Ứng Dụng Ledger Giả Trên App Store: Kẻ Lừa Đảo Đã Đánh Cắp 9,5 Triệu Đô La Như Thế Nào Và Cách Bảo Vệ Ví Của Bạn

Ứng Dụng Ledger Giả Trên App Store: Kẻ Lừa Đảo Đã Đánh Cắp 9,5 Triệu Đô La Như Thế Nào Và Cách Bảo Vệ Ví Của Bạn

Garrett Dutton đã chơi nhạc blues dưới nghệ danh G. Love trong hơn ba mươi năm. Trong thời gian đó, ông đã xây dựng được lượng người hâm mộ trên toàn thế giới và dành dụm một khoản tiền cho tuổi già: 5,9 Bitcoin, khoảng 420.000 đô la theo giá tháng 4 năm 2026. Ông gọi số coin đó là quỹ hưu trí của mình. Vào tháng 4, ông đã tải một ứng dụng từ App Store, nhập seed phrase của mình, và trong vài phút đã mất tất cả những gì ông đã dành dụm.

Câu chuyện của Dutton trở thành tiêu điểm không phải vì ông là người nổi tiếng, mà vì ông không phải người duy nhất. Nhà điều tra blockchain ZachXBT đã thống kê hơn 50 nạn nhân đã mất tổng cộng 9,5 triệu đô la. Tiền bị rút cạn từ các ví Bitcoin, Tron và Solana và chuyển đến các địa chỉ liên kết với một mixer sử dụng KuCoin.

Đây không phải là một góc tối nào đó trên internet. Đây là App Store chính thức của Apple.

Chuyện gì đã xảy ra: Ledger Live giả trong cửa hàng của Apple

Ledger là một công ty Pháp sản xuất một số hardware wallet phổ biến nhất thế giới. Ứng dụng Ledger Live chính thức được thiết kế để quản lý các thiết bị Ledger: kiểm tra số dư, gửi giao dịch, cập nhật firmware. Ứng dụng miễn phí và phiên bản chính thức có sẵn trực tiếp từ trang web của công ty.

Kẻ lừa đảo đã tạo ra một bản sao, một bản sao của Ledger Live không thể phân biệt bằng mắt thường, và bằng cách nào đó đã vượt qua quy trình kiểm duyệt của Apple. Ứng dụng xuất hiện trên Mac App Store và tồn tại đủ lâu để lừa hàng chục nạn nhân. Theo ZachXBT, chiến dịch này kéo dài khoảng một tuần.

Sơ đồ hoạt động thông qua phishing seed phrase. Ứng dụng trông giống Ledger Live thật và yêu cầu người dùng nhập cụm từ ghi nhớ 24 từ, được cho là để "đồng bộ hóa" hoặc "khôi phục quyền truy cập." Ngay khi nạn nhân nhập các từ đó, kẻ tấn công đã giành quyền kiểm soát hoàn toàn ví và ngay lập tức rút cạn tiền.

"5,9 Bitcoin của Garrett Dutton đã được gửi đến các địa chỉ nạp tiền liên quan đến KuCoin" – ZachXBT, tháng 4 năm 2026

Apple đã phản ứng sau vụ bê bối công khai: ứng dụng bị gỡ xuống và nhà phát triển bị cấm khỏi chương trình App Store. Trong bình luận gửi đến Cointelegraph, công ty đã xác nhận việc gỡ bỏ. Nhưng câu hỏi tại sao ứng dụng giả lại vượt qua được quy trình kiểm duyệt, và phải mất bao lâu để hành động, vẫn chưa có câu trả lời rõ ràng.

Tại sao kiểm duyệt App Store không ngăn chặn được kẻ lừa đảo

Apple đã dành nhiều năm định vị cửa hàng của mình là một hệ sinh thái an toàn, khác với Android, nơi ứng dụng có thể được cài đặt từ các nguồn bên thứ ba. Sự tin tưởng đó đã phản tác dụng với người dùng: nhiều người không nghi ngờ gì về tính hợp lệ của ứng dụng chỉ vì họ tìm thấy nó trong cửa hàng chính thức.

