Un jubilado de 54 años de Carolina del Norte reportó el robo de más de 1,2 millones de tokens XRP, valorados en más de 3 millones de dólares, de lo que creía era una billetera fría segura. El incidente, descubierto el 15 de octubre de 2025, involucró una billetera de hardware Ellipal y fue rastreado por el analista en cadena ZackXBT. Ellipal atribuyó la brecha a un error del usuario al importar una frase semilla en una aplicación móvil.
Brandon LaRoque, un poseedor de XRP de larga data desde 2017, descubrió el robo el 15 de octubre de 2025, mientras verificaba la aplicación móvil de Ellipal. El drenaje había ocurrido tres días antes, el 12 de octubre, comenzando con dos pequeñas transacciones de prueba de 10 XRP alrededor de las 11:15 a.m. hora del Este, seguidas de una transferencia de aproximadamente 1.209.990 XRP a una nueva dirección. Los fondos luego se dispersaron a través de docenas de billeteras y eventualmente cientos, mientras que tenencias más pequeñas de alrededor de 1.000 dólares en XLM y 900 dólares en FLR permanecieron intactas.
LaRoque, quien está jubilado junto con su esposa de 60 años, describió el XRP como casi todos sus ahorros para la jubilación, destinados a comprar una casa en Las Vegas. Presentó quejas ante el Centro de Quejas de Delitos en Internet del FBI y las autoridades locales de Carolina del Norte, pero enfrentó demoras para llegar a las unidades de ciberseguridad. En videos de YouTube publicados desde el 15 de octubre, expresó incertidumbre sobre el método exacto de compromiso.
Ellipal, el fabricante de billeteras frías, respondió el 18 de octubre, afirmando que LaRoque había importado la frase semilla de la billetera de hardware en la aplicación móvil, que almacena claves privadas en el dispositivo conectado a internet, convirtiéndola efectivamente en una billetera caliente. LaRoque señaló que su aplicación en iPhone mostraba un fondo azul, indicando una conexión de billetera fría según las indicaciones de Ellipal, mientras que su iPad mostraba una vista de billetera caliente en naranja. La compañía enfatizó que sus dispositivos de hardware aislados por aire no han sido la fuente de ningún robo.
El investigador en cadena ZackXBT detalló el flujo en un hilo del 19 de octubre, identificando más de 120 intercambios de Ripple a Tron a través del servicio Bridgers el 12 de octubre. Los fondos se consolidaron en Tron en la dirección TGF3hP5GeUPKaRJeWKpvF2PVVCMrfe2bYw y para el 15 de octubre llegaron a corredores de venta libre vinculados a Huione, un mercado del sudeste asiático señalado por las autoridades estadounidenses. ZackXBT advirtió que la recuperación es improbable una vez que los fondos pasan por intercambios entre cadenas y venues OTC, aconsejando contra firmas de recuperación depredadoras.
LaRoque compartió su historia para advertir a otros, enfatizando la importancia de evitar importaciones de semillas en aplicaciones para almacenamiento en frío. Reconoció las bajas probabilidades de recuperación pero esperó orientación.