Un retraité de 54 ans de Caroline du Nord a signalé le vol de plus de 1,2 million de jetons XRP, valant plus de 3 millions de dollars, de ce qu'il croyait être un portefeuille froid sécurisé. L'incident, découvert le 15 octobre 2025, impliquait un portefeuille matériel Ellipal et a été tracé par l'analyste on-chain ZackXBT. Ellipal a attribué la brèche à une erreur de l'utilisateur lors de l'importation d'une phrase semence dans une application mobile.
Brandon LaRoque, détenteur de XRP de longue date depuis 2017, a découvert le vol le 15 octobre 2025, en vérifiant l'application mobile Ellipal. Le vidage avait eu lieu trois jours plus tôt, le 12 octobre, commençant par deux petites transactions de test de 10 XRP vers 11h15 heure de l'Est, suivies d'un transfert d'environ 1 209 990 XRP vers une nouvelle adresse. Les fonds se sont ensuite dispersés sur des dizaines de portefeuilles et finalement des centaines, tandis que des avoirs plus petits d'environ 1 000 dollars en XLM et 900 dollars en FLR sont restés intacts.
LaRoque, qui est retraité avec sa femme de 60 ans, a décrit le XRP comme presque l'ensemble de leurs économies de retraite, destinées à l'achat d'une maison à Las Vegas. Il a déposé des plaintes auprès du Centre de plaintes pour les crimes sur Internet du FBI et des autorités locales de Caroline du Nord, mais a rencontré des retards pour joindre les unités cyber. Dans des vidéos YouTube postées depuis le 15 octobre, il a exprimé son incertitude quant à la méthode exacte de compromission.
Ellipal, le fabricant de portefeuilles froids, a répondu le 18 octobre, affirmant que LaRoque avait importé la phrase semence du portefeuille matériel dans l'application mobile, qui stocke les clés privées sur l'appareil connecté à Internet, le transformant efficacement en un portefeuille chaud. LaRoque a noté que son application iPhone affichait un fond bleu, indiquant une connexion de portefeuille froid selon les indications d'Ellipal, tandis que son iPad montrait une vue de portefeuille chaud orange. L'entreprise a souligné que ses appareils matériels isolés par air n'ont pas été la source de vols.
L'enquêteur on-chain ZackXBT a détaillé le flux dans un fil du 19 octobre, identifiant plus de 120 échanges Ripple vers Tron via le service Bridgers le 12 octobre. Les fonds se sont consolidés sur Tron à l'adresse TGF3hP5GeUPKaRJeWKpvF2PVVCMrfe2bYw et, d'ici le 15 octobre, ont atteint des courtiers de gré à gré liés à Huione, un marché d'Asie du Sud-Est signalé par les autorités américaines. ZackXBT a averti que la récupération est improbable une fois que les fonds passent par des échanges cross-chain et des lieux OTC, conseillant d'éviter les entreprises de récupération prédatrices.
LaRoque a partagé son histoire pour avertir les autres, insistant sur l'importance d'éviter l'importation de phrases semences dans les applications pour le stockage froid. Il a reconnu les faibles chances de récupération mais espérait des conseils.