Chính xác làm thế nào ứng dụng giả vượt qua được quy trình kiểm duyệt vẫn chưa rõ ràng. Kiểm duyệt App Store kết hợp kiểm tra tự động với đánh giá thủ công, nhưng tập trung chủ yếu vào bảo mật code hơn là mục đích của nhà phát triển. Một ứng dụng chỉ hiển thị biểu mẫu nhập từ và gửi thông tin đến máy chủ về mặt kỹ thuật có thể không chứa "mã độc hại" theo nghĩa truyền thống.

Kẻ lừa đảo cũng có thể đã sử dụng một số chiến thuật để vượt qua quy trình kiểm duyệt:

• Nộp phiên bản vô hại trước, sau đó cập nhật chức năng sau khi được phê duyệt
• Sử dụng tên gần giống bản gốc mà không vi phạm về mặt kỹ thuật các quy tắc nhãn hiệu
• Nhắm vào đối tượng nhỏ để tránh thu hút sự chú ý qua báo cáo của người dùng

ZachXBT đã công khai đặt câu hỏi về trách nhiệm của Apple. Nếu nền tảng lấy phần trăm từ nhà phát triển và quảng bá việc kiểm duyệt như là sự bảo vệ người dùng, liệu nó có chịu trách nhiệm nào về những tổn thất mà việc kiểm duyệt không ngăn chặn được không? Chưa có câu trả lời pháp lý, nhưng thiệt hại về danh tiếng là rõ ràng.

Tiền đã đi đâu: Bitcoin, Tron, Solana và dấu vết mixer

Cách kẻ lừa đảo di chuyển tiền đáng được chú ý đặc biệt. ZachXBT đã truy tìm số tiền và phát hiện rằng các tài sản bị đánh cắp, trong Bitcoin, Tron và Solana, đã đi qua một mixer liên kết với KuCoin. Đây là sơ đồ ẩn danh nhanh tiêu chuẩn: tiền được chia thành các số lượng nhỏ, xáo trộn qua nhiều địa chỉ, sau đó rút ra sàn giao dịch nơi chúng khó truy tìm hơn.

Bản thân KuCoin không có lỗi ở đây: những kẻ tấn công đã sử dụng các địa chỉ liên quan đến sàn giao dịch, không phải bản thân nền tảng. Nhưng dấu vết quan trọng: nó cho thấy những tên tội phạm đã có cơ sở hạ tầng rửa tiền được xây dựng sẵn chứ không phải ứng biến. Đây không phải là một vụ hack ngẫu nhiên mà là một nhóm có tổ chức với kế hoạch rõ ràng.

Đây chính xác là lý do tại sao việc kiểm tra địa chỉ thông qua các công cụ AML rất quan trọng, đặc biệt khi nhận tiền từ các nguồn không quen biết. Nếu một địa chỉ đã xuất hiện trong các sơ đồ rửa tiền, một máy quét AML tốt sẽ đánh dấu nó. Chúng tôi có công cụ kiểm tra AML trên cổng thông tin của mình, nó kiểm tra địa chỉ trên Bitcoin và các blockchain khác dựa trên cơ sở dữ liệu của các ví gian lận đã biết và các nguồn rủi ro cao.

Sai lầm cốt lõi của nạn nhân: seed phrase không bao giờ được nhập vào ứng dụng

Điều này nghe có vẻ hiển nhiên, nhưng đây là sai lầm được lặp đi lặp lại, ngay cả bởi những người dùng có kinh nghiệm. Seed phrase (một cụm từ ghi nhớ gồm 12 hoặc 24 từ) là khóa chính của ví. Ai có những từ đó thì sở hữu coin. Hết.

Ledger Live thật không bao giờ yêu cầu seed phrase. Không bao giờ. Đây là nguyên tắc cơ bản của cách hardware wallet hoạt động: private key không bao giờ rời khỏi thiết bị, và seed phrase chỉ cần thiết để khôi phục vật lý ví trên thiết bị mới, được nhập trên chính thiết bị đó, không phải trong phần mềm trên máy tính.

