Aplikasi Ledger Palsu di App Store: Bagaimana Penipu Mencuri 9,5 Juta Dolar dan Cara Melindungi Dompet Anda

Aplikasi Ledger Palsu di App Store: Bagaimana Penipu Mencuri 9,5 Juta Dolar dan Cara Melindungi Dompet Anda

Garrett Dutton memainkan blues dengan nama G. Love selama lebih dari tiga puluh tahun. Selama itu, ia membangun penggemar di seluruh dunia dan menyisihkan sesuatu untuk masa pensiun: 5,9 Bitcoin, sekitar 420.000 dolar pada harga April 2026. Ia menyebut koin-koin itu sebagai dana pensiunnya. Pada bulan April, ia mengunduh sebuah aplikasi dari App Store, memasukkan seed phrase-nya, dan dalam hitungan menit kehilangan semua yang telah ia tabung.

Kisah Dutton menjadi berita utama bukan karena ia selebriti, melainkan karena ia tidak sendirian. Penyelidik blockchain ZachXBT menghitung lebih dari 50 korban yang secara kolektif kehilangan 9,5 juta dolar. Dana tersebut dikuras dari dompet Bitcoin, Tron, dan Solana lalu berpindah ke alamat yang terhubung dengan sebuah mixer yang menggunakan KuCoin.

Ini bukan sudut gelap internet. Ini adalah App Store resmi Apple.

Apa yang terjadi: Ledger Live palsu di toko Apple

Ledger adalah perusahaan Prancis yang membuat beberapa hardware wallet paling populer di dunia. Aplikasi Ledger Live resmi dirancang untuk mengelola perangkat Ledger: memeriksa saldo, mengirim transaksi, dan memperbarui firmware. Aplikasi ini gratis, dan versi resminya tersedia langsung dari situs web perusahaan.

Para penipu membuat klon, yaitu salinan Ledger Live yang tidak dapat dibedakan secara visual, dan entah bagaimana lolos dari peninjauan Apple. Aplikasi tersebut muncul di Mac App Store dan bertahan cukup lama untuk menggaet puluhan korban. Menurut ZachXBT, kampanye ini berlangsung sekitar satu minggu.

Skema ini bekerja melalui phishing seed phrase. Aplikasi terlihat seperti Ledger Live asli dan mendorong pengguna untuk memasukkan frasa mnemonik 24 kata mereka, diduga untuk "sinkronisasi" atau "pemulihan akses." Begitu korban memasukkan kata-katanya, penyerang mendapatkan kendali penuh atas dompet dan langsung menguras dananya.

"5,9 Bitcoin milik Garrett Dutton telah dikirim ke alamat setoran yang terkait dengan KuCoin" – ZachXBT, April 2026

Apple merespons setelah skandal publik terjadi: aplikasi dihapus dan pengembang dilarang dari program App Store. Dalam komentar kepada Cointelegraph, perusahaan mengonfirmasi penghapusan tersebut. Namun pertanyaan mengapa yang palsu bisa lolos peninjauan, dan berapa lama waktu yang diperlukan untuk bertindak, tetap tidak mendapat jawaban yang jelas.

Mengapa moderasi App Store tidak menghentikan para penipu

Apple telah bertahun-tahun memposisikan tokonya sebagai ekosistem yang aman, berbeda dengan Android tempat aplikasi dapat dipasang dari sumber pihak ketiga. Kepercayaan itu justru merugikan pengguna: banyak yang tidak meragukan legitimasi aplikasi tersebut hanya karena menemukannya di toko resmi.

Bagaimana tepatnya yang palsu bisa lolos peninjauan masih belum jelas. Moderasi App Store menggabungkan pemeriksaan otomatis dengan tinjauan manual, tetapi terutama berfokus pada keamanan kode daripada niat pengembang. Aplikasi yang hanya menampilkan formulir entri kata dan mengirimkan input ke server secara teknis mungkin tidak mengandung "kode berbahaya" dalam pengertian tradisional.

