in FLR, achterbleven.

Hij zei dat hij een klacht heeft ingediend bij het Internet Crime Complaint Center van de FBI en contact heeft opgenomen met de lokale autoriteiten, maar moeite had om snel gespecialiseerde cyberunits te bereiken. Hij gaf aan niet precies te weten hoe de fondsen uit de hot wallet zijn verdwenen.

Ellipal’s verklaring en de verwarring tussen cold en hot

Ellipal verklaarde op 18 oktober dat uit haar beoordeling bleek dat de gebruiker de seed phrase van de hardware wallet had geïmporteerd in de Ellipal mobiele app, wat zou resulteren in het opnieuw aanmaken van de wallet op een met het internet verbonden apparaat.

In een e-mail aan de gebruiker legde Ellipal uit dat wanneer de seed van een cold wallet wordt gebruikt op een telefoon of tablet, de seed en de daaruit voortvloeiende private keys op dat apparaat worden opgeslagen, waardoor het effectief een hot wallet wordt en de veiligheid aanzienlijk wordt verminderd.

Brandon zei dat hij de Ellipal-app zowel op een iPhone als op een iPad had. Hij vermeldde dat de iPhone-app een blauwe achtergrond liet zien, wat volgens Ellipal een cold-wallet verbinding aanduidt, en dat de iPad-app een oranje achtergrond toonde, wat volgens Ellipal wijst op een hot wallet.

Ellipal benadrukte dat zijn hardwareapparaten air-gapped zijn en gaf aan dat het geen diefstallen heeft gezien die afkomstig zijn van de hardware zelf. De verklaring van het bedrijf wijst op gebruikersfouten, hoewel dit op zichzelf niet aantoont hoe de compromittering heeft plaatsgevonden.

Waar de fondsen naartoe zouden zijn gegaan, volgens het onderzoek van ZackXBT

In een draad van 19 oktober verklaarde ZackXBT dat hij het diefstaladres had geïdentificeerd door de timing en bedragen in de video te vergelijken. Hij rapporteerde dat de aanvaller op 12 oktober meer dan 120 Ripple-naar-Tron orders had aangemaakt via Bridgers, een swapservice die voorheen bekend stond als SWFT. Hij merkte op dat sommige blockchain explorers die stappen als “Binance” labelen omdat Bridgers de exchange gebruikt voor liquiditeit.

Hij zei dat de fondsen werden geconsolideerd op Tron bij TGF3hP5GeUPKaRJeWKpvF2PVVCMrfe2bYw en tegen 15 oktober werden verspreid naar OTC-makelaars naast Huione, een online marktplaats in Zuidoost-Azië die recentelijk is genoemd in publieke acties door Amerikaanse autoriteiten. CoinDesk heeft de volledige tracing niet onafhankelijk gereproduceerd noch de uiteindelijke ontvangers bevestigd.

Herstelkansen en gebruikersinzichten

ZackXBT waarschuwde dat de meeste “herstel” bedrijven roofzuchtig zijn, vaak oppervlakkige rapporten produceren terwijl ze hoge kosten in rekening brengen. Hij zei dat snelle rapportage aan geloofwaardige onderzoekers en conforme platforms de kans op signaleringen of bevriezingen kan vergroten, maar dat herstel zeldzaam is zodra fondsen via cross-chain swaps en OTC-venues worden verplaatst.

Voor gebruikers is de kernles eenvoudig: als het doel cold storage is, typ dan nooit de seed van een hardware wallet in een mobiele of desktopapplicatie. Gebruik een aparte seed voor elke hot wallet en overweeg een BIP39-wachtwoordzin voor cold storage met hoge waarde.

Brandon zei dat het verlies wat hij als het pensioenplan van het paar beschouwde, volledig heeft weggevaagd. Hij gaf aan zijn ervaring te delen om anderen te waarschuwen en om advies te zoeken, terwijl hij erkende dat de kansen op herstel klein zijn.