Nếu một ứng dụng yêu cầu seed phrase, đó là lừa đảo. Không quan trọng nó trông như thế nào hay được tải xuống từ đâu. Không có ngoại lệ.

Những điều cần nhớ về seed phrase

• Không bao giờ nhập seed phrase vào phần mềm trên máy tính hoặc điện thoại
• Không bao giờ chụp ảnh hoặc lưu trữ kỹ thuật số
• Không bao giờ chia sẻ với bất kỳ ai, kể cả nhân viên hỗ trợ
• Chỉ lưu trữ trên giấy hoặc bản sao lưu bằng kim loại ở nơi an toàn

Kẻ lừa đảo đã chọn nạn nhân như thế nào

Hardware wallet được sử dụng bởi những người đã hiểu về crypto. Đây không phải là những người mới mua 100 đô la đầu tiên trên sàn giao dịch, đây là những người nắm giữ đã cố tình chọn cold storage để bảo vệ số tiền đáng kể. Đó là lý do tại sao mức tổn thất trung bình trên mỗi nạn nhân lại cao đến vậy: 9,5 triệu đô la trên hơn 50 nạn nhân tương đương gần 190.000 đô la mỗi người tính trung bình.

Kẻ lừa đảo đã tìm đến nơi có tiền. Chúng biết rằng người dùng Ledger không phải là những người nắm giữ thông thường. Và chúng biết rằng sự tin tưởng vào hệ sinh thái của Apple tạo ra cảm giác an toàn giả tạo.

G. Love có thể đã tin rằng việc sử dụng hardware wallet và tải ứng dụng từ cửa hàng chính thức có nghĩa là ông an toàn. Đây là bẫy kinh điển: ai đó đưa ra quyết định đúng (hardware wallet) và sau đó mắc một sai lầm nghiêm trọng ở bước cuối cùng.

Câu hỏi dành cho Apple: ai chịu trách nhiệm

Sau các bài đăng của ZachXBT và làn sóng đưa tin của truyền thông, Apple đã nhanh chóng gỡ ứng dụng xuống và đóng tài khoản của nhà phát triển. Nhưng đó không phải là câu trả lời cho câu hỏi mang tính hệ thống.

App Store không chỉ là một thư mục ứng dụng. Đó là một hệ sinh thái được quản lý mà Apple thu 30% doanh thu từ các nhà phát triển và một khoản phí thành viên hàng năm để truy cập. Công ty bán sự tin tưởng như một sản phẩm. Khẩu hiệu "Chúng tôi kiểm duyệt mọi ứng dụng" không chỉ là marketing, đó là một cam kết an toàn.

Khi cam kết đó bị vi phạm và người dùng mất tiền thật, một câu hỏi hợp lý nảy sinh: liệu nạn nhân có thể yêu cầu bồi thường từ Apple không? Hiện tại, gần như chắc chắn là không. Điều khoản dịch vụ của App Store loại bỏ trách nhiệm của công ty đối với nội dung ứng dụng bên thứ ba. Nhưng áp lực quy định đối với các nền tảng về trách nhiệm nội dung đang tăng lên trên toàn thế giới, và sự cố này là thêm một dữ liệu cho những người lập luận rằng các nền tảng lớn nên chịu trách nhiệm nhiều hơn.

ZachXBT đã hỏi thẳng: Apple có chịu trách nhiệm về 9,5 triệu đô la tiền bị đánh cắp không? Ông không nhận được câu trả lời.

Đây không phải lần đầu tiên: lịch sử phishing qua các cửa hàng ứng dụng

Trường hợp Ledger không phải là duy nhất. Trong vài năm qua, các phiên bản giả mạo của các ví crypto phổ biến và ứng dụng quản lý tài sản đã xuất hiện định kỳ trên cả App Store và Google Play. Kiểm duyệt phát hiện ra chúng, nhưng không phải lúc nào cũng nhanh, và không phải lúc nào cũng trước khi người dùng bị thiệt hại.

