Um aposentado de 54 anos da Carolina do Norte relatou o roubo de mais de 1,2 milhão de tokens XRP, no valor de mais de US$ 3 milhões, do que ele acreditava ser uma carteira fria segura. O incidente, descoberto em 15 de outubro de 2025, envolveu uma carteira de hardware Ellipal e foi rastreado pelo analista on-chain ZackXBT. A Ellipal atribuiu a violação a um erro do usuário ao importar uma frase-semente em um aplicativo móvel.
Brandon LaRoque, detentor de XRP de longa data desde 2017, descobriu o roubo em 15 de outubro de 2025, ao verificar o aplicativo móvel da Ellipal. O esvaziamento havia ocorrido três dias antes, em 12 de outubro, começando com duas pequenas transações de teste de 10 XRP por volta das 11:15 da manhã no horário do Leste, seguidas de uma transferência de aproximadamente 1.209.990 XRP para um novo endereço. Os fundos então se espalharam por dezenas de carteiras e eventualmente centenas, enquanto holdings menores de cerca de US$ 1.000 em XLM e US$ 900 em FLR permaneceram intocados.
LaRoque, que está aposentado junto com sua esposa de 60 anos, descreveu o XRP como quase todo o seu fundo de aposentadoria, destinado à compra de uma casa em Las Vegas. Ele registrou queixas no Centro de Reclamações de Crimes na Internet do FBI e com autoridades locais na Carolina do Norte, mas enfrentou atrasos para alcançar unidades de cibersegurança. Em vídeos no YouTube postados desde 15 de outubro, ele expressou incerteza sobre o método exato de comprometimento.
A Ellipal, fabricante de carteiras frias, respondeu em 18 de outubro, afirmando que LaRoque havia importado a frase-semente da carteira de hardware para o aplicativo móvel, que armazena chaves privadas no dispositivo conectado à internet, transformando-o efetivamente em uma carteira quente. LaRoque observou que seu aplicativo no iPhone exibia um fundo azul, indicando uma conexão de carteira fria de acordo com as indicações da Ellipal, enquanto seu iPad mostrava uma visualização de carteira quente laranja. A empresa enfatizou que seus dispositivos de hardware isolados por ar não foram a fonte de nenhum roubo.
O investigador on-chain ZackXBT detalhou o fluxo em uma thread de 19 de outubro, identificando mais de 120 trocas de Ripple para Tron via serviço Bridgers em 12 de outubro. Os fundos se consolidaram no Tron no endereço TGF3hP5GeUPKaRJeWKpvF2PVVCMrfe2bYw e, até 15 de outubro, alcançaram corretores over-the-counter ligados à Huione, um mercado do sudeste asiático sinalizado pelas autoridades dos EUA. ZackXBT alertou que a recuperação é improvável uma vez que os fundos passam por trocas cross-chain e venues OTC, aconselhando contra empresas de recuperação predatórias.
LaRoque compartilhou sua história para alertar os outros, enfatizando a importância de evitar importações de sementes em aplicativos para armazenamento frio. Ele reconheceu as baixas chances de recuperação, mas esperava orientação.