تطبيق Ledger المزيف على App Store: كيف سرق المحتالون 9.5 مليون دولار وكيف تحمي محفظتك

تطبيق Ledger المزيف على App Store: كيف سرق المحتالون 9.5 مليون دولار وكيف تحمي محفظتك

عزف Garrett Dutton موسيقى البلوز تحت اسم G. Love لأكثر من ثلاثين عاماً. خلال تلك الفترة، بنى قاعدة معجبين حول العالم وادّخر شيئاً للتقاعد: 5.9 Bitcoin، ما يعادل نحو 420,000 دولار بأسعار أبريل 2026. أطلق على تلك العملات اسم صندوق تقاعده. في أبريل، نزّل تطبيقاً من App Store وأدخل seed phrase الخاص به، فخسر في غضون دقائق كل ما ادّخره.

لم تتصدّر قصة Dutton العناوين لأنه شخصية مشهورة، بل لأنه ليس وحده. رصد المحقق في سلسلة الكتل ZachXBT أكثر من 50 ضحية خسرت مجتمعةً 9.5 مليون دولار. استُنزفت الأموال من محافظ Bitcoin وTron وSolana وانتهت إلى عناوين مرتبطة بخلّاط يستخدم KuCoin.

لم يكن هذا ركناً مظلماً من الإنترنت. كان App Store الرسمي لشركة Apple.

ما الذي جرى: Ledger Live مزيف في متجر Apple

Ledger شركة فرنسية تصنع بعض أكثر محافظ الأجهزة شيوعاً في العالم. صُمّم تطبيق Ledger Live الرسمي لإدارة أجهزة Ledger: فحص الأرصدة وإرسال المعاملات وتحديث البرامج الثابتة. التطبيق مجاني وإصداره الرسمي متاح مباشرةً من موقع الشركة.

ابتكر المحتالون نسخة مطابقة، أي نسخة من Ledger Live لا يمكن تمييزها بصرياً، وتمكّنوا بطريقة ما من اجتياز مراجعة Apple. ظهر التطبيق على Mac App Store وبقي هناك طويلاً بما يكفي لاستدراج عشرات الضحايا. وفقاً لـ ZachXBT، استمرت الحملة نحو أسبوع.

اعتمدت الخطة على التصيّد الاحتيالي لـ seed phrase. بدا التطبيق مطابقاً لـ Ledger Live الحقيقي وحثّ المستخدمين على إدخال عبارتهم الاسترادية المكونة من 24 كلمة، بذريعة "المزامنة" أو "استعادة الوصول." بمجرد أن أدخل الضحية الكلمات، سيطر المهاجمون على المحفظة بالكامل واستنزفوا الأموال فوراً.

"لقد أُرسلت 5.9 Bitcoin الخاصة بـ Garrett Dutton بالفعل إلى عناوين إيداع مرتبطة بـ KuCoin" – ZachXBT، أبريل 2026

استجابت Apple بعد الفضيحة العلنية: أُزيل التطبيق وحُرم المطور من برنامج App Store. وفي تعليق لـ Cointelegraph، أكدت الشركة عملية الإزالة. غير أن سؤال كيف اجتاز المزيف المراجعة، وكم استغرق الأمر من وقت للتحرك، بقي دون إجابة واضحة.

لماذا لم يوقف إشراف App Store المحتالين

أمضت Apple سنوات في تقديم متجرها على أنه نظام بيئي آمن، خلافاً لـ Android حيث يمكن تثبيت التطبيقات من مصادر خارجية. وقد انقلبت هذه الثقة ضد المستخدمين: إذ لم يشك كثيرون في شرعية التطبيق لمجرد أنهم وجدوه في المتجر الرسمي.

لا يزال من غير الواضح تماماً كيف اجتاز المزيف المراجعة. يجمع إشراف App Store الفحوصات الآلية مع المراجعة اليدوية، لكنه يركز أساساً على أمان الكود لا على نية المطور. فالتطبيق الذي يعرض نموذج إدخال كلمات ثم يرسل المدخلات إلى خادم قد لا يحتوي تقنياً على أي "كود خبيث" بالمعنى التقليدي.

ربما لجأ المحتالون أيضاً إلى عدة أساليب لتجاوز المراجعة:

• تقديم إصدار غير ضار في البداية، ثم تحديث الوظائف بعد الموافقة
• استخدام اسم قريب من الأصل دون انتهاك قواعد العلامات التجارية من الناحية التقنية
• استهداف جمهور صغير تجنباً للفت الانتباه عبر تقارير المستخدمين

أثار ZachXBT علناً مسألة مسؤولية Apple. إذا كانت المنصة تأخذ حصة من المطورين وتسوّق إشرافها بوصفه حماية للمستخدمين، فهل تتحمل أي مسؤولية عن الخسائر التي عجز هذا الإشراف عن منعها؟ لا إجابة قانونية حتى الآن، لكن الضرر الذي لحق بالسمعة واضح.