Năm 2021, một sự cố tương tự đã xảy ra với ứng dụng Trezor giả, một nhà sản xuất hardware wallet nổi tiếng khác. Năm 2023, các trường hợp liên quan đến ứng dụng MetaMask và Trust Wallet giả mạo đã được ghi nhận. Sơ đồ hầu như giống nhau mỗi lần: một bản sao trực quan thuyết phục, yêu cầu seed phrase hoặc private key, và rút tiền ngay lập tức.

Ngành crypto phản ứng theo nhiều cách khác nhau. Ledger thường xuyên cảnh báo người dùng: ứng dụng chỉ nên được tải xuống từ trang web chính thức ledger.com, không phải từ các cửa hàng ứng dụng nơi giám sát yếu hơn. Nhưng hầu hết mọi người không biết điều này, hoặc không nghĩ đến khi họ thấy nút "Cài đặt" tiện lợi trong giao diện quen thuộc.

Cách xác minh bạn đang sử dụng ứng dụng thật

Các bước cụ thể dành cho bất kỳ ai sử dụng hardware wallet hoặc đang lên kế hoạch sử dụng:

Dành cho người dùng Ledger

• Chỉ tải Ledger Live từ trang web chính thức ledger.com, không có nơi nào khác
• Xác minh chữ ký số của trình cài đặt nếu tải xuống trên Windows hoặc Linux
• Không cài đặt Ledger Live từ App Store hoặc Google Play, công ty chính thức khuyến nghị trang web
• Thường xuyên kiểm tra các kênh Ledger chính thức để biết cảnh báo về hàng giả

Quy tắc bảo mật chung cho bất kỳ ví crypto nào

• Seed phrase không bao giờ được nhập vào phần mềm
• Trước khi cài đặt bất kỳ ứng dụng nào liên quan đến crypto, hãy kiểm tra nhà phát triển: tên, ngày xuất bản, số lượng đánh giá
• Hãy hoài nghi với các ứng dụng có ít đánh giá hoặc ngày xuất bản gần đây
• Sử dụng thiết bị riêng cho số tiền lớn
• Thường xuyên kiểm tra địa chỉ đối chiếu với cơ sở dữ liệu ví gian lận

Các công cụ giúp bạn được bảo vệ

Chúng tôi đã tổng hợp một số công cụ giúp làm việc với crypto an toàn hơn, không chỉ trong bối cảnh của sự cố này.

Kiểm tra địa chỉ AML. Trước khi chấp nhận chuyển tiền từ nguồn không quen biết hoặc gửi tiền đến địa chỉ mới, hãy kiểm tra lịch sử của nó. Công cụ kiểm tra AML của chúng tôi phân tích địa chỉ trên Bitcoin, Ethereum, Tron và các blockchain khác và cho biết liệu một địa chỉ có liên kết với các sơ đồ gian lận đã biết, mixer hay danh sách trừng phạt không. Loại công cụ này sẽ xác định được các địa chỉ mà tiền của nạn nhân đã kết thúc, mặc dù trong trường hợp này chúng là người nhận cuối cùng, không phải người gửi.

So sánh sàn giao dịch. Một số người bị ảnh hưởng có thể đã giữ tài sản trong hot wallet và sử dụng sàn giao dịch để quản lý danh mục đầu tư của họ. Chọn sàn giao dịch đáng tin cậy cũng là một phần của bảo mật. Trong phần đánh giá sàn giao dịch của chúng tôi, chúng tôi đã tổng hợp xếp hạng hiện tại của các nền tảng lớn, tính đến chính sách bảo mật, quỹ bảo hiểm và lịch sử sự cố của chúng.

Quản lý danh mục đầu tư. Phân tán tài sản qua các ví và nền tảng khác nhau giảm thiểu rủi ro. Nếu tất cả ở một nơi, một sai lầm duy nhất có thể khiến bạn mất tất cả. Công cụ theo dõi danh mục đầu tư của chúng tôi giúp theo dõi tài sản trên các địa chỉ và sàn giao dịch khác nhau trong một giao diện, mà không cần truyền private key.

