Пользователь аппаратного кошелька Ellipal из Северной Каролины Брэндон Ларок лишился $3 млн в XRP, допустив критическую ошибку: при работе с мобильным приложением на iPad он случайно импортировал сид-фразу, тем самым скомпрометировав изначально «холодный» кошелёк и фактически превратив его в «горячий». Об этом он рассказал в своём YouTube-блоге.
Хакеры мгновенно отреагировали: сначала отправили две тестовые транзакции по 10 XRP, а затем вывели 1 209 990 XRP на неизвестный адрес. Криптокриминалист ZachXBT выяснил, что злоумышленники в течение нескольких часов дробили средства по сотням кошельков, совершили более 120 кросс-чейн свопов через Bridgers (XRP → TRON), а затем сконцентрировали всё на одном TRON-адресе и передали OTC-брокерам, связанным, по данным расследования, с камбоджийской платформой Huione Group — ранее замеченной в отмывании криптоактивов.
Ларок подал жалобу в ФБР (IC3) и местную полицию, указав, что виновником стал неудачный UX-дизайн Ellipal: смена цвета интерфейса с синего (холодный кошелёк) на оранжевый (горячий) оказалась недостаточно заметной. В ответ компания заявила, что технического взлома не было — утечка произошла из-за публичного раскрытия сид-фразы пользователем, что нарушает базовые принципы безопасности.