أين ذهبت الأموال: Bitcoin وTron وSolana وأثر الخلّاط

تستحق طريقة نقل المحتالين للأموال اهتماماً خاصاً. تتبّع ZachXBT المال واكتشف أن الأصول المسروقة، من Bitcoin وTron وSolana، مرّت عبر خلّاط مرتبط بـ KuCoin. وهذا مخطط تمويه سريع قياسي: تُقسَّم الأموال إلى مبالغ صغيرة وتُخلط عبر عناوين كثيرة ثم تُسحب إلى بورصة يصعب فيها تتبعها.

KuCoin نفسها ليست مذنبة هنا؛ إذ استخدم المهاجمون عناوين مرتبطة بالبورصة لا المنصة ذاتها. لكن الأثر مهم: فهو يدل على أن المجرمين لم يرتجلوا، بل امتلكوا بنية تحتية جاهزة لغسيل الأموال. لم يكن هذا اختراقاً عشوائياً، بل مجموعة منظمة ذات خطة واضحة.

هذا تحديداً هو السبب الذي يجعل التحقق من العناوين عبر أدوات AML أمراً بالغ الأهمية، ولا سيما عند استلام أموال من مصادر مجهولة. إذا ظهر عنوان ما في مخططات غسيل أموال من قبل، فإن ماسح AML الجيد سيُشير إليه. لدينا أداة فحص AML على بوابتنا تتحقق من العناوين على Bitcoin وسلاسل الكتل الأخرى مقابل قواعد بيانات المحافظ الاحتيالية المعروفة والمصادر عالية المخاطر.

الخطأ الجوهري الذي ارتكبه الضحايا: seed phrase لا يُدخَل أبداً في أي تطبيق

يبدو هذا واضحاً، لكنه خطأ يتكرر مراراً حتى من مستخدمين ذوي خبرة. إن seed phrase (عبارة استرادية مكونة من 12 أو 24 كلمة) هو المفتاح الرئيسي للمحفظة. من يمتلك تلك الكلمات يمتلك العملات. تماماً.

إن Ledger Live الحقيقي لا يطلب seed phrase أبداً. لا يطلبه قط. هذا مبدأ أساسي في طريقة عمل محافظ الأجهزة: المفاتيح الخاصة لا تغادر الجهاز أبداً، ولا يُحتاج إلى seed phrase إلا لاستعادة المحفظة فعلياً على جهاز جديد، ويُدخَل على الجهاز نفسه لا في برنامج على الحاسوب.

إذا طلب أي تطبيق seed phrase، فهو احتيال. لا يهم كيف يبدو أو من أين جرى تنزيله. لا استثناءات.

ما يجب تذكره بشأن seed phrase

• لا تُدخل seed phrase في أي برنامج على الحاسوب أو الهاتف
• لا تصوّره ولا تخزّنه رقمياً
• لا تشاركه مع أحد، بمن فيهم موظفو الدعم
• احفظه على ورق فقط أو نسخة احتياطية معدنية في مكان آمن

كيف اختار المحتالون ضحاياهم

يستخدم محافظ الأجهزة أشخاص يفهمون العملات الرقمية أصلاً. ليسوا وافدين جدداً اشتروا أول 100 دولار في بورصة، بل حاملون اختاروا التخزين البارد عن سابق دراية لحماية مبالغ ضخمة. لذلك كانت متوسطات الخسارة لكل ضحية مرتفعة جداً: 9.5 مليون دولار على أكثر من 50 ضحية يعني ما يقارب 190,000 دولار للشخص الواحد في المتوسط.

ذهب المحتالون حيث يوجد المال. علموا أن مستخدمي Ledger ليسوا حاملين عاديين. وعلموا أن الثقة في نظام Apple البيئي تولّد إحساساً زائفاً بالأمان.

على الأرجح اعتقد G. Love أن استخدام محفظة أجهزة وتنزيل تطبيق من المتجر الرسمي يعني أنه بأمان. هذا هو الفخ الكلاسيكي: شخص يتخذ القرار الصحيح (محفظة الأجهزة) ثم يقع في خطأ واحد حاسم في الخطوة الأخيرة.

السؤال الموجه لـ Apple: من المسؤول

بعد منشورات ZachXBT وموجة التغطية الإعلامية، أزالت Apple التطبيق بسرعة وأغلقت حساب المطور. لكن ذلك لا يُجيب عن السؤال الهيكلي.

App Store ليس مجرد دليل تطبيقات. إنه نظام بيئي منتقى تتقاضى Apple من المطورين 30% من الإيرادات ورسوم عضوية سنوية للوصول إليه. تبيع الشركة الثقة كمنتج. الشعار "نراجع كل تطبيق" ليس مجرد تسويق، بل هو وعد بالأمان.

حين يُنقَض هذا الوعد ويخسر المستخدمون أموالاً حقيقية، يطرح السؤال نفسه: هل يمكن للضحية المطالبة بتعويض من Apple؟ في الوقت الراهن، لا على الأرجح. تنص شروط خدمة App Store على إعفاء الشركة من المسؤولية عن محتوى تطبيقات الأطراف الخارجية. لكن الضغط التنظيمي على المنصات بشأن مسؤولية المحتوى يتصاعد حول العالم، وهذه الحادثة نقطة بيانات إضافية لمن يرون أن المنصات الكبيرة يجب أن تتحمل مسؤولية أكبر.

سأل ZachXBT مباشرةً: هل Apple مسؤولة عن 9.5 مليون دولار من الأموال المسروقة؟ لم يتلقَّ أي إجابة.

هذه ليست المرة الأولى: تاريخ التصيد الاحتيالي عبر متاجر التطبيقات

حالة Ledger ليست استثنائية. منذ سنوات، تظهر بصفة دورية نسخ مزيفة من محافظ العملات الرقمية الشائعة وتطبيقات إدارة الأصول في App Store وGoogle Play على حد سواء. يرصدها الإشراف، لكن ليس دائماً بسرعة كافية وليس دائماً قبل تضرر المستخدمين.

في عام 2021، وقعت حادثة مماثلة مع تطبيق Trezor المزيف، وهو منتج شركة أخرى معروفة لمحافظ الأجهزة. وفي عام 2023، سُجّلت حالات تخص تطبيقات MetaMask وTrust Wallet المزيفة. المخطط متشابه في كل مرة تقريباً: نسخة بصرية مقنعة وطلب seed phrase أو المفتاح الخاص وسحب فوري للأموال.

يستجيب قطاع العملات الرقمية بأساليب متباينة. تُحذّر Ledger مستخدميها بانتظام: ينبغي تنزيل التطبيق من الموقع الرسمي ledger.com فقط لا من متاجر التطبيقات التي تكون الرقابة فيها أضعف. لكن معظم الناس لا يعلمون ذلك، أو لا يُفكّرون فيه حين يرون زر "تثبيت" مريحاً في واجهة مألوفة.

كيف تتحقق من أنك تستخدم التطبيق الحقيقي

خطوات ملموسة لكل من يستخدم محافظ الأجهزة أو يخطط لذلك:

للمستخدمين Ledger

• نزّل Ledger Live من الموقع الرسمي ledger.com فحسب، لا من أي مكان آخر
• تحقق من التوقيع الرقمي لملف التثبيت إذا كنت تنزّله على Windows أو Linux
• لا تثبّت Ledger Live من App Store أو Google Play، إذ توصي الشركة رسمياً بالموقع الإلكتروني
• تفقّد القنوات الرسمية لـ Ledger بانتظام للاطلاع على تحذيرات بشأن التطبيقات المزيفة

قواعد الأمان العامة لأي محفظة عملات رقمية

• لا يُدخَل seed phrase في أي برنامج
• قبل تثبيت أي تطبيق له صلة بالعملات الرقمية، تحقق من المطور: الاسم وتاريخ النشر وعدد التقييمات
• تشكّك في التطبيقات ذات التقييمات القليلة أو تاريخ النشر الحديث
• استخدم جهازاً مخصصاً للمبالغ الكبيرة
• افحص العناوين بانتظام مقابل قواعد بيانات المحافظ الاحتيالية

الأدوات التي تساعدك على البقاء محمياً

جمعنا عدة أدوات تجعل العمل بالعملات الرقمية أكثر أماناً، لا في سياق هذه الحادثة فحسب.

فحص عناوين AML. قبل قبول تحويل من مصدر مجهول أو إرسال أموال إلى عنوان جديد، افحص تاريخه. تحلّل أداة فحص AML لدينا العناوين على Bitcoin وEthereum وTron وسلاسل الكتل الأخرى وتُظهر ما إذا كان العنوان مرتبطاً بمخططات احتيال معروفة أو خلّاطات أو قوائم عقوبات. كان بمقدور هذا النوع من الأدوات تحديد العناوين التي انتهت إليها أموال الضحايا، وإن كانوا في هذه الحالة هم المستلمين النهائيين لا المرسلين.