Tại sao hardware wallet vẫn là lựa chọn tốt nhất

Câu chuyện Ledger giả có thể tạo ra ấn tượng rằng hardware wallet không đáng tin cậy. Điều đó không đúng. Bản thân hardware wallet, tức là thiết bị, chưa bao giờ bị xâm phạm. Private key của G. Love không bị rò rỉ từ Ledger Nano của ông. Ông mất tiền vì đã nhập seed phrase vào ứng dụng bên thứ ba, thực tế là tự tay trao chìa khóa cho kẻ lừa đảo.

Hardware wallet hoạt động chính xác vì nó giữ các khóa ngoại tuyến. Nếu người dùng tuân theo các quy tắc bảo mật cơ bản, không bao giờ nhập seed phrase kỹ thuật số, không bao giờ cài đặt phần mềm chưa được xác minh, tiền của họ an toàn ngay cả khi máy tính bị nhiễm malware.

Vấn đề không phải là công nghệ. Vấn đề là yếu tố con người và các nền tảng đảm nhận vai trò người gác cổng nhưng không thực hiện được vai trò đó.

Sự cố này nói gì về sự trưởng thành của ngành

Crypto đã đi một chặng đường dài từ các diễn đàn Bitcoin đến các sản phẩm tài chính chính thống. Nhưng khi khán giả tăng lên, sức hấp dẫn đối với kẻ lừa đảo cũng tăng theo. 9,5 triệu đô la bị đánh cắp từ hơn 50 người trong một tuần không phải là một sự cố nhỏ. Đó là một chiến dịch có tổ chức với cơ sở hạ tầng được chuẩn bị, khai thác sự tin tưởng vào một công ty công nghệ lớn.

Ngành phản ứng theo nhiều cách khác nhau. Một số kêu gọi trách nhiệm nền tảng lớn hơn. Những người khác trở lại những điều cơ bản: không phải chìa khóa của bạn, không phải coin của bạn, và đừng bao giờ tin tưởng một ứng dụng với seed phrase của bạn. Cả hai quan điểm đều đúng và chúng không mâu thuẫn với nhau.

Trong khi các cơ quan quản lý và nền tảng sắp xếp trách nhiệm pháp lý, mỗi người dùng có thể tự bảo vệ mình. Điều đó đòi hỏi kiến thức và sự chú ý, nhưng không cần kỹ năng kỹ thuật ở mức độ nhà phát triển.

Phải làm gì ngay bây giờ

Nếu bạn có hardware wallet, hãy kiểm tra xem bạn đã tải ứng dụng đi kèm từ đâu. Nếu nó đến từ cửa hàng ứng dụng thay vì trang web chính thức của nhà sản xuất, hãy xóa nó và tải lại từ nguồn đúng. Bạn không cần nhập seed phrase ở bất cứ đâu trong quá trình này.

Nếu bạn đang cân nhắc chuyển sang cold storage, đó vẫn là cách tốt nhất để bảo vệ số tiền lớn. Điều quan trọng là học các quy tắc một lần thay vì tin tưởng vào ứng dụng đầu tiên trông giống như hàng thật.

Bạn có thể kiểm tra địa chỉ của mình về rủi ro ngay bây giờ trong công cụ kiểm tra AML của chúng tôi. Và nếu bạn đang chọn ví hoặc muốn so sánh các tùy chọn lưu trữ, hãy truy cập phần đánh giá ví của chúng tôi, chúng tôi đã tổng hợp xếp hạng hiện tại của các giải pháp phần cứng và phần mềm tính đến bảo mật, khả năng sử dụng và các mạng được hỗ trợ.

G. Love đã mất quỹ hưu trí vì một sai lầm duy nhất chỉ mất vài giây. Câu chuyện thật đau lòng, nhưng nó cho thấy rõ ràng ranh giới giữa an toàn và thảm họa nằm ở đâu. Ranh giới đó chạy qua seed phrase.