Para penipu mungkin juga menggunakan beberapa taktik untuk menghindari tinjauan:

• Mengirimkan versi yang tidak berbahaya terlebih dahulu, kemudian memperbarui fungsionalitas setelah disetujui
• Menggunakan nama yang mirip dengan yang asli tanpa secara teknis melanggar aturan merek dagang
• Menargetkan audiens kecil untuk menghindari perhatian melalui laporan pengguna

ZachXBT secara terbuka mengangkat pertanyaan tentang akuntabilitas Apple. Jika platform mengambil bagian dari pengembang dan memasarkan moderasinya sebagai perlindungan pengguna, apakah ia menanggung tanggung jawab atas kerugian yang gagal dicegah oleh moderasi tersebut? Belum ada jawaban hukum, tetapi kerusakan reputasi sudah jelas.

Ke mana uang itu pergi: Bitcoin, Tron, Solana, dan jejak mixer

Cara penipu memindahkan dana patut mendapat perhatian khusus. ZachXBT melacak uang tersebut dan menemukan bahwa aset yang dicuri, dalam Bitcoin, Tron, dan Solana, melewati sebuah mixer yang terhubung dengan KuCoin. Ini adalah skema anonimisasi cepat standar: dana dipecah menjadi jumlah kecil, diacak melalui banyak alamat, lalu ditarik ke bursa tempat jejak lebih sulit dilacak.

KuCoin sendiri tidak bersalah di sini: para penyerang menggunakan alamat yang terkait dengan bursa, bukan platformnya sendiri. Namun jejaknya penting: menunjukkan bahwa para kriminal memiliki infrastruktur pencucian uang yang telah dibangun sebelumnya, bukan berimprovisasi. Ini bukan peretasan acak, melainkan kelompok terorganisir dengan rencana yang jelas.

Inilah tepatnya mengapa memeriksa alamat melalui alat AML itu penting, terutama saat menerima dana dari sumber yang tidak dikenal. Jika sebuah alamat telah muncul dalam skema pencucian uang, pemindai AML yang baik akan menandainya. Kami memiliki pemeriksa AML di portal kami yang memeriksa alamat di Bitcoin dan blockchain lainnya terhadap basis data dompet penipuan yang diketahui dan sumber berisiko tinggi.

Kesalahan inti yang dilakukan korban: seed phrase tidak pernah dimasukkan ke dalam aplikasi

Ini terdengar jelas, tetapi merupakan kesalahan yang terus berulang, bahkan oleh pengguna berpengalaman. Seed phrase (mnemonik 12 atau 24 kata) adalah kunci utama dompet. Siapa pun yang memiliki kata-kata tersebut memiliki koin. Titik.

Ledger Live asli tidak pernah meminta seed phrase. Tidak pernah. Ini adalah prinsip dasar cara kerja hardware wallet: private key tidak pernah meninggalkan perangkat, dan seed phrase hanya diperlukan untuk memulihkan dompet secara fisik di perangkat baru, dimasukkan di perangkat itu sendiri, bukan di perangkat lunak di komputer.

Jika sebuah aplikasi meminta seed phrase, itu adalah penipuan. Tidak peduli tampilannya atau dari mana diunduh. Tidak ada pengecualian.

Yang perlu diingat tentang seed phrase

• Jangan pernah memasukkan seed phrase ke dalam perangkat lunak di komputer atau ponsel
• Jangan pernah memotretnya atau menyimpannya secara digital
• Jangan pernah membagikannya kepada siapa pun, termasuk staf dukungan
• Simpan hanya di atas kertas atau cadangan logam di tempat yang aman

Bagaimana penipu memilih korbannya

Hardware wallet digunakan oleh orang-orang yang sudah memahami crypto. Mereka bukan pendatang baru yang membeli 100 dolar pertama di bursa, melainkan para pemegang yang dengan sengaja memilih cold storage untuk melindungi jumlah yang signifikan. Itulah mengapa rata-rata kerugian per korban begitu tinggi: 9,5 juta dolar dari lebih dari 50 korban menghasilkan hampir 190.000 dolar per orang rata-rata.

Para penipu pergi ke mana ada uang. Mereka tahu bahwa pengguna Ledger bukan pemegang biasa. Dan mereka tahu bahwa kepercayaan terhadap ekosistem Apple menciptakan rasa aman yang palsu.

G. Love kemungkinan percaya bahwa menggunakan hardware wallet dan mengunduh aplikasi dari toko resmi berarti ia aman. Inilah perangkap klasik: seseorang membuat keputusan yang tepat (hardware wallet) lalu membuat satu kesalahan kritis di langkah terakhir.

