Ein pensionierter Amerikaner namens Brandon Laroque aus North Carolina sagte, dass XRP im Wert von über 3 Millionen Dollar aus seiner Ellipal-Mobil-App verschwunden seien, nachdem er am 15. Oktober seinen Kontostand überprüft und nichts mehr vorgefunden hatte.
Der 54-jährige Brandon erklärte, dies seien die gesamten Ersparnisse von ihm und seiner 60-jährigen Frau gewesen, und sie hätten geplant, ein Haus in Las Vegas zu kaufen. Dieser Traum platzte über Nacht. Brandon sagte, er habe seine XRP Position seit 2017 aufgebaut und nach und nach Anteile verkauft, um seinen Lebensunterhalt zu bestreiten.
„Das war alles, was wir hatten“, sagte er. „Ich melde mich zu Wort, weil vielleicht jemand da draußen aus dem, was uns passiert ist, lernen kann.“ Er gab zu, dass er nicht damit rechnet, das Geld wiederzuerlangen, hofft aber, dass die Geschichte die Menschen daran erinnert, ihre Geldanlagen wirklich offline zu halten.
Übrig blieb ihr gesamtes Erspartes für den Ruhestand. Brandon erklärte in einem am Samstag veröffentlichten YouTube-Video, dass der Diebstahl vermutlich am Sonntag, dem 12. Oktober, stattfand. Gegen 11:15 Uhr Ostküstenzeit wurden zwei kleine Testtransaktionen über jeweils 10XRP getätigt, gefolgt von einer vollständigen Überweisung von etwa 1.209.990 XRP an eine neue Adresse.
Von dort wurden die Gelder aufgeteilt und innerhalb von Minuten auf Dutzende von Wallets verschoben, im Laufe der Stunden dann auf Hunderte weitere. Seine kleineren Bestände, etwa 1.000 US-Dollar in XLM und 900 US-Dollar in FLR, blieben unberührt.
Nachdem er bemerkt hatte, dass das Geld fehlte, erstattete er Anzeige beim Internet Crime Complaint Center des FBI und kontaktierte die örtliche Polizei. Er sagte jedoch, es sei schwierig gewesen, schnell spezialisierte Ermittler für Cyberkriminalität zu erreichen. „Ich weiß nicht genau, wie sie reingekommen sind“, sagte Brandon. „Ich weiß nur, dass eines Tages alles da war und am nächsten Tag weg.“
Ellipal macht Verwirrung zwischen kalten und warmen Geldbörsen verantwortlich
Ellipal veröffentlichte am 18. Oktober eine öffentliche Erklärung, in der behauptet wurde, dass eine interne Überprüfung ergeben habe, dass Brandon seine Seed-Phrase für seine Hardware-Wallet in die Ellipal-Mobil-App eingegeben und so aus einer eigentlich als Cold Storage vorgesehenen Wallet eine Hot Wallet gemacht habe.
In einer E-Mail an ihn erklärte das Unternehmen, dass beim Importieren einer Seed-Phrase auf ein Telefon oder Tablet das Gerät die privaten Schlüssel speichert, es mit dem Internet verbindet und damit die Sicherheitsebene zerstört, die eine Cold Wallet sicher macht.
Brandon gab an, die Ellipal-App sowohl auf einem iPhone als auch auf einem iPad installiert zu haben. Die iPhone-App hatte einen blauen Hintergrund, was laut Ellipal auf eine Cold Wallet hindeutete. Die iPad-Version hingegen zeigte einen orangen Hintergrund, was bedeutete, dass es sich um eine Hot Wallet handelte.
Ellipal erklärte, der Farbunterschied sei relevant, und betonte, dass ihre Hardware-Geräte vom Netzwerk getrennt seien, also niemals eine Verbindung zu WLAN, Bluetooth oder USB herstellen. Das Unternehmen gab an, dass es noch nie Diebstähle aus ihren physischen Geldbörsen gegeben habe und beharrte darauf, dass derdent auf einen Bedienungsfehler zurückzuführen sei. Dennoch räumte das Unternehmen ein, dass es den genauen Hergang des Diebstahls nicht beweisen könne.
Brandon erklärte, er habe lediglich die Benutzeroberfläche der App befolgt. „Wenn Blau für kalt und Orange für heiß steht, warum wurde das nicht deutlicher erklärt?“, fragte er in einem seiner YouTube-Videos. Ellipal hat weder bestätigt, ob die Farbindikatoren versagten, noch ob sie falsch interpretiert wurden, betonte aber, dass die Eingabe einer Seed-Phrase in eine App jeglichen Schutz sofort aufhebt.
ZachXBT tracgestohlene XRP über Tron und OTC-Broker
Am Sonntag veröffentlichte der On-Chain-Detektiv ZachXBT einen ausführlichen Thread auf X (ehemals Twitter), in dem er schilderte, wie er die gestohlene Adressedent, indem er die Transaktionszeiten und -werte aus Brandons Videos abglich.
In seinem Beitrag erklärte Zach, der Angreifer habe Bridgers, den Swap-Dienst, der früher SWFT hieß, genutzt, um am 12. Oktober mehr als 120 Ripple-zu-Tron -Transaktionen durchzuführen. Einige Block-Explorer bezeichneten die Transaktionen als „Binance“, da Bridgers seine Liquidität über die Börse leitet.
Laut Zachs X-Thread wurden die gestohlenen XRPTronTron TronTronTronTron TronTron Netzwerk in einer Wallet mit der Bezeichnung TGF3hP5GeUPKaRJeWKpvF2PVVCMrfe2bYw konsolidiert, bevor sie an mehrere außerbörsliche Broker gesendet wurden, die mit Huione, einem südostasiatischen Marktplatz, der in US-amerikanischen Strafverfolgungsmaßnahmen wegen der Abwicklung illegaler Transfers ins Visier genommen wurde, in Verbindung stehen.
Drei Tage später waren die Gelder Berichten zufolge auf unzählige Adressen verstreut, was eine Rückgewinnung praktisch unmöglich machte.
ZachXBT warnte davor, sich von sogenannten „Krypto-Wiederherstellungsdiensten“ fernzuhalten, da diese Betrug seien und hohe Gebühren für fingierte Ermittlungen verlangten. Er erklärte, nur die schnelle Meldung an seriöse Ermittler und konforme Kryptobörsen könne manchmal dazu beitragen, gestohlene Gelder aufzuspüren oder einzufrieren.
„Sobald es die Handelsketten überbrückt und die OTC-Handelsplätze erreicht hat, gibt es fast kein Zurück mehr“, sagte Zach.