مقارنة البورصات. على الأرجح احتفظ بعض المتضررين بأصولهم في محافظ ساخنة واستخدموا البورصات لإدارة محافظهم الاستثمارية. اختيار بورصة موثوقة جزء من الأمان أيضاً. في قسم مراجعة البورصات لدينا، جمعنا التقييمات الحالية للمنصات الكبرى مع الأخذ بعين الاعتبار سياسات الأمان وصناديق التأمين وتاريخ الحوادث.

إدارة المحفظة الاستثمارية. توزيع الأصول على محافظ ومنصات مختلفة يقلص المخاطر. إذا كان كل شيء في مكان واحد، فقد تكلّفك غلطة واحدة كل شيء. يساعد متتبع المحفظة الاستثمارية لدينا على مراقبة الأصول عبر عناوين وبورصات مختلفة في واجهة واحدة دون إرسال المفاتيح الخاصة.

لماذا لا تزال محافظ الأجهزة هي الخيار الأفضل

قد تُوحي قصة Ledger المزيف بأن محافظ الأجهزة غير موثوقة. هذا ليس صحيحاً. محفظة الأجهزة نفسها، أي الجهاز، لم تتعرض للاختراق قط. لم تتسرب المفاتيح الخاصة لـ G. Love من Ledger Nano الخاص به. فقد أمواله لأنه أدخل seed phrase في تطبيق خارجي، أي أنه سلّم المفاتيح للمحتالين بنفسه.

تعمل محفظة الأجهزة تحديداً لأنها تحفظ المفاتيح في وضع غير متصل. إذا التزم المستخدم بقواعد الأمان الأساسية، أي لا يُدخل seed phrase رقمياً أبداً ولا يثبّت برامج غير موثّقة، فإن أمواله آمنة حتى لو أُصيب حاسوبه ببرامج خبيثة.

المشكلة ليست في التكنولوجيا. المشكلة في العامل البشري وفي المنصات التي تتولى دور حارس البوابة لكنها تعجز عن الوفاء به.

ماذا تقول هذه الحادثة عن نضج الصناعة

قطعت العملات الرقمية شوطاً طويلاً من منتديات Bitcoin إلى المنتجات المالية السائدة. لكن كلما اتسع الجمهور ازداد إغراء المحتالين. سرقة 9.5 مليون دولار من أكثر من 50 شخصاً في أسبوع واحد ليست حادثة هامشية. إنها حملة منظمة بنية تحتية جاهزة تستغل الثقة بشركة تكنولوجيا كبرى.

تتباين ردود فعل الصناعة. يطالب بعضهم بمساءلة أوسع للمنصات. يعود آخرون إلى الأساسيات: ليست مفاتيحك، ليست عملاتك، ولا تثق في أي تطبيق بـ seed phrase الخاص بك. كلا الموقفين صحيح ولا يتناقضان.

بينما تُحسم مسألة المسؤولية بين الجهات التنظيمية والمنصات، يستطيع كل مستخدم حماية نفسه. يتطلب ذلك معرفة وانتباهاً، لكنه لا يتطلب مهارات تقنية على مستوى المطور.

ماذا تفعل الآن

إذا كانت لديك محفظة أجهزة، فتحقق من أين نزّلت التطبيق المرافق لها. إذا جاء من متجر تطبيقات لا من الموقع الرسمي للمصنّع، فاحذفه وأعد تنزيله من المصدر الصحيح. لن تحتاج إلى إدخال seed phrase في أي مرحلة من هذه العملية.

إذا كنت تفكر في الانتقال إلى التخزين البارد، فلا يزال هذا أفضل طريقة لحماية المبالغ الكبيرة. المفتاح هو تعلّم القواعد مرة واحدة بدلاً من الوثوق بأول تطبيق يبدو أصيلاً.

يمكنك فحص عناوينك للكشف عن المخاطر الآن في أداة فحص AML لدينا. وإذا كنت تختار محفظة أو تريد مقارنة خيارات التخزين، فزر قسم مراجعة المحافظ لدينا، إذ جمعنا التقييمات الحالية للحلول المادية والبرمجية مع مراعاة الأمان وسهولة الاستخدام والشبكات المدعومة.

فقد G. Love صندوق تقاعده بسبب خطأ واحد استغرق ثوانٍ. القصة مؤلمة، لكنها تُظهر بوضوح أين يمر الخط الفاصل بين الأمان والكارثة. ذلك الخط يمر عبر seed phrase.