Pertanyaan untuk Apple: siapa yang bertanggung jawab

Setelah postingan ZachXBT dan gelombang liputan media, Apple dengan cepat menghapus aplikasi dan menutup akun pengembang. Tetapi itu bukan jawaban atas pertanyaan sistemik tersebut.

App Store bukan sekadar direktori aplikasi. Ini adalah ekosistem yang dikurasi di mana Apple mengenakan biaya 30% dari pendapatan pengembang dan biaya keanggotaan tahunan untuk mengaksesnya. Perusahaan menjual kepercayaan sebagai produk. Slogan "Kami meninjau setiap aplikasi" bukan sekadar pemasaran, melainkan sebuah janji keamanan.

Ketika janji itu dilanggar dan pengguna kehilangan uang nyata, pertanyaan yang wajar muncul: dapatkah korban meminta kompensasi dari Apple? Saat ini hampir pasti tidak. Persyaratan layanan App Store menghapus tanggung jawab perusahaan atas konten aplikasi pihak ketiga. Namun tekanan regulasi terhadap platform atas tanggung jawab konten terus meningkat di seluruh dunia, dan insiden ini adalah satu lagi titik data bagi mereka yang berargumen bahwa platform besar harus menanggung lebih banyak akuntabilitas.

ZachXBT bertanya secara langsung: apakah Apple bertanggung jawab atas 9,5 juta dolar dana yang dicuri? Ia tidak mendapat jawaban.

Ini bukan pertama kalinya: sejarah phishing melalui toko aplikasi

Kasus Ledger bukan satu-satunya. Selama beberapa tahun, versi palsu dompet crypto populer dan aplikasi manajemen aset telah muncul secara berkala di App Store maupun Google Play. Moderasi menangkap mereka, tetapi tidak selalu cepat, dan tidak selalu sebelum pengguna dirugikan.

Pada 2021, insiden serupa terjadi dengan aplikasi Trezor palsu, produsen hardware wallet terkenal lainnya. Pada 2023, kasus yang melibatkan aplikasi MetaMask dan Trust Wallet palsu tercatat. Skemanya kurang lebih sama setiap kali: salinan visual yang meyakinkan, permintaan seed phrase atau private key, dan penarikan dana segera.

Industri crypto merespons dengan berbagai cara. Ledger secara rutin memperingatkan pengguna: aplikasi harus diunduh hanya dari situs resmi ledger.com, bukan dari toko aplikasi yang pengawasannya lebih lemah. Namun sebagian besar orang tidak mengetahui hal ini, atau tidak memikirkannya saat melihat tombol "Pasang" yang nyaman di antarmuka yang sudah dikenal.

Cara memverifikasi bahwa Anda menggunakan aplikasi yang asli

Langkah konkret bagi siapa pun yang menggunakan hardware wallet atau berencana menggunakannya:

Untuk pengguna Ledger

• Unduh Ledger Live hanya dari situs resmi ledger.com, tidak dari mana pun lainnya
• Verifikasi tanda tangan digital penginstal jika mengunduh di Windows atau Linux
• Jangan pasang Ledger Live dari App Store atau Google Play; perusahaan secara resmi merekomendasikan situs web
• Periksa saluran Ledger resmi secara berkala untuk mengetahui peringatan tentang barang palsu

Aturan keamanan umum untuk dompet crypto apa pun

• Seed phrase tidak pernah dimasukkan ke dalam perangkat lunak
• Sebelum memasang aplikasi apa pun yang berkaitan dengan crypto, periksa pengembangnya: nama, tanggal publikasi, jumlah ulasan
• Bersikap skeptis terhadap aplikasi dengan sedikit ulasan atau tanggal publikasi yang baru
• Gunakan perangkat khusus untuk kepemilikan besar
• Periksa alamat secara berkala terhadap basis data dompet penipuan

Alat yang membantu Anda tetap terlindungi

Kami telah menyusun beberapa alat yang membuat bekerja dengan crypto lebih aman, tidak hanya dalam konteks insiden ini.

Pemeriksaan alamat AML. Sebelum menerima transfer dari sumber yang tidak dikenal atau mengirim dana ke alamat baru, periksa riwayatnya. Pemeriksa AML kami menganalisis alamat di Bitcoin, Ethereum, Tron, dan blockchain lainnya serta menunjukkan apakah suatu alamat terhubung dengan skema penipuan yang diketahui, mixer, atau daftar sanksi. Alat semacam ini akan mengidentifikasi alamat tempat dana korban berakhir, meskipun dalam kasus ini mereka adalah penerima akhir, bukan pengirim.

