Le 19 octobre 2025 vers 17 h 57 UTC, l'investisseur XRP Brandon LaRoque a signalé le transfert non autorisé de plus de 1,2 million de XRP, évalué à environ 3 millions de dollars, depuis son portefeuille matériel Ellipal après avoir importé sa phrase de récupération dans l'application mobile Ellipal. Cette action, qui a contourné la sécurité isolée du dispositif (air-gapped), a en pratique transformé le portefeuille en un portefeuille chaud connecté à Internet. L'investisseur a découvert la perte en accédant à l'application Ellipal le 15 octobre et a déterminé que le vol a eu lieu le 12 octobre, sur la base des horodatages sur la blockchain et des enregistrements de transactions.
Selon le récit de LaRoque, deux petits transferts de test de 10 XRP chacun ont été effectués vers 11 h 15 ET le 12 octobre, suivis d'un transfert en bloc de 1 209 990 XRP. L'attaquant a ensuite réparti les fonds volés sur des dizaines d'adresses intermédiaires avant de les regrouper sur le réseau Tron. De là , les fonds ont été acheminés vers des plateformes de négociation de gré à gré adjacentes à Huione, une place de marché basée en Asie du Sud-Est citée dans les récentes actions d'application de la loi par les autorités américaines. Le spécialiste de la blockchain ZackXBT a identifié ces mouvements en corrélant les montants et les horodatages des transactions avec les vlogs publiés par l'investisseur et le communiqué public d'Ellipal publié le 18 octobre.
Ellipal a réagi à l'incident le 18 octobre, expliquant que l'importation d'une phrase de récupération du portefeuille matériel dans l'application mobile stocke les clés privées sur l'appareil, annulant ainsi la protection du système air-gapped. L'entreprise a affirmé que ses unités matérielles restent sécurisées mais a averti que les actions des utilisateurs peuvent compromettre la sécurité globale. LaRoque, retraité de 54 ans originaire de Caroline du Nord, a déclaré que la perte représentait l'épargne-retraite de son épouse et la mienne, effaçant des projets d'achat d'une maison. Il a signalé l'incident au Centre des plaintes sur la criminalité sur Internet du FBI et aux forces de l'ordre locales, bien que les unités spécialisées de cybercriminalité n'aient pas encore été mobilisées.
ZackXBT a mis en garde contre le recours à des sociétés de récupération, notant que nombre d'entre elles opèrent selon des modèles prédateurs avec des frais élevés et de faibles taux de réussite. Il a conseillé de signaler rapidement les faits aux échanges et aux autorités pour augmenter les chances de gel des jetons, tout en reconnaissant la faible probabilité de récupération complète une fois que les fonds franchissent les chaînes et entrent sur les marchés OTC. Cette affaire souligne l'importance cruciale de maintenir des phrases de récupération distinctes pour les portefeuilles froid et chaud, d'utiliser des mots de passe supplémentaires pour les avoirs de grande valeur, et d'éviter d'importer des phrases de récupération dans des environnements en ligne.
Commentaires (0)