Musisi Amerika G. Love (nama asli Garrett Dutton) mengungkapkan pada 11 April bahwa setelah mengunduh aplikasi Ledger Live palsu dari Apple Mac App Store, lalu segera kehilangan 5,92 bitcoin setelah memasukkan seed phrase 24 kata sesuai petunjuk, dengan nilai menurut harga pasar lebih dari $424.000.
Kronologi Kejadian: Kesalahan Fatal Saat Memindahkan Perangkat
G. Love mengatakan bahwa insiden terjadi saat ia memindahkan dompet perangkat keras Ledger ke komputer Apple baru. Ia mencari “Ledger Live” di Mac App Store, lalu mengunduh aplikasi palsu yang tampilan dan antarmukanya sangat mirip, serta memasukkan seed phrase lengkap 24 kata sesuai instruksi. Setelah seed phrase dikirim, penyerang langsung menyelesaikan pemindahan aset, dan 5,92 bitcoin menghilang dalam beberapa menit.
G. Love menyatakan dalam unggahannya: “Ini adalah tabungan pensiun yang saya kumpulkan dengan susah payah selama sepuluh tahun; saat keluar rumah, semua orang harus berhati-hati.”
Masalah inti dari kasus ini adalah aplikasi palsu berhasil lolos peninjauan untuk dipublikasikan di Apple App Store, sehingga ditampilkan kepada pengguna melalui saluran resmi dengan nama yang sah, dan dukungan kepercayaan dari platform Apple menjadi tuas terbesar yang dimanfaatkan para penipu.
Pelacakan ZachXBT: Aliran Dana Diduga Mengalir ke CEX, Kemungkinan Pemulihan Sangat Rendah
Analisis on-chain ZachXBT mengonfirmasi bahwa 5,92 bitcoin yang dicuri mengalir melalui sebuah dompet yang diidentifikasi sebagai alamat deposit CEX, dan menunjukkan bahwa distribusi alamat deposit yang tersebar dalam jumlah besar mengindikasikan pencuri kemungkinan melakukan pemindahan dana putaran kedua melalui bursa instan, sehingga semakin mempersulit upaya pelacakan.
ZachXBT secara tegas mengkritik CEX karena “hanya menampilkan sikap kepatuhan ketika itu menguntungkan mereka sendiri”, serta menyebutkan bahwa setelah bursa tersebut memperoleh lisensi MiCA Uni Eropa pada November 2025, bursa itu dicabut hanya sekitar tiga bulan kemudian, pada Februari 2026, yang menunjukkan adanya masalah kepatuhan yang mendalam. Ia juga menyatakan bahwa layanan ilegal masih terus memindahkan dana melalui broker dan akun pribadi pada platform CEX tersebut, sementara hingga saat ini hampir tidak ada tindakan apa pun yang diambil oleh otoritas pengawas.
Peringatan Pakar Keamanan: Kaidah Inti Perlindungan Seed Phrase
Beau, kepala keamanan Pudgy Penguins, mengeluarkan peringatan mendesak setelah insiden itu terungkap, menekankan bahwa setiap pengguna dompet perangkat keras harus mematuhi prinsip keamanan berikut:
Kaidah Kunci Perlindungan Seed Phrase
Jangan Pernah Memasukkan Seed Phrase di Perangkat yang Terhubung: Baik laptop maupun ponsel, lingkungan yang terhubung tidak boleh dijadikan skenario untuk memasukkan seed phrase
Permintaan Unduh atau Pembaruan Dipandang sebagai Mencurigakan Secara Default: Sebelum Anda memverifikasi sendiri, semua pesan yang mendorong pengguna untuk mengunduh atau memperbarui perangkat lunak dompet harus dianggap sebagai penipuan
Saluran Penipuan Beragam: Aplikasi dompet palsu menyebar melalui email, iklan palsu, dan surat fisik; toko aplikasi resmi juga tidak sepenuhnya aman
Langsung Ke Sumber Resmi: Saat menginstal Ledger Live, Anda harus langsung mengunjungi situs resmi (ledger.com), bukan melalui pencarian di App Store
Pertanyaan yang Sering Diajukan
Mengapa Apple App Store Bisa Menampilkan Aplikasi Ledger Palsu?
Aplikasi palsu memanfaatkan celah dalam mekanisme peninjauan toko aplikasi, sehingga lolos untuk dipublikasikan dengan nama dan antarmuka yang sangat meniru. Pengguna biasa sulit membedakan keaslian hanya dari halaman toko; saat menginstal Ledger Live, disarankan untuk langsung mengunduh dari situs resmi Ledger (ledger.com), dengan sepenuhnya menghindari tahapan pencarian di dalam App Store.
Mengapa Memasukkan Seed Phrase Dapat Menyebabkan Bitcoin Dicuri Secara Instan?
Seed phrase adalah kunci pemulihan lengkap untuk dompet perangkat keras; siapa pun yang memiliki 24 kata seed phrase dapat membangun ulang dompet di perangkat mana pun dan mengendalikan semua aset. Tujuan utama yang dirancang untuk aplikasi palsu adalah mendorong pengguna memasukkan seed phrase; setelah server latar menerima seed phrase tersebut, pemindahan aset langsung dieksekusi, dan seluruh proses selesai dalam hitungan menit.
Apakah Bitcoin yang Dicuri Mungkin Dipulihkan?
Berdasarkan analisis on-chain ZachXBT, dana sudah mengalir ke alamat deposit yang diduga CEX, dan mungkin dilakukan pemindahan putaran kedua melalui bursa instan. ZachXBT menyatakan dengan tegas bahwa ia tidak percaya CEX akan membantu memulihkan dana; ditambah dengan kontroversi kepatuhan terbaru ketika lisensi MiCA bursa tersebut dicabut, kemungkinan pemulihan aset secara aktual sangat rendah.
Penafian: Informasi di halaman ini dapat berasal dari pihak ketiga dan tidak mewakili pandangan atau opini Gate. Konten yang ditampilkan hanya untuk tujuan referensi dan bukan merupakan nasihat keuangan, investasi, atau hukum. Gate tidak menjamin keakuratan maupun kelengkapan informasi dan tidak bertanggung jawab atas kerugian apa pun yang timbul akibat penggunaan informasi ini. Investasi aset virtual memiliki risiko tinggi dan rentan terhadap volatilitas harga yang signifikan. Anda dapat kehilangan seluruh modal yang diinvestasikan. Harap pahami sepenuhnya risiko yang terkait dan buat keputusan secara bijak berdasarkan kondisi keuangan serta toleransi risiko Anda sendiri. Untuk detail lebih lanjut, silakan merujuk ke
Penafian.
