Nowe zagrożenie dla iPhone’ów o nazwie Coruna zamienia historię o bezpieczeństwie telefonów w opowieść o krypto-horrorze, a dla wielu użytkowników to właśnie może być prawdziwe niebezpieczeństwo. Google twierdzi, że Coruna to potężny zestaw exploitów dla iOS zawierający 23 luki i pięć pełnych łańcuchów ataków, które mogą ukierunkowywać iPhone’y z iOS 13 aż po iOS 17.2.1. Oznacza to, że ogromna liczba starszych urządzeń Apple może być narażona, jeśli nie zostały zaktualizowane. Najgorsza jest jednak droga rozprzestrzeniania się tego zestawu. Google po raz pierwszy zauważyło jego elementy w sprawie celowego nadzoru, później w atakach skierowanych przeciwko ukraińskim użytkownikom, a następnie na fałszywych chińskich stronach finansowych i kryptowalutowych, stworzonych przyciągać użytkowników iPhone’ów.
Ta zmiana ma znaczenie. Narzędzie kiedyś używane w wąskich pracach szpiegowskich teraz pojawia się w szerszych kampaniach przestępczych. Mówiąc wprost, wysokiej klasa zestaw do włamywania się do iPhone’ów wydaje się przenieść z cienia na strony oszustw, które mogą trafić zwykłych użytkowników. To właśnie tutaj posiadacze kryptowalut powinni zwrócić szczególną uwagę.
Fałszywe witryny kierowały użytkowników iPhone’ów na ukryte strony z exploitami. Gdy ofiara na nie trafiła, Coruna mogła odczytać odcisk urządzenia, wybrać odpowiedni exploit i spróbować przełamać zabezpieczenia przeglądarki i systemu. Google twierdzi, że zestaw sprawdzał nawet, czy telefon znajdował się w trybie Lockdown lub prywatnym przeglądaniu i w niektórych przypadkach wycofywał się. To pokazuje, że atakujący nie byle jacy — byli ostrożni, cierpliwi i przygotowani do rzeczywistego użytku.
Ładunek końcowy sprawia, że sprawa robi się jeszcze mroczniejsza dla użytkowników krypto. Google znalazło moduły złośliwego oprogramowania ukierunkowane na popularne aplikacje portfelowe, w tym MetaMask, Phantom, Trust Wallet, Exodus, Uniswap Wallet, TronLink, BitKeep, portfele w stylu TokenPocket oraz portfele TON. Malware mógł skanować obrazy pod kątem kodów QR, przeszukiwać tekst pod kątem fraz seed BIP39 oraz szukać takich haseł jak „backup phrase” i „bank account”. Innymi słowy, nie kradł przypadkowych danych — polował na klucze do twoich pieniędzy.
Niektóre odzyskane chińskie komunikaty logów to potwierdzają. Jeden wiersz tłumaczy się jako „CorePayload manager initialized successfully, trying to start.” Kolejny mówi: „Heartbeat monitor started, waiting for CorePayload to send the first heartbeat.” To nie słowa byle strony z oszustwem. Wskazują na działającą platformę kradzieży, stworzoną, aby pozostać aktywną, zbierać dane i pobierać kolejne moduły.
Dlatego właśnie historia Coruny tak łatwo łączy się z rynkiem kryptowalut. Samodzielne przechowywanie daje kontrolę, ale przenosi też ryzyko na urządzenie w twojej dłoni. Jeśli twoja fraza seed znajduje się w Notatkach, zrzutach ekranu, zdjęciach lub kopii zapasowych czatu na starszym iPhonie, exploit telefonu może zamienić się w opróżnienie portfela. Cena rynkowa dodaje kolejną warstwę bólu. 6 marca 2026 roku Bitcoin był notowany w przedziale około 68 230–69 880 USD, spadając tego dnia o około 3,9%, przy codziennym wolumenie blisko 44,7 miliarda USD. Ethereum handlowało w okolicach 1 979–2 081 USD, również w dół tego dnia, z wolumenem około 20,0 miliarda USD. Obrazek cen i wolumenu pokazuje słabą taśmę: sprzedający nadal mają kontrolę, wolumen jest wysoki, a szybkie spadki mogą zamienić jeden błąd bezpieczeństwa w znacznie większą stratę w portfelu.
Zastanów się, co to oznacza dla prawdziwego posiadacza. Jeśli kradzież jednej frazy seed doprowadzi do utraty 1 BTC, szkoda wynosi w przybliżeniu 68 000–70 000 USD przy obecnych cenach. Strata 10 ETH to cios bliski 20 000 USD. Jeśli atakujący dostanie się do kilku aplikacji portfelowych, straty mogą szybko rosnąć w poprzek łańcuchów, tokenów i stablecoinów. Na słabym rynku skradzione środki mogą być natychmiast wyprzedane, dodając większą presję sprzedaży, podczas gdy ofiara obserwuje, jak zarówno dostęp, jak i wartość znikają.
Jest jedna dobra wiadomość. Google twierdzi, że Coruna nie działa przeciwko najnowszej wersji iOS. Apple naprawiło już kilka powiązanych błędów w poprzednich aktualizacjach, a Google wezwało użytkowników do natychmiastowej aktualizacji iOS. Jeśli aktualizacja nie jest możliwa, tryb Lockdown dodaje kolejną warstwę obrony. To może brzmieć podstawowo, ale ta historia pokazuje, dlaczego podstawowe kroki mają znaczenie. Telefon, który wydaje się bezpieczny, bo to iPhone, może nadal być najsłabszym ogniwem w zestawie kryptograficznym.
Dla użytkowników kryptowalut ostrzeżenie jest proste i brzydkie: następne wyczyszczenie portfela może nie zaczynać się od złego tokena czy fałszywego airdropu. Może zacząć się od jednej wizyty na zatrutej stronie na starym iPhonie. Na rynku już pod presją Coruna to rodzaj zagrożenia, który może zamienić papierowe straty w trwałe straty.