Perbandingan bursa. Sebagian dari mereka yang terdampak kemungkinan menyimpan aset di hot wallet dan menggunakan bursa untuk mengelola portofolio mereka. Memilih bursa yang andal juga merupakan bagian dari keamanan. Di bagian ulasan bursa kami, kami telah menyusun peringkat terkini platform-platform utama, dengan mempertimbangkan kebijakan keamanan, dana asuransi, dan riwayat insiden mereka.

Manajemen portofolio. Menyebarkan aset di berbagai dompet dan platform mengurangi risiko. Jika semuanya di satu tempat, satu kesalahan bisa membuat Anda kehilangan segalanya. Pelacak portofolio kami membantu memantau aset di berbagai alamat dan bursa dalam satu antarmuka, tanpa mentransmisikan private key.

Mengapa hardware wallet masih menjadi pilihan terbaik

Kisah Ledger palsu mungkin menciptakan kesan bahwa hardware wallet tidak dapat diandalkan. Itu tidak benar. Hardware wallet itu sendiri, perangkatnya, tidak pernah disusupi. Private key G. Love tidak bocor dari Ledger Nano-nya. Ia kehilangan dananya karena memasukkan seed phrase ke aplikasi pihak ketiga, yang pada dasarnya menyerahkan kunci kepada para penipu sendiri.

Hardware wallet bekerja justru karena menyimpan kunci secara offline. Jika pengguna mengikuti aturan keamanan dasar, tidak pernah memasukkan seed phrase secara digital dan tidak pernah memasang perangkat lunak yang tidak terverifikasi, dana mereka aman meskipun komputer mereka terinfeksi malware.

Masalahnya bukan teknologi. Masalahnya adalah faktor manusia dan platform yang mengambil peran penjaga gerbang tetapi gagal memenuhinya.

Apa yang diungkapkan insiden ini tentang kematangan industri

Crypto telah menempuh perjalanan panjang dari forum Bitcoin hingga produk keuangan arus utama. Namun seiring bertambahnya audiens, daya tarik bagi penipu pun meningkat. 9,5 juta dolar yang dicuri dari lebih dari 50 orang dalam seminggu bukan insiden kecil. Itu adalah kampanye terorganisir dengan infrastruktur yang disiapkan, mengeksploitasi kepercayaan pada perusahaan teknologi besar.

Industri merespons dengan berbagai cara. Sebagian menyerukan akuntabilitas platform yang lebih besar. Yang lain kembali ke dasar: bukan kunci Anda, bukan koin Anda, dan jangan pernah mempercayai aplikasi dengan seed phrase Anda. Kedua posisi itu benar dan tidak saling bertentangan.

Sementara regulator dan platform menyelesaikan masalah tanggung jawab, setiap pengguna dapat melindungi diri mereka sendiri. Dibutuhkan pengetahuan dan perhatian, tetapi bukan keterampilan teknis tingkat pengembang.

Apa yang harus dilakukan sekarang

Jika Anda memiliki hardware wallet, periksa dari mana Anda mengunduh aplikasi pendampingnya. Jika berasal dari toko aplikasi dan bukan dari situs web resmi produsen, hapus dan unduh ulang dari sumber yang benar. Anda tidak perlu memasukkan seed phrase di mana pun dalam prosesnya.

Jika Anda mempertimbangkan untuk beralih ke cold storage, itu tetap menjadi cara terbaik untuk melindungi kepemilikan besar. Kuncinya adalah mempelajari aturan sekali saja daripada mempercayai aplikasi pertama yang terlihat seperti yang asli.

Anda dapat memeriksa alamat Anda untuk risiko sekarang juga di pemeriksa AML kami. Dan jika Anda memilih dompet atau ingin membandingkan opsi penyimpanan, kunjungi bagian ulasan dompet kami: kami telah menyusun peringkat terkini solusi hardware dan software dengan mempertimbangkan keamanan, kemudahan penggunaan, dan jaringan yang didukung.

G. Love kehilangan dana pensiunnya karena satu kesalahan yang hanya butuh beberapa detik. Kisahnya menyakitkan, tetapi dengan jelas menunjukkan di mana garis antara keamanan dan malapetaka berada. Garis itu melewati seed phrase.