XRP-investorer rapporterar stöld på 3 miljoner dollar från Ellipal kallplånböcker

Den 19 oktober 2025 kl. cirka 17:57 UTC rapporterade XRP-investeraren Brandon LaRoque om den otillåtna överföringen av över 1,2 miljoner XRP, värderade till cirka 3 miljoner dollar, från hans Ellipal-hårdvaruplånbok efter att ha importerat sin återställningsfras till Ellipal-mobilappen. Denna åtgärd, som kringgick enhetens luftgap-skydd, gjorde i praktiken plånboken till en internetansluten varm plånbok. Investeraren upptäckte förlusten när han öppnade Ellipal-appen den 15 oktober och fastställde att tillgreppet ägde rum den 12 oktober, baserat på kedjans tidsstämplar och transaktionsregister.

Enligt LaRoques uppgifter utfördes två små testöverföringar på 10 XRP vardera omkring kl. 11:15 ET den 12 oktober, följt av en massiv överföring på 1 209 990 XRP. Angriparen fördelade sedan de stulna medlen över ett dussintal mellanliggande adresser innan de koncentrerades på Tron-nätverket. Från där fördes medlen vidare till OTC-handelsplatser i närheten av Huione, en marknadsplats baserad i Sydostasien som nämnts i nyare amerikanska tillsynsåtgärder. Blockkedjeforskaren ZackXBT identifierade dessa rörelser genom att korrelera transaktionsbeloppen och tidpunkterna med investerarens publicerade videologgar och Ellipals offentliga uttalande som släpptes den 18 oktober.

Ellipal svarade på händelsen den 18 oktober och förklarade att import av en hårdvaruplånboks återställningsfras till mobilappen lagrar de privata nycklarna på enheten, vilket upphäver luftgap-skyddet. Företaget hävdade att deras hårdvaruenheter förblir säkra men varnade för att användaråtgärder kan kompromissa den övergripande säkerheten. LaRoque, en 54-årig pensionerad från North Carolina, uppgav att förlusten utgjorde hans och hustruns pensionssparande och spolierade deras planer på att köpa ett hus. Han rapporterade händelsen till FBI:s Internet Crime Complaint Center och till lokal polis, även om specialiserade cyberbrottsenheter ännu inte har engagerat sig.

ZackXBT varnade mot att anlita återhämtningsföretag och noterade att många driver rovdriftsmodeller med höga avgifter och låga framgångsfrekvenser. Han uppmanade till snabb rapportering till börser och myndigheter för att öka chanserna att token fryses, men erkände den låga sannolikheten för fullständig återhämtning när medlen korsar kedjorna och går in på OTC-marknader. Fallet understryker vikten av att upprätthålla separata återställningsfraser för kalla och varma plånböcker, använda ytterligare lösenfraser för innehav med högt värde och undvika import av återställningsfraser till online-